圖解華為交換機(jī)PVLAN的相關(guān)設(shè)置及實(shí)例，交換機(jī)PVLAN和PVLAN的引入問題是很值得我們探討的，在“PVLAN配置步驟”中我們將學(xué)會常見的交換機(jī)PVLAN配置步驟，然后在交換機(jī)PVLAN里面的某些功能就基本上OK了。

交換機(jī)PVLAN的引入

在實(shí)際應(yīng)用中有這樣一個(gè)需求，組網(wǎng)圖如上圖所示。

交換機(jī)PVLAN

3026下面級聯(lián)了2016，要求2016下的各個(gè)端口互相隔離，即給每個(gè)端口劃分一個(gè)vlan，與此同時(shí)，由于上層設(shè)備（3026）的vlan數(shù)有限，不允許下層設(shè)備（2016）將vlan透傳上來，即2016的上行端口要設(shè)為access方式。但是在2016上一個(gè)access端口是不能屬于多個(gè)vlan的，我們?nèi)绾尾拍茏寧в胁煌瑅lan ID的數(shù)據(jù)報(bào)文發(fā)送到同一個(gè)access 端口呢？

這時(shí)候，我們就需要使用2016的交換機(jī)PVLAN功能。通過使用交換機(jī)PVLAN功能，我們就能夠?qū)崿F(xiàn)將2016下的各個(gè)端口劃在不同的VLAN內(nèi)，同時(shí)又都能通過上行的Access 端口發(fā)送出去。目前，華為3Com公司開發(fā)的2008/2016/3026都支持交換機(jī)PVLAN功能。

交換機(jī)PVLAN配置步驟

配置交換機(jī)PVLAN的步驟如下：創(chuàng)建VLAN，命令如下：[2016]vlan vlan-id設(shè)置VLAN類型為primary，命令如下：[2016-vlan100] isolate-user-vlan enable向VLAN中添加端口（無論是primary vlan還是secondary vlan都一樣）

命令如下：[2016-vlan100]port ethernet port-list設(shè)置primary vlan和secondary vlan之間的映射關(guān)系命令如下：[2016]isolate-user-vlan primary_vlan_num secondary secondary_vlan_list

交換機(jī)PVLAN配置舉例

組網(wǎng)需求

Quidway S3526以太網(wǎng)交換機(jī)通過端口Ethernet 0/7和端口Ethernet 0/8下接兩臺Quidway S2008以太網(wǎng)交換機(jī)。S2008 A上VLAN5為primary VLAN，包含上行端口Ethernet 0/9和兩個(gè)secondary VLAN：VLAN1和VLAN2，VLAN1包含端口Ethernet 0/1，VLAN2包含端口Ethernet 0/2；

S2008 B上VLAN6為primary VLAN，包含上行端口Ethernet 0/9和兩個(gè)secondary VLAN：VLAN3和VLAN4，VLAN3包含端口Ethernet 0/3，VLAN4包含端口Ethernet 0/4。從S3526看，下接的兩個(gè)S2008都只有一個(gè)VLAN，S2008 A的VLAN5，S2008 B的VLAN6。

交換機(jī)PVLAN配置組網(wǎng)圖

交換機(jī)PVLAN配置步驟

下面只列出s2008的配置過程。

交換機(jī)PVLAN配置s2008 A
！配置primary vlan。
[S2008A] vlan 5
[S2008A-vlan5] isolate-user-vlan enable
[S2008A-vlan5]port ethernet0/9
！配置secondary VLAN。
[S2008A] vlan 1
[S2008A-vlan1]port ethernet0/1
[S2008A]vlan 2
[S2008A-vlan2]port ethernet0/2
！配置primary VLAN和secondary VLAN間的映射關(guān)系
[S2008A] isolate-user-vlan primary 5 secondary 1-2

交換機(jī)PVLAN配置S2008 B。
！配置primary vlan。
[S2008B]vlan 6
[S2008B -vlan6] isolate-user-vlan enable
[S2008B -vlan6]port ethernet0/9
！配置secondary VLAN。
[S2008B]vlan 3
[S2008B -vlan3]port ethernet0/3
[S2008B] vlan 4
[S2008B -vlan4]switchport ethernet0/4
！配置primary VLAN和secondary VLAN間的映射關(guān)系
[S2008B] isolate-user-vlan primary 6 secondary 3-4

交換機(jī)PVLAN使用注意事項(xiàng)

目前華為3Com公司的發(fā)貨版本中：S3026V100R002B01D009， 2403FV200R003B01D003（S2008/S2016）等版本支持一臺以太網(wǎng)交換機(jī)只能有一個(gè)primary vlan，可以為primary vlan指定多個(gè)端口，一個(gè)secondry VLAN只能包括一個(gè)端口；S3026V100R002B01D013，2403FV200R003B01D006（S2008/S2016）等版本支持一臺交換機(jī)可以有多個(gè)primary vlan，一個(gè)secondry VLAN也可以包括多個(gè)端口。

執(zhí)行primary vlan和secondary vlan建立映射關(guān)系命令前，primary vlan和secondary vlan中必須已經(jīng)包含了端口，執(zhí)行該命令會完成primary VLAN和secondary VLAN之間的映射關(guān)系，具體操作包括：將primary VLAN中的上行端口加入到每個(gè)secondary VLAN中，同時(shí)把secondary VLAN中的端口加入到primary VLAN中。

建立映射關(guān)系前：在設(shè)置交換機(jī)PVLAN中primary VLAN和secondary VLAN的映射關(guān)系時(shí)，指定的VLAN不可以是不包含任何端口的VLAN。建立映射關(guān)系后，不可以向primary VLAN和secondary VLAN執(zhí)行添加和刪除端口的操作，也不可以執(zhí)行刪除vlan的操作。只有在解除了映射關(guān)系后才可以執(zhí)行。

primary vlan中的所有端口都不是802.1Q的trunk端口，包括與其它交換機(jī)相連的uplink口。每個(gè) port的PVID就是它所屬secondary vlan的ID；uplink端口的PVID是primary vlan的ID。