第3章

局域網(wǎng)和虛擬局域網(wǎng)編著：

秦?zé)鰟诖浣?/p>

同一樓層、同一建筑方圓幾米到幾千米范圍之內(nèi)的計算機通信網(wǎng)絡(luò)通常稱為局域網(wǎng)（LAN）。常見的局域網(wǎng)技術(shù)包括以太網(wǎng)Ethernet、令牌環(huán)TokenRing、光纖分布式數(shù)據(jù)接口FDDI等，以太網(wǎng)是一種基于CSMA/CD的共享通信介質(zhì)的數(shù)據(jù)網(wǎng)絡(luò)通信技術(shù)，傳輸速率從早期的10Mbps的標(biāo)準(zhǔn)以太網(wǎng)，發(fā)展到了100Mbps的快速以太網(wǎng)、1Gbps的吉比特以太網(wǎng)和10Gbps的萬兆以太網(wǎng)，成為局域網(wǎng)技術(shù)的主流。3.1沖突域和廣播域早期采用同軸電纜或集線器組成的網(wǎng)絡(luò)屬于共享式以太網(wǎng)，網(wǎng)絡(luò)中的所有終端主機都處于同一沖突域中，網(wǎng)絡(luò)的帶寬是由接入的主機共享的，接入的主機越多，每臺主機獲得的帶寬就越少，沖突發(fā)生的頻率也越高。采用交換機組成的網(wǎng)絡(luò)則屬于交換式以太網(wǎng)，各端口處于不同沖突域中，各端口可同時轉(zhuǎn)發(fā)數(shù)據(jù)而不引發(fā)沖突，提高了轉(zhuǎn)發(fā)效率和轉(zhuǎn)發(fā)質(zhì)量。交換機和集線器的沖突域不同，但它們的廣播域卻類似。不論是交換機還是集線器，它們的端口都處在各自的同一個廣播域中。一些不必要的廣播幀不但占用網(wǎng)絡(luò)資源，還影響到網(wǎng)絡(luò)安全；當(dāng)有網(wǎng)絡(luò)設(shè)備發(fā)生故障，導(dǎo)致廣播幀不停發(fā)送時，更會導(dǎo)致廣播風(fēng)暴，影響正常的網(wǎng)絡(luò)通信。因此，有必要按網(wǎng)絡(luò)規(guī)模和需求將廣播隔離在必要的范圍內(nèi)。隔離廣播的一種方法是物理隔離，即將需要隔離廣播的網(wǎng)絡(luò)分別連接到不同的交換機，交換機再通過路由器連接到一起，實現(xiàn)不同網(wǎng)絡(luò)的互聯(lián)。這種情況下，當(dāng)本地廣播包經(jīng)過路由器時，路由器會將其攔截，實現(xiàn)了對本地廣播的隔離。但這種通過引入路由器隔離廣播的方法增加了成本；而且中低端路由器采用的是軟件轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)的性能不高，是高成本、低性能的方案，并不可取。隔離廣播的另一種方法是劃分虛擬局域網(wǎng)(VLAN)。下面，我們詳細學(xué)習(xí)VLAN的相關(guān)知識。3.2虛擬局域網(wǎng)

虛擬局域網(wǎng)（VLAN）技術(shù)是從邏輯上將一個局域網(wǎng)（LAN）劃分為多個邏輯上獨立的虛擬局域網(wǎng)（VLAN），從而達到隔離廣播的目的。IEEE802.1q協(xié)議規(guī)定了VLAN的實現(xiàn)方法，即在傳統(tǒng)的不帶VLAN標(biāo)簽的數(shù)據(jù)幀上添加4個字節(jié)的802.1Q標(biāo)簽，其中的12比特用于存放VLANID，標(biāo)識不同的VLAN。12比特的取值范圍是0~4095，其中0和4095被保留，能分配給用戶使用的VLANID范圍是1~4094。

VLAN的類型有基于MAC地址的VLAN、基于IP子網(wǎng)的VLAN、基于協(xié)議的VLAN、基于端口的VLAN等。在還沒創(chuàng)建新VLAN之前，交換機的所有端口都默認屬于VLAN1，VLAN1是默認存在且不能被刪除的。下面通過案例來分析VLAN的劃分。

3.2.3華三設(shè)備配置VLAN

如圖3-5所示，在HCL中拖出兩臺S5820V2交換機和9臺PC搭建拓撲。學(xué)校一樓和二樓的交換機都連接了信工學(xué)院、機電學(xué)院和財務(wù)處的電腦，兩臺交換機的g1/0/1-g1/0/9端口劃分給信工學(xué)院，g1/0/10-g1/0/19端口劃分給機電學(xué)院，g1/0/20-g1/0/29劃分給財務(wù)處，樓層間兩臺交換機的fg1/0/53端口通過交叉線連接。

圖3-5樓層間兩臺華三交換機相連的網(wǎng)絡(luò)拓撲

1.各電腦的地址依圖所示配置。劃分vlan前，所有電腦都連接到了VLAN1，測試所有電腦都能互相ping通。

2.為加強安全，避免部門間廣播幀的干擾，決定將信工學(xué)院保留在VLAN1、機電學(xué)院劃分到VLAN10、財務(wù)處劃分到VLAN100。

3.為1樓交換機劃分VLAN，將各端口加入到相應(yīng)VLAN中。命令如下：<H3C>system-view[H3C]sysnameSW1[SW1]vlan1//進入VLAN1配置視圖，VLAN1是默認存在且不能被刪除的，交換機的所有端口都默認屬于VLAN1[SW1-vlan1]namexinGong//將VLAN1命名為xinGong[SW1-vlan1]quit//返回系統(tǒng)視圖[SW1]vlan10//創(chuàng)建VLAN10[SW1-vlan10]namejiDian//將VLAN10命名為jiDian[SW1-vlan10]quit[SW1]vlan100[SW1-vlan100]namecaiWu[SW1-vlan100]quit[SW1]interfacerangeGigabitEthernet1/0/1toGigabitEthernet1/0/9//進入批量端口g1/0/1-g1/0/9的端口配置視圖[SW1-if-range]portlink-typeaccess//將端口g1/0/1-g1/0/9的類型配置為access，這些端口默認屬于VLAN1[SW1-if-range]quit[SW1]interfacerangeGigabitEthernet1/0/10toGigabitEthernet1/0/19//進入批量端口g1/0/10-g1/0/19的端口配置視圖[SW1-if-range]portlink-typeaccess//將端口g1/0/10-g1/0/19的類型配置為access[SW1-if-range]portaccessvlan10//將端口g1/0/10-g1/0/19劃分給VLAN10[SW1-if-range]quit[SW1]interfacerangeGigabitEthernet1/0/20toGigabitEthernet1/0/29[SW1-if-range]portlink-typeaccess[SW1-if-range]portaccessvlan100[SW1-if-range]quit

4.為2樓交換機劃分VLAN，按規(guī)劃將相應(yīng)端口加入到相應(yīng)VLAN中。配置命令與1樓交換機配置命令相同。

5.查看交換機SW2的VLAN信息，命令如下：SW2#displayvlanbrief可以看到用于連接信工學(xué)院電腦的g1/0/1-g1/0/9端口屬于VLAN1、用于連接一樓交換機的fg1/0/53端口也屬于VLAN1等信息。

6.通過在電腦上執(zhí)行ping測試，檢測1樓和2樓間只有屬于VLAN1的信工學(xué)院電腦能互通，1樓和2樓間機電學(xué)院的電腦不能互通，1樓和2樓間財務(wù)處的電腦也不能互通。3.3跨交換機的VLAN連接

“劃分VLAN”的案例中，一樓和二樓交換機之間通過屬于VLAN1的Access類型的端口相連，只有VLAN1的流量通過，其它VLAN的流量無法通過。若要使其它VLAN的流量也能跨越交換機在樓層間傳輸，需要為每個VLAN都增加一根網(wǎng)線，網(wǎng)線兩端的端口都設(shè)為Access模式，并把相應(yīng)端口劃分給該VLAN。這樣的話，有幾個VLAN要跨越交換機傳輸，交換機間就需要有幾根連線。大量VLAN的情況下，這種做法是不現(xiàn)實的。那么，交換機間的一根網(wǎng)線能否同時允許各VLAN通過呢？答案是肯定的。這就需要用到交換機端口的一種稱為Trunk的模式了。之前介紹的Access模式的端口只能屬于某一個VLAN，只有該VLAN能通過該端口，其它VLAN是無法通過的，這種模式的端口通常用來連接電腦；Trunk模式的端口則可設(shè)置成允許部分VLAN或所有VLAN都通過，這種模式的端口通常用于交換機間的互連。3.3.3華三設(shè)備配置Trunk1.將一樓交換機SW1的端口fg1/0/53設(shè)置為trunk類型,命令如下：[SW1]interfaceFortyGigE1/0/53//進入fg1/0/53端口配置視圖[SW1-FortyGigE1/0/53]portlink-typetrunk//將端口fg1/0/53設(shè)置為trunk類型[SW1-FortyGigE1/0/53]porttrunkpermitvlanall//允許所有VLAN通過[SW1-FortyGigE1/0/53]quit[SW1]displayporttrunk//查看trunk類型的端口InterfacePVIDVLANPassingFGE1/0/5311,10,100可以看到端口FGE1/0/53的類型為trunk，VLAN1是本征VLAN，允許通過的VLAN有VLAN1、VLAN10和VLAN100。2.二樓交換機的配置和測試與一樓交換機的配置和測試命令一樣。3.在電腦上進行ping測試，觀察各部門內(nèi)部的電腦可以跨樓層互通。3.4VLAN同步及動態(tài)注冊

在多臺交換機需要配置相同VLAN信息的網(wǎng)絡(luò)環(huán)境中，可采用VTP、GVRP或MVRP等協(xié)議進行交換機間VLAN的同步、簡化操作步驟。VTP協(xié)議（VLANTrunkProtocol）是思科的私有協(xié)議。需要共享和同步VLAN信息的思科交換機可組成一個VTP域（VTPDomain），VTP域中一臺交換機上的VLAN創(chuàng)建或修改信息可自動同步到其它交換機上。VLAN信息的同步需要借助Trunk鏈路傳播VTP通告來實現(xiàn)，VTP通告攜帶32位的修訂號（Revision）來代表修訂級別，修訂號的初始值是0，它會不斷增加，新修訂號的VLAN信息會覆蓋舊修訂號的VLAN信息。

與思科VTP協(xié)議類似的有IEEE定義的國際標(biāo)準(zhǔn)協(xié)議GVRP（GARPVLANRegistrationProtocol，GARPVLAN注冊協(xié)議）、華為的私有協(xié)議VCMP（VLANCentralManagementProtocol，VLAN集中管理協(xié)議）等。GVRP是GARP（GenericAttributeRegistrationProtocol，通用屬性注冊協(xié)議）的一個應(yīng)用，GARP是一個通用協(xié)議的模板，用于屬性的動態(tài)注冊和注銷，GVRP則用于VLAN信息的動態(tài)注冊和注銷。

與GVRP協(xié)議相比，VCMP只能同步VLAN配置，而不能將端口動態(tài)地劃分到VLAN，即通過VCMP創(chuàng)建的VLAN是靜態(tài)VLAN，而通過GVRP創(chuàng)建的VLAN是動態(tài)VLAN。

GARP的升級版是MRP（MultipleRegistrationProtocol，多屬性注冊協(xié)議），相應(yīng)的，GVRP的升級版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊協(xié)議）。MVRP可兼容GVRP。3.4.3華三設(shè)備配置MVRPGARP的升級版是MRP（MultipleRegistrationProtocol，多屬性注冊協(xié)議），相應(yīng)的，GVRP的升級版是MVRP（MultipleVLANRegistrationProtocol，多VLAN注冊協(xié)議）。MVRP可兼容GVRP。如圖3-8所示，在HCL中搭建拓撲。圖3-8華三交換機配置MVRP的網(wǎng)絡(luò)拓撲

一、基本配置

1.各PC的地址按拓撲中的規(guī)劃進行配置。

2.在SW1和SW3上創(chuàng)建VLAN10，將g1/0/1端口加入VLAN10；將交換機間的鏈路設(shè)置為trunk鏈路，允許所有vlan通過。命令如下：<H3C>system-view//SW1的配置[H3C]sysnameSW1[SW1]vlan10[SW1-vlan10]portGigabitEthernet1/0/1[SW1-vlan10]quit[SW1]interfaceGigabitEthernet1/0/48[SW1-GigabitEthernet1/0/48]portlink-typetrunk[SW1-GigabitEthernet1/0/48]porttrunkpermitvlanall[SW1-GigabitEthernet1/0/48]quit<H3C>system-view//SW2的配置[H3C]sysnameSW2[SW2]interfaceGigabitEthernet1/0/47[SW2-GigabitEthernet1/0/47]portlink-typetrunk[SW2-GigabitEthernet1/0/47]porttrunkpermitvlanall[SW2-GigabitEthernet1/0/47]quit[SW2]interfaceGigabitEthernet1/0/48[SW2-GigabitEthernet1/0/48]portlink-typetrunk[SW2-GigabitEthernet1/0/48]porttrunkpermitvlanall[SW2-GigabitEthernet1/0/48]quit<H3C>system-view//SW3的配置[H3C]sysnameSW3[SW3]vlan10[SW3-vlan10]portGigabitEthernet1/0/1[SW3-vlan10]quit[SW3]interfaceGigabitEthernet1/0/48[SW3-GigabitEthernet1/0/48]portlink-typetrunk[SW3-GigabitEthernet1/0/48]porttrunkpermitvlanall[SW3-GigabitEthernet1/0/48]quit

3.進行跨交換機的屬于VLAN10的PC互ping測試，在PC1上ping192.168.1.20，發(fā)現(xiàn)無法ping通。

4.查看SW1、SW2、SW3的VLAN信息，命令如下：[SW1]displayvlan//查看SW1的VLAN信息TotalVLANs:2TheVLANsinclude:1(default),10[SW1]displayvlan10Taggedports:GigabitEthernet1/0/48Untaggedports:GigabitEthernet1/0/1[SW2]displayvlan//查看SW2的VLAN信息TotalVLANs:1TheVLANsinclude:1(default)[SW3]displayvlan//查看SW3的VLAN信息TotalVLANs:2TheVLANsinclude:1(default),10[SW3]displayvlan10Taggedports:GigabitEthernet1/0/48Untaggedports:GigabitEthernet1/0/1可以看到，SW1和SW3都有VLAN10，但中間的SW2上沒有VLAN10，SW2收到VLAN10的數(shù)據(jù)幀時，無法找到轉(zhuǎn)發(fā)的出端口，故將其丟棄，導(dǎo)致兩臺PC無法ping通。解決方法是在SW2上增加VLAN10。

二、開啟MVRP

1.在各交換機上開啟MVRP功能，在Trunk端口上啟用MVRP協(xié)議，命令如下：[SW1]mvrpglobalenable//SW1的配置[SW1]interfaceGigabitEthernet1/0/48[SW1-GigabitEthernet1/0/48]mvrpenable[SW1-GigabitEthernet1/0/48]quit[SW2]mvrpglobalenable//SW2的配置[SW2]interfacerangeGigabitEthernet1/0/47GigabitEthernet1/0/48[SW2-if-range]mvrpenable[SW2-if-range]quit[SW3]mvrpglobalenable//SW3的配置[SW3]interfaceGigabitEthernet1/0/48[SW3-GigabitEthernet1/0/48]mvrpenable[SW3-GigabitEthernet1/0/48]quit

2.查看SW2上的VLAN信息，命令如下：[SW2]displayvlanTotalVLANs:2TheVLANsinclude:1(default),10[SW2]displayvlandynamicDynamicVLANs:1ThedynamicVLANsinclude:10[SW2]displayvlan10Taggedports:GigabitEthernet1/0/47GigabitEthernet1/0/48Untaggedports:None可以看到，SW2學(xué)到了VLAN10，其上的trunk端口g1/0/47和g1/0/48也都將VLAN10列入了允許通行的列表。

3.在PC1上ping192.168.1.20，可以ping通了。原因是SW2上學(xué)到了VLAN10，其上的trunk端口g1/0/47和g1/0/48都可以對VLAN10進行轉(zhuǎn)發(fā)了。

三、MVRP端口的Nomal模式與GVRP類似，MVRP端口注冊模式也分為Normal、Fixed和Forbidden三種。其中Normal模式是缺省模式，Normal模式允許該端口動態(tài)注冊或注銷VLAN、傳播動態(tài)VLAN和靜態(tài)VLAN信息。下面觀察Nomal模式的注冊過程。1.在SW1上創(chuàng)建VLAN20，在SW1、SW2、SW3上查看VLAN信息。命令如下：[SW1]vlan20//在SW1上創(chuàng)建VLAN20[SW1-vlan20]portGigabitEthernet1/0/2[SW1]displayvlan//在SW1上查看VLAN信息TotalVLANs:3TheVLANsinclude:1(default),10,20[SW1]displayvlandynamicNodynamicVLANexists.[SW1]displayporttrunkInterfacePVIDVLANPassingGE1/0/4811,10,20[SW2]displayvlan//在SW2上查看VLAN信息TotalVLANs:3TheVLANsinclude:1(default),10,20[SW2]displayvlandynamicDynamicVLANs:2ThedynamicVLANsinclude:10,20[SW2]displayporttrunkInterfacePVIDVLANPassingGE1/0/4711,10,20GE1/0/4811,10[SW3]displayvlan//在SW3上查看VLAN信息TotalVLANs:3TheVLANsinclude:1(default),10,20[SW3]displayvlandynamicDynamicVLANs:1ThedynamicVLANsinclude:20

[SW3]displayporttrunkInterfacePVIDVLANPassingGE1/0/4811,10,20

可以看到：SW1的g1/0/48、SW2的g1/0/47，SW3的g1/0/48都將VLAN20列入了允許通行VLAN；SW2的g1/0/48沒有將VLAN20作為允許通行VLAN。

2.在SW3上創(chuàng)建VLAN20,SW2的g1/0/48作為VLAN聲明沿途交換機的入端口，將注冊VLAN20，并將該VLAN加入該端口允許通行的VLAN列表中。命令如下：[SW3]vlan20//在SW3上創(chuàng)建VLAN20[SW3-vlan20]portGigabitEthernet1/0/2[SW3-vlan20]quit[SW2]displayporttrunk//在SW2上查看trunk端口信息InterfacePVIDVLANPassingGE1/0/4711,10,20GE1/0/4811,10,20

可以看到，在SW3上創(chuàng)建VLAN20后,SW2的g1/0/48端口學(xué)到和注冊了該VLAN、并將其加入到了該端口允許通行的VLAN列表中。

四、MVRP端口的fixed注冊模式

Fixed模式的端口禁止該端口動態(tài)注冊或注銷VLAN，只傳播靜態(tài)VLAN信息，不傳播動態(tài)VLAN信息。下面加以驗證。

1.將SW1的Trunk端口g1/0/48修改為Fixed注冊模式，命令如下：[SW1]interfaceGigabitEthernet1/0/48[SW1-GigabitEthernet1/0/48]mvrpregistrationfixed[SW1-GigabitEthernet1/0/48]quit

2.在SW3上添加VLAN30，命令如下：[SW3]vlan30[SW3-vlan30]quit

3.在SW3、SW2、SW1上查看VLAN信息，命令如下：[SW3]displayvlan//在SW3上查看VLAN信息TotalVLANs:4TheVLANsinclude:1(default),10,20,30[SW2]displayvlan//在SW2上查看VLAN信息TotalVLANs:4TheVLANsinclude:1(default),10,20,30[SW2]displayvlandynamicDynamicVLANs:3ThedynamicVLANsinclude:10,20,30[SW1]displayvlan//在SW1上查看VLAN信息TotalVLANs:3TheVLANsinclude:1(default),10,20[SW1]displayvlandynamicNodynamicVLANexists.

4.查看SW1的MVRP統(tǒng)計信息,命令如下：[SW1]displaymvrprunning-statusRegistrationType:Fixed

5.查看SW1的trunk信息，命令如下：[SW1]displayporttrunkInterfacePVIDVLANPassingGE1/0/4811,10,20可以看到，SW2學(xué)到了VLAN30，SW1沒有學(xué)到VLAN30。這是因為Fixed模式只傳播靜態(tài)VLAN，不傳播動態(tài)VLAN。

五、MVRP端口的Forbidden注冊模式Forbidden模式的端口禁止該端口動態(tài)注冊或注銷VLAN，不傳播VLAN1以外的任何的VLAN信息。將SW1的g1/0/48改為Forbidden模式的命令如下：[SW1]interfaceGigabitEthernet1/0/48[SW1-GigabitEthernet1/0/48]mvrpregistrationforbidden3.5Hybrid端口和PrivateVLAN技術(shù)

小區(qū)寬帶采用LAN方式接入時，為了保障接入用戶的隱私、安全和便于管理計費，可通過劃分VLAN對各接入用戶進行隔離，并為每個VLAN分配一個網(wǎng)段，但這樣做IP地址消耗過大；另根據(jù)IEEE802.1q協(xié)議，可用的VLAN數(shù)只有4094個，若為每個用戶劃分一個VLAN，VLAN的數(shù)量是遠遠不夠的。

所以需要有技術(shù)將一個VLAN再次細分成多個VLAN，對上層屏蔽下層的VLAN，讓接入層的VLAN對運營商屏蔽，讓運營商只看到匯聚層的VLAN。同時，讓上層主端口的VLANIF地址和下層各從端口所連接電腦的地址處于同一網(wǎng)段，以節(jié)省地址空間。

Hybrid端口技術(shù)、PrivateVLAN（PVLAN，專用虛擬局域網(wǎng)）技術(shù)、MultiplexVLAN（MUX，復(fù)合VLAN）技術(shù)等，都能較好的實現(xiàn)相關(guān)功能。3.5.2華三交換機配置PrivateVLAN

Hybrid也是華三交換機的私有端口類型，通過PrivateVLAN技術(shù)可對華三交換機的端口執(zhí)行Hybrid批處理。

在HCL中搭建如圖3-10所示拓撲，通過PrivateVLAN技術(shù)實現(xiàn)既讓PC1和PC2二層隔離，又讓PC1和PC2都能訪問SW2。配置完成后可查看配置文件，觀察華三PrivateVLAN技術(shù)與端口Hybrid批處理的關(guān)系。圖中標(biāo)注的Hybrid端口信息是PrivateVLAN執(zhí)行批處理的結(jié)果。圖3-10華三交換機配置PrivateVLAN的網(wǎng)絡(luò)拓撲

1.在SW1上配置PrivateVLAN，命令如下：<H3C>system-view[H3C]sysnameSW1[SW1]vlan2to3[SW1]vlan10[SW1-vlan10]private-vlanprimary//將VLAN10的類型配置為Primary[SW1-vlan10]private-vlansecondary23//將VLAN2和VLAN3的類型配置為Secondary。完成以上配置后，“SecondaryVLAN2和3”與“PrimaryVLAN10”建立了映射關(guān)系。SecondaryVLAN與PrimaryVLAN能互訪，SecondaryVLAN之間互相隔離、不能互訪。[SW1-vlan10]quit[SW1]interfaceGigabitEthernet1/0/3[SW1-GigabitEthernet1/0/3]portprivate-vlan10promiscuous//參數(shù)promiscuous的作用是將端口配置成上行端口（位于上層）。本命令執(zhí)行的批處理是將本端口設(shè)置為Hybrid端口，端口的本征VLAN設(shè)置為VLAN10。允許通過的VLAN包括VLAN10、VLAN2和VLAN3，并且是去掉標(biāo)簽后不帶標(biāo)簽通過。即PrimaryVLAN10和SecondaryVLAN2、VLAN3都作為Hybrid端口G1/0/3的UntaggedVLAN。當(dāng)上行端口只對應(yīng)一個PrimaryVLAN時使用promiscuous模式，當(dāng)上行端口對應(yīng)多個PrimaryVLAN時使用trunkpromiscuous模式。此處g1/0/3只對應(yīng)一個PrimaryVLAN，所以使用promiscuous模式。[SW1-GigabitEthernet1/0/3]quit[SW1]intGigabitEthernet1/0/1[SW1-GigabitEthernet1/0/1]portaccessvlan2[SW1-GigabitEthernet1/0/1]portprivate-vlanhost//參數(shù)host的作用是將端口配置成下行端口（位于下層）。本命令執(zhí)行的批處理是將本端口設(shè)置為Hybrid端口，端口的本征VLAN設(shè)置為VLAN2。允許通過的VLAN包括VLAN10和VLAN2，并且是去掉標(biāo)簽后不帶標(biāo)簽通過。即SecondaryVLAN2和對應(yīng)的PrimaryVLAN10作為Hybrid端口G1/0/1的UntaggedVLAN。當(dāng)下行端口只對應(yīng)一個SecondaryVLAN時使用host模式，當(dāng)下行端口對應(yīng)多個SecondaryVLAN時使用trunkhost模式。此處g1/0/1只對應(yīng)一個SecondaryVLAN，所以使用host模式。[SW1-GigabitEthernet1/0/1]quit

[SW1]intGigabitEthernet1/0/2[SW1-GigabitEthernet1/0/2]portaccessvlan3[SW1-GigabitEthernet1/0/2]portprivate-vlanhost//參數(shù)host的作用是將端口配置成下行端口（位于下層）。本命令執(zhí)行的批處理是將本端口設(shè)置為Hybrid端口，端口的本征VLAN設(shè)置為VLAN3。允許通過的VLAN包括VLAN10和VLAN3，并且是去掉標(biāo)簽后不帶標(biāo)簽通過。即SecondaryVLAN3和對應(yīng)的PrimaryVLAN10作為Hybrid端口G1/0/1的UntaggedVLAN。[SW1-GigabitEthernet1/0/2]quit

2.查看配置完P(guān)rivateVLAN后交換機自動執(zhí)行的批處理結(jié)果。命令如下:[SW1]dispcurrent-configurationinterfaceGigabitEthernet1/0/1portlink-typehybridundoporthybridvlan1porthybridvlan210untaggedporthybridpvidvlan2portprivate-vlanhostinterfaceGigabitEthernet1/0/2portlink-typehybridundoporthybridvlan1porthybridvlan310untaggedporthybridpvidvlan3portprivate-vlanhostinterfaceGigabitEthernet1/0/3portlink-typehybridundoporthybridvlan1porthybridvlan2to310untaggedporthybridpvidvlan10portprivate-vlan10promiscuous

3.查看PrimaryVLAN和SecondaryVLAN的映射關(guān)系,命令如下：[SW1]displ