一、概念

1. 作用：能夠為VLAN內(nèi)不同端口之間提供隔離的VLAN，能夠在一個VLAN之中實現(xiàn)端口之間的隔離。
2. 注意：配置時，VTP必須為透明模式

二、組成：

每個PVLAN包括兩種VLAN：
1、主VLAN
2、輔助VLAN 又分為兩種：隔離VLAN（隔離vlan之間的主機不能互相通訊）、聯(lián)盟VLAN（....可以互相通信）

3、輔助VLAN是屬于主VLAN的，一個主VLAN可以包含多個輔助VLAN。
在一個主VLAN中只能有一個隔離VLAN，可以有多個聯(lián)盟VLAN
隔離vlan和聯(lián)盟vlan之間不可以互相訪問

4、三種端口類型：
host隔離端口---屬于隔離VLAN
host聯(lián)盟端口---屬于聯(lián)盟VLAN
promiscuous混雜端口（主vlan上的端口配成混雜端口）---可以和其它端口通信,不屬于任何一個子VLAN,通常是連接網(wǎng)關的端口或是連接服務器的端口。

5、規(guī)則：
在一個主VLAN中只能有一個隔離VLAN，可以有多個聯(lián)盟VLAN
隔離VLAN中的主機相互間不能訪問，也不能和其它子VLAN訪問，也不能和外部VLAN訪問，只能與混雜端口訪問
聯(lián)盟VLAN中的主機可以相互訪問，可以和混雜端口訪問，但不能和其它子VLAN訪問，也不能和外部VLAN訪問

三、配置

1、設置主VLAN
SW1（config）#vlan 200
private-vlan primary  
vtp mode transparent

2、設置二級子VLAN
SW1（config）#vlan 202
  private-vlan isolated    #設置為隔離VLAN

SW1（config）#vlan 201
  private-vlan community   #設置為聯(lián)盟VLAN

3、將子VLAN劃入主VLAN中,建立一個聯(lián)系
SW1（config）#vlan 200
  private-vlan association 201-202

SW1（config）#vlan 200
  private-vlan association add 203   #加入一個子VLAN
  private-vlan association remove 203  #移除一個子VLAN

4、將端口設定一個模式，并劃入相應的VLAN中

int e0
  switchport mode private-vlan host  #設置端口的模式，根據(jù)子VLAN的類型成為相應的端口
  switchport private-vlan host-association 200 201 #將端口劃入VLAN200中的子VLAN201


int e0
  switchport mode private-vlan promiscuous   #設置混雜端口

  switchport private-vlan mapping 200 201-202    #設定混雜端口所能管理的子VLAN
  switchport private-vlan mapping 200 add/remove 203    #增加或移除一個可管理的子VLAN