NP_03-虚拟局域网(VLAN)概述课件

1、第三章虚拟局域网（VLAN）交换今日汗水，路由明朝辉煌教学目标理解虚拟局域网的概念理解虚拟局域网的用途和优点掌握802.1Q标准掌握VLAN的配置方法掌握Trunk的配置方法掌握利用路由器和三层交换机实现VLAN间路由的方法了解Private VLAN和Super VLAN技术本章内容VLAN概述VLAN定义方法VLAN和Trunk的配置交换机的基本配置VLAN间的通信VLAN排错Private VLANSuper VLAN课程议题3.1 VLAN概述广播域能够接收到某个节点发送的广播信号的范围即是广播域。通常来说一个局域网就是一个广播域。广播域过大带来的问题广播过多，导致带宽浪费广播面大导致

2、安全性降低节点需要处理过多的广播分隔广播域解决广播域过大的方法是分隔广播域，将一个大范围的广播域变成多个小范围的广播域分隔广播域的方法使用路由器分割成多个子网使用虚拟局域网(VLAN)分隔成多个子网VLAN的概念虚拟局域网（Virtual Local Area Network，VLAN）将一个物理交换机通过配置变成多个逻辑上的交换机。每一个逻辑交换机连接一个局域网（子网）交换机广播帧广播帧VLAN 10VLAN 20VLAN的特点VLAN的特点：基于逻辑的分组在同一VLAN内和真实局域网相同不受物理位置限制减少节点在网络中移动带来的管理代价不同VLAN内用户要通信需要借助三层设备VLAN的用途

3、VLAN的用途控制不必要的广播的扩散，从而提高网络带宽利用率，减少资源浪费。划分不同的用户组，对组之间的访问进行限制，从而增加安全性。与物理位置无关的VLAN工程部销售部财务部一层二层三层VLAN与网络管理由于实现了广播域分隔，VLAN可以将广播风暴控制在一个VLAN内部，划分VLAN后，随着广播域的缩小，网络中广播包消耗的带宽所占的比例大大降低，网络性能得到显著提高；不同的VLAN间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络；同时，由于VLAN是逻辑的而不是物理的，因此在规划网络时可以避免地理位置的限制。 VLA

4、N具有的功能控制网络广播、提高网络性能；分隔网段、确保网络安全；简化网络管理、提高组网灵活性。课程议题3.2VLAN定义方法VLAN的定义方法基于端口的VLAN（静态VLAN ）根据以太网交换机的端口来划分VLAN 实际工作中最常用的VLAN技术基于MAC地址的VLAN根据每个主机网卡的MAC地址来划分VLAN 基于网络层的VLAN根据每个主机的网络层地址或协议类型（如果支持多协议）划分VLAN 基于IP组播的VLAN一个组播组就是一个VLAN 基于端口的VLAN创建新VLAN手工将端口加入到新VLAN中，即可实现基于端口的VLAN默认情况下，交换机所有端口属于VLAN1（Default VL

5、AN），VLAN 102 4 6 8 10 12 14 16 18 20 22 24VLAN 201 3 5 7 9 11 13 15 17 19 21 23VLAN 1（Default VLAN）VLAN基于端口的VLAN也称为静态VLAN其余三种属于动态VLAN课程议题3.3 VLAN标准多交换机同VLAN的通信每个VLAN需要单独的线缆进行连接每根互联线缆上只承载一个VLAN内的数据VLAN越多，用于互联的线缆越多，用于连接主机的线缆越少VLAN 10VLAN 20VLAN 30VLAN 10VLAN 20VLAN 30VLAN标准为了实现在互联线缆上承载多个VLAN的数据帧，需要一种能

6、够区分不同VLAN数据帧的方式802.1Q规定了VLAN的标签信息及标签格式，用来区别不同VLAN的数据帧VLAN 10VLAN 20VLAN 30VLAN 10VLAN 20VLAN 30802.1Q帧格式IEEE802.1Q使用4Byte的标记头来定义Tag（标记）；Tag头中包括2Byte的协议标识TPID（Tag Protocol Identifier）和2Byte的控制信息TCI（Tag Control Information）。 IEEE802.1Q数据帧标记协议标识（TPID）:固定值0 x8100,表示该帧载有802.1Q标记信息标记控制信息（TCI）:Priority：3比特

7、，表示优先级Canonical format indicator：1比特，表示总线型以太网、FDDI、令牌环网VlanID：12比特，表示VID，范围14094交换机的端口Trunk: Tag Aware端口（连接交换机）Acess： UnTagged端口（连接计算机）交换机的端口模式ACCESS端口Access端口只能属于一个VLAN，它发送的帧不带有VLAN标签，一般用于连接计算机的端口，Port VLAN Trunk端口可以允许多个VLAN通过，它发出的帧一般是带有VLAN标签的，一般用于交换机之间连接的端口， TAG VLANVLAN 10VLAN 20VLAN 30VLAN 10VL

8、AN 20VLAN 30Trunk端口Access端口Port-VLAN原理通过查找MAC地址表，交换机对发往不同VLAN的数据不转发F0/1F0/2F0/3ABCVlan 10Vlan 20Vlan 10A BA CX交换机端口MAC地址VLAN IDF0/1A10F0/2B20F0/3C10何谓TRUNK所谓的Trunk是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯；其中交换机之间互联用的端口就称为Trunk端口。Trunk这个词是干线或者树干的意思，不过一般不翻译，直接用原文。注意：与一般的交换机的级联不同，Trunk是基于OSI第二层的

9、。VLAN Trunk在交换机之间或交换机与路由器之间，互相连接的端口上配置中继模式，使得属于不同VLAN的数据帧都可以通过这条中继链路进行传输。帧的格式分为两种：ISL：Inter-Switch link，是Cisco交换机独有的协议IEEE802.1Q：是国际标准协议，被几乎所有的网络设备生产商所共同支持；IEEE802.1Q标准1996年3月，IEEE802.1 Internet Working委员会结束了对VLAN初期标准的修订工作；统一了Frame-Tagging（帧标记）方式中不同厂商的标签格式，制定IEEE802.1Q VLAN标准，进一步完善了VLAN的体系结构；802.1Q定

10、义了VLAN的桥接规则，能够正确识别VLAN的帧格式，更好地支持多媒体应用；它为以太网提供了更好服务质量（QoS）保证和安全的能力。802.1Q工作原理802.1Q工作特点：802.1Q数据帧传输对于用户是完全透明的。Trunk上默认会转发交换机上存在的所有VLAN的数据。交换机在从Trunk口转发数据前会在数据打上个Tag标签，在到达另一交换机后，再剥去此标签。A交换机1交换机2B数据帧Tag标签TrunkTrunk802.1Q的Native VLANNative VLAN用于实现与不支持802.1Q帧的设备兼容802.1Q不为Native VLAN的帧打标签默认情况下，Native VLA

11、N=Default VLAN=VLAN1没有打标签的VLAN流量（Native VLAN）VLAN 3VLAN 2VLAN 1VLAN 3VLAN 2VLAN 1TrunkTrunk集线器课程议题3.4 VLAN和Trunk的配置VLAN的配置添加或者修改VLANSwitch(config)# vlan vlan-id /创建一个新VLANSwitch(config-vlan)#name vlan-name /命名（可选）删除VLANSwitch(config)# no vlan vlan-id VLAN的配置查看VLANSwitch# show vlanVLAN Name Status Po

12、rts - - - -1 default active Fa0/1 ,Fa0/2 ,Fa0/3 ,Fa0/4 ,Fa0/5 ,Fa0/6 Fa0/7 ,Fa0/8 ,Fa0/9 ,Fa0/10,Fa0/11,Fa0/12 Fa0/13,Fa0/14,Fa0/15 ,Fa0/16,Fa0/17,Fa0/18 Fa0/19,Fa0/20,Fa0/21 ,Fa0/22,Fa0/23,Fa0/2410 gongcheng active 20 xiaoshou active 30 caiwu active 向VLAN内添加端口将端口分配给一个VLANSwitch(config)# interface i

13、nterface-id /进入交换机端口 Switch(config-if)# switchport mode access /将端口配置为access口Switch(config-if)# switchport access vlan vlan-id /将端口指派到某VLAN配置VLAN Trunk将端口设置成Trunk端口Switch(config)# interface interface-id Switch(config-if)#switchport mode trunk 指定Trunk端口的Native VLANSwitch(config-if)#switchport trunk n

14、ative vlan vlan-id 默认的native VLAN是VLAN 1Trunk链路两端native vlan必须一致配置VLAN举例创建VLAN10，将它命名为test的例子Switch# configure terminalSwitch(config)# vlan 10Switch(config-vlan)# name testSwitch(config-vlan)# exit 把接口F 0/10加入VLAN10 Switch(config)# interface fastEthernet 0/10Switch(config-if)# switchport mode access

15、Switch(config-if)# switchport access vlan 10Switch(config-if)# end配置VLAN举例将一组接口加入某一个VLANSwitch(config)#interface range fastethernet 0/1-8， 0/15，0/20Switch(config-if-range)# switchport mode accessSwitch(config-if-range)# switchport access vlan 10注：连续接口 0/1-8，不连续接口用逗号隔开，但一定要写明模块编号配置VLAN Trunk举例两边交换机配置

16、一样TrunkF0/1F0/1Switch(config)#interface fastEthernet 0/1Switch(config-if)#switchport mode trunkSwitch(config-if)#end查看VLAN配置Switch#show vlanVLAN Name Status Ports - - - -1 default active Fa0/1 ,Fa0/2 ,Fa0/3 , Fa0/4 ,Fa0/6 ,Fa0/9 Fa0/16,Fa0/17,Fa0/18 , Fa0/19,Fa0/20,Fa0/21 Fa0/22,Fa0/23,Fa0/2410 gong

17、cheng active Fa0/1 ,Fa0/5 ,Fa0/7 20 xiaoshou active Fa0/1 ,Fa0/8 ,Fa0/10 ,Fa0/11,Fa0/12,Fa0/13 Fa0/14,Fa0/15查看VLAN配置Switch# show interfaces fastEthernet 0/1 switchport Interface Switchport Mode Access Native Protected VLAN lists - - - - - -Fa0/1 Enabled Trunk 1 1 Disabled AllSwitch# show interfaces

18、fastEthernet 0/1 trunkInterface Mode Native VLAN VLAN lists - - - -Fa0/1 On 1 All 定义Trunk端口的许可VLAN列表Trunk接口默认可以传输本交换机支持的所有VLAN（14094），但是也可以通过设置接口的许可VLAN列表来限制某些VLAN的流量不能通过这个trunk口。Switch(config-if)#switchport trunk allowed vlan all | add |remove|except vlan-list all：许可列表包含所有支持的VLAN add：将指定VLAN列表加入许可V

19、LAN列表。remove：将指定VLAN列表从许可VLAN列表中删除。except：将除列出的VLAN列表外的所有VLAN加入许可VLAN列表 Trunk端口许可VLAN列表举例Switch(config)#interface fastEthernet 0/20Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan remove 2Switch(config-if)#endSwitch#show interfaces fastethernet0/20 switchportInt

20、erface Switchport Mode Access Native Protected VLAN lists- - -Fa0/20 Enabled Trunk 1 1 Enabled 1,3-4094保存/清除VLAN信息将VLAN信息保存到flash中Switch# write memory从flash中只清除VLAN信息Switch# delete flash:vlan.dat从RAM中删除VLANSwitch(config)# no vlan vlan-id课程议题3.5VLAN间的通信划分VLAN的问题划分VLAN的问题在交换机上划分VLAN后，带来了隔离广播、提高安全性、隔离故

21、障的好处，但是，问题是不同VLAN之间无法通过二层设备互相通信。解决办法通过三层设备实现VLAN间路由。F0/3F0/1F0/2利用路由器实现VLAN间的通信VLAN 10VLAN 20VLAN内部通信VLAN间通信物理线路路由器利用单臂路由实现VLAN间的通信单臂路由：在路由器的物理接口上创建多个子接口，不同的子接口用于转发不同VLAN标签的数据帧，从而实现不同VLAN之间的通信802.1QTrunkF0/0VLAN 10VLAN 20VLAN 30FastEthernet 0/0FastEthernet 0/0.1FastEthernet 0/0.2FastEthernet 0/0.3单臂

22、路由在路由器上为每个VLAN划分一个子接口每个子接口配置IP地址，作为相应VLAN的网关利用路由器的路由功能，实现不同子接口数据的转发缺点是：部署不灵活，形成网络瓶颈。F0/0.1192.168.10.1F0/0.2192.168.20.1单臂路由的配置Router(config)# interface interface-id Router(config-if)#no ip address Router(config-if)#exit Router(config)#interface fastethernet slot-number/interface-number.subinterface

23、-number /进入子接口Router(config-subif)#encapsulation dot1Q VlanID /封装dot1QRouter(config-subif)#ip address ip-address mask 单臂路由配置举例802.1QTrunkF0/0VLAN 10VLAN 20VLAN 30Switch# configure terminalSwitch(config)# vlan 10Switch(config-vlan)# exit Switch(config)# vlan 20Switch(config-vlan)# exitSwitch(config)#

24、 vlan 30Switch(config-vlan)# exitSwitch(config)#interface range fastethernet 0/1-5Switch(config-if-range)# switchport access vlan 10Switch(config-if-range)# exitSwitch(config)#interface range fastethernet 0/6-10Switch(config-if-range)# switchport access vlan 20Switch(config-if-range)# exitSwitch(con

25、fig)#interface range fastethernet 0/11-20Switch(config-if-range)# switchport access vlan 30Switch(config-if-range)# exitSwitch(config)#interface fastethernet 0/24Switch(config-if)# switchport mode trunk单臂路由配置举例802.1QTrunkF0/0VLAN 10VLAN 20VLAN 30Router(config)#interface fastEthernet 0/0Router(config

26、-if)#no ip address Router(config-if)#exitRouter(config)#interface fastEthernet 0/0.1Router(config-subif)#encapsulation dot1Q 10Router(config-subif)#ip address 192.168.10.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastEthernet 0/0.2Router(config-subif)#encapsulation dot1Q 20Rout

27、er(config-subif)#ip address 192.168.20.1 255.255.255.0Router(config-subif)#exitRouter(config)#interface fastEthernet 0/0.3Router(config-subif)#encapsulation dot1Q 30Router(config-subif)#ip address 192.168.30.1 255.255.255.0Router(config-subif)#end查看单臂路由的配置Router# show ip routeCodes: C - connected, S

28、 - static, R - RIP B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate defaultGateway of last resort is no set

29、C 192.168.10.0/24 is directly connected, FastEthernet 0/0.10C 192.168.10.1/32 is local host. C 192.168.20.0/24 is directly connected, FastEthernet 0/0.20C 192.168.20.1/32 is local host. C 192.168.30.0/24 is directly connected, FastEthernet 0/0.30C 192.168.30.1/32 is local host. 利用三层交换机实现VLAN间通信单臂路由缺

30、点容易产生瓶颈端口带宽小转发速率低 采用三层交换机实现VLAN间的路由内含交换机模块和路由器模块使用ASIC硬件处理路由，可以实现高速路由。路由与交换模块内部汇聚连接，可以确保带宽 交换机的三层接口默认三层交换机的路由功能是开启的默认交换机上的接口都是工作在2层的，只能识别2层数据帧（MAC地址）可以将2层接口配置为3层接口，从而让接口可以识别3层数据包（IP地址）配置命令：Switch(config-if)# no switchport配置了3层接口的交换机可以像路由器一样直接连接不同的网段利用3层交换机实现VLAN间的通信VLAN 10VLAN 20VLAN内部通信VLAN间通信物理线路交

31、换机利用SVI技术实现VLAN间通信SVI端口：交换机虚拟接口（Switch Virtual Interface）三层交换机上配置SVI接口地址各VLAN中主机将三层交换机上相应VLAN的SVI接口地址作为本VLAN网关数据到达三层交换机后利用路由功能转发到其他VLAN创建VLAN的虚拟接口并配置IP地址Switch(config)# interface vlan vlan-idSwitch(config-if)# ip address ip mask 三层交换配置举例S3750(config)#interface fastethernet 0/24S3750(config-if)# swit

32、chport mode trunkS3750(config)#interface vlan 10S3750(config-if)#ip address 192.168.10.1 255.255.255.0S3750(config-if)#exitS3750(config)#interface vlan 20S3750(config-if)#ip address 192.168.20.1 255.255.255.0S3750(config-if)#exitS3750(config)#interface vlan 30S3750(config-if)#ip address 192.168.30.1

33、 255.255.255.0S3750(config-if)#end查看路由表S3750# show ip routeCodes: C - connected, S - static, R - RIP B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS le

34、vel-2, ia - IS-IS inter area * - candidate defaultGateway of last resort is no setC 192.168.10.0/24 is directly connected, VLAN 10C 192.168.10.1/32 is local host. C 192.168.20.0/24 is directly connected, VLAN 20C 192.168.20.1/32 is local host. C 192.168.30.0/24 is directly connected, VLAN 30C 192.16

35、8.30.1/32 is local host.练习S3750S2126S2326F0/24F0/24F0/12F0/11F0/1S3750VL10:192.168.10.1/24VL20:192.168.20.1/24S2126VL10:F0/1-F0/10VL20:F0/11-F0/20S2326VL10:F0/1-F0/10VL20:F0/11-F0/20练习S3750S2126S2326F0/24F0/24F0/12F0/11F0/1S3750VL10:192.168.10.1/24VL20:192.168.20.1/24VL30:192.168.30.1/24S2126VL10:F0

36、/1-F0/10VL20:F0/11-F0/20VL30:F0/21-23S2326VL10:F0/1-F0/10VL20:F0/11-F0/20S2126-2S2126-2VL10:F0/1-F0/10VL30:F0/11-F0/20F0/24F0/23课程议题3.6VLAN排错常规局域网排错方法常见故障举例吞吐量很低：需要检查存在错误的类型，可能是网卡的故障大量的帧RCS校验错误、长度小于64字节等：往往是端口之间双工不匹配，原因可能是设备之间的自动协商或是双方的连接错误所导致。常见故障举例VLAN内的主机不能和其他VLAN通信 ：主机上错误的网关、IP地址和子网掩码设置主机所连接的端口被

37、划分到了错误的VLAN交换机上的Trunk端口设置错误，例如缺省VLAN设置不匹配，允许的VLAN列表不正确等路由器子接口或三层交换机SVI端口的IP地址和子网掩码设置错误路由器或者三层交换机可能需要添加到达其他子网的路由VLAN错误排查方法从低层（物理层）逐步向上排查，如端口和线缆无故障，则：检查主机的网络设置是否匹配和正确通过show vlan命令，确定VLAN内的端口划分正确通过show interface trunk命令，检查Trunk链路两端的Trunk设置是否匹配且正确通过show interface命令，确定是否设置了正确的IP地址和子网掩码通过show ip route命令，确

38、定各个子网都能够正确出现在路由表中VLAN错误排查方法通过show interface subinterface 命令，检查路由器的子接口是否正确封装了802.1Q，并指定到了正确的VLAN通过show interface命令，检查主机和交换机端口的速度和双工设置是否匹配配置端口工作模式Switch(config-if)# duplex auto | full | half 课程议题3.7 Private VLAN划分VLAN的问题可分配的VLAN编号是1-4094，需要划分更多的VLAN怎么办每一个VLAN都划分一个子网，当划分多个VLAN时，导致地址的浪费F0/1F0/2F0/3Priva

39、te VLANPrivate VLAN（私有VLAN，PVLAN）是能够为相同VLAN内不同端口提供隔离的VLANF0/1F0/2F0/3Private VLAN的组成PVLAN可以将一个VLAN的二层广播域划分成多个子域，每个子域都由一对VLAN组成：Primary VLAN（主VLAN）Secondary VLAN（辅助VLAN组成） Secondary VLANF0/2F0/1Secondary VLANPrimary VLANPrivate VLAN的组成主VLAN： 主VLAN是PVLAN的高级VLAN，每个PVLAN中只有一个主VLAN。辅助VLAN： 辅助VLAN是PVLAN中的

40、子VLAN，并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN。隔离VLAN（Isolated VLAN）：同一个隔离VLAN中的端口互相不能进行二层通信，一个私有VLAN域中只有一个隔离VLAN。团体VLAN（Community VLAN）：同一个团体VLAN中的端口可以进行二层通信，但是不能与其他团体VLAN中的端口进行二层通信，一个私有VLAN中可以有多个团体VLAN。 Pravite VLAN的端口类型混杂端口（Promiscuous Port）：混杂端口为主VLAN中的端口，可以与任意端口通信，包括同一个PVLAN中的隔离端口和团体端口。隔离端口（Isolated Port）

41、：隔离端口为隔离VLAN中的端口，隔离端口只能与混杂端口进行通信。团体端口（Community Port）：团体端口为团体VLAN中的端口，同一个团体VLAN中的团体端口之间可以互相通信，并且团体端口可以与混杂端口通信，但是不能与其他团体VLAN的端口进行通信。 Private VLAN的实现主VLAN中的混杂端口用于连接到网关设备，可以和本VLAN中所有端口通信隔离VLAN中的各端口均为隔离端口，互相不可通信，也不可与其他隔离VLAN或团体VLAN通信团体VLAN中的端口均为团体端口，可与本团体端口通信，不可与其他团体端口或隔离端口通信Private VLAN的实现配置Private VLA

42、N配置Private VLAN主要包括以下几个步骤：配置主VLAN与辅助VLAN关联辅助VLAN到主VLAN将辅助VLAN映射到主VLAN的3层接口配置主机端口配置混杂端口 配置Private VLAN配置主VLAN与辅助VLAN步骤1：进入配置模式Switch# configure terminal步骤2：进入VLAN配置模式Switch(config)# vlan vid步骤3：配置私有VLAN类型Switch(config-vlan)# private-vlan community | isolated | primary 在802.1q VLAN中，有成员端口的VLAN不能配置为私有V

43、LAN。VLAN 1不能配置为私有VLAN。配置Private VLAN关联辅助VLAN到主VLAN 步骤1：进入主VLAN的VLAN配置模式Switch(config)#vlan p_vid步骤2：关联辅助VLAN到主VLANSwitch(config-vlan)#private-vlan association add | remove svlist配置Private VLAN将辅助VLAN映射到主VLAN的三层接口步骤1：进入主VLAN的VLAN接口模式Switch(config)#interface vlan p_vid步骤2：映射辅助VLAN到主VLAN的三层接口Switch(con

44、fig-if)#private-vlan mapping add | remove svlist配置Private VLAN配置主机端口步骤1：进入主机端口Switch(config)#interface port-type port步骤2：配置端口为主机端口Switch(config-if)#switchport mode private-vlan host步骤3：关联主机端口到PVLANSwitch(config-if)#switchport private-vlan host-association p_vid s_vid配置Private VLAN配置混杂端口步骤1：进入主机端口Swi

45、tch(config)#interface interface步骤2：配置端口为混杂端口Switch(config-if)#switchport mode private-vlan promiscuous步骤3：配置混杂端口所在的主VLAN以及关联的辅助VLANSwitch(config-if)#switchport private-vlan mapping p_vid add | remove svlist配置Private VLAN示例Swich#configure terminalSwitch(config)#vlan 10Switch(config-vlan)#private-vlan

46、 primarySwitch(config-vlan)#exitSwitch(config)#vlan 20Switch(config-vlan)#private-vlan communitySwitch(config-vlan)#exitSwitch(config)#vlan 30Switch(config-vlan)#private-vlan isolatedSwitch(config-vlan)#exitSwitch(config)#vlan 10Switch(config-vlan)#private-vlan association add 20,30Switch(config-vla

47、n)#exit配置Private VLAN示例Switch(config)#interface range fastEthernet 0/1-2Switch(config-if-range)#switchport mode private-vlan hostSwitch(config-if-range)#switchport private-vlan host-association 10 30Switch(config-if-range)#exitSwitch(config-if)#interface range fastEthernet 0/3-4Switch(config-if-rang

48、e)#switchport mode private-vlan hostSwitch(config-if-range)#switchport private-vlan host-association 10 20Switch(config-if-range)#exitSwitch(config)#interface fastEthernet 0/5Switch(config-if)#switchport mode private-vlan promiscuousSwitch(config-if)#switchport private-vlan mapping 10 add 20,30Switch(config-if)#end课程议题3.7 Super VLANS