用VLAN解决宿舍网络安全问题

    IOS交换机
      （global） vlan secondary_number
             （vlan-config） private-vlan [isolated | community] 
     配置isolated（被隔离）或community（群体）次VLAN来划分端口和控制流量。每一个这样的VLAN的（primary_number）都必须彼此不同和唯一，和主VLAN的number也要不同。Isolated（被隔离）VLAN的成员只能和在第6步中映射的混杂（promiscuous）端口进行通信。双向（two-way）的群体就像一个普通的群体一样，但是有更多功能：能用访问控制列表检查进出（双向）VLAN的流量，而且在私用VLAN内提供了更强的安全性。


　　（4）把isolated（被隔离）VLAN和community（群体）VLAN绑定到主VLAN上


     COS交换机
        set pvlan primary_number secondary_number
     IOS交换机
     （global） vlan primary_number
               （vlan-config） private-vlan association secondary_number_list [addsecondary_number_list]
     这条命令把次VLAN关联或者说绑定到主VLAN上。对于IOS命令来说，add选项允许以后关联其他VLAN。

 
　　（5）将端口加入isolated（被隔离）VLAN和community（群体）VLAN


     COS交换机
            set pvlan primary_number secondary_number mod/port [sc0]
     IOS交换机
     （global） interface type mod/port
                （interface） switchport
                （interface） switchport mode private-vlan host
                （interface） switchport mode private-vlan host-association primary_number               secondary_number 
     在已经创建和关联好了主次VLAN之后，必须把端口划给VLAN。对于COS交换机来说，可以把sc0接口加到私用VLAN中。


　　（6）给isolated（被隔离）VLAN和community（群体）VLAN映射混杂（promiscuous）端口 


     COS交换机
            set pvlan mapping primary_number secondary_number mod/port
     IOS交换机
    （global） interface type mod/port
                   （interface） switchport
                   （interface） switchport mode private-vlan promiscuous