目  录

1 PVLAN概述·· 1

1.1 PVLAN产生背景·· 1

1.2 PVLAN技术优点·· 1

2 PVLAN技术实现·· 2

2.1 PVLAN相关术语·· 2

2.2 PVLAN技术原理·· 2

2.2.1 PVLAN工作原理·· 3

2.2.2 PVLAN配置同步·· 4

2.2.3 MAC地址同步·· 6

2.2.4 PVLAN L3域·· 7

2.3 PVLAN应用限制·· 8

3 PVLAN组网应用·· 8

3.1.1 PVLAN二层应用·· 8

3.1.2 PVLAN三层应用·· 10

3.1.3 PVLAN与组播应用·· 12

1  PVLAN概述

1.1  PVLAN产生背景

以太网的快速发展对传统VLAN网络提出了更高的要求，基于用户安全和管理计费等方面的考虑，一般要求接入用户二层互相隔离。VLAN是天然的隔离手段，很自然的想法是每个用户一个VLAN。如图1所示，Switch B和Switch C上分别接入三个用户，如果给每个用户划分一个VLAN，则需要占用Device A上的六个VLAN资源。

图1 传统VLAN网络

根据IEEE 802.1Q协议规定，设备最大可使用VLAN资源为4094个。对于核心层设备来说，如果每个用户一个VLAN，4094个VLAN远远不够，而且在一般的交换设备中，通常是采用一个VLAN对应一个VLAN接口的方式来实现VLAN之间的互通，这将耗费大量的IP地址、增加部署成本与日常维护管理。为了解决上述问题，PVLAN（Private VLAN，私有VLAN）技术应运而生。

1.2  PVLAN技术优点

·              节省VLAN及IP资源：

PVLAN采用两层VLAN隔离技术，即上行Primary VLAN和下行Secondary VLAN。对上行设备而言只可见Primary VLAN，而不必关心Private VLAN中的Secondary VLAN，Primary VLAN下面的Secondary VLAN对上行设备不可见，从而大大节省了上行设备的VLAN资源。

PVLAN支持L3域功能，对下行不同的Secondary VLAN，均可使用Primary VLAN接口作为网关，并且支持不同Secondary VLAN之间的三层互通，有效地节省了紧缺的IP资源。

·              安全性：

下行Secondary VLAN在配置为Isolated VLAN后，具备隔离功能，同一Secondary VLAN内各端口二层隔离，增强了安全性。

·              高性能：

PVLAN转发采用MAC地址同步技术，同时PVLAN L3域的广播报文在Primary VLAN内通信时由芯片完成发送，具有较高的转发性能。

2  PVLAN技术实现

2.1  PVLAN相关术语

·              Private VLAN：由一组VLAN集构成，包括1个Primary VLAN和其对应的Secondary VLAN。

·              Primary VLAN：上行设备感知的用户VLAN，它并不是用户的真正VLAN。

·              Secondary VLAN：用户真正属于的VLAN。Secondary VLAN有两种类型：Community VLAN和Isolated VLAN。同一Community VLAN内的下行端口（又称为Community port）可以互通，同一Isolated VLAN内的下行端口（又称为Isolated port）相互隔离。缺省情况下，Secondary VLAN为Community VLAN。

·              Host工作模式：工作在Host模式的端口用于与用户相连，负责和终端通信，属于下行端口。对于Host模式的端口，需确保其缺省VLAN为Secondary VLAN，否则该端口无法转发来自Primary VLAN的报文。

·              Trunk secondary工作模式：工作在Trunk secondary模式的端口用于和下行设备相连，属于下行端口。报文携带的Primary VLAN ID在端口出方向上会替换为对应Secondary VLAN ID，从而对于下行设备屏蔽了Primary VLAN。Trunk secondary模式的端口，对于同一个Primary VLAN只能加入一个Secondary VLAN，但可加入多个不同Primary VLAN对应的Secondary VLAN。Trunk secondary模式适用于需要多个Secondary VLAN通过下行端口的情况，该模式下多个Secondary VLAN携带Tag通过下行端口。而Host模式适用于只有一个Secondary VLAN通过下行端口的情况，该模式下Secondary VLAN不带Tag通过下行端口。

·              Promiscuous工作模式：工作在Promiscuous模式的端口用于和上行设备相连，负责和上行设备通信，属于上行端口。Promiscuous模式的端口，需确保其缺省VLAN为Primary VLAN，否则该端口无法转发来自Secondary VLAN的报文。Promiscuous适用于只有一个Primary VLAN通过上行端口的情况，该模式下Primary VLAN不带Tag通过上行端口。Trunk pomiscuous工作模式：工作在Trunk promiscuous模式的端口用于和上行设备相连，属于上行端口。报文携带的Secondary VLAN ID在端口出方向上会替换为对应Primary VLAN ID，从而对于上行设备屏蔽了Secondary VLAN。Trunk promiscuous模式适用于多个Primary VLAN携带Tag通过上行端口。

·              PVLAN L3域：通过在Primary VLAN接口上指定三层互通的Secondary VLAN，配置Primary VLAN接口的IP地址及开启本地代理ARP（Address Resolution Protocol，地址解析协议）/ND（Neighbor Discovery，邻居发现）功能可以建立PVLAN L3域。其中三层互通的Secondary VLAN被认为加入了该PVLAN L3域，这些Secondary VLAN共用Primary VLAN接口作为网关，大大节省了IP资源。

2.2  PVLAN技术原理

PVLAN技术是如何屏蔽Secondary VLAN信息、节省VLAN资源的呢？实现这个功能，要求：

·              来自不同Secondary VLAN的报文，能够通过上行端口发送给上行设备，而且不能携带Secondary VLAN信息。

·              来自Primary VLAN的报文，能够通过下行端口发送给用户，而且不能携带Primay VLAN信息。

PVLAN技术中，上下行接口可以采用不同的PVLAN工作模式，在出方向剥离VLAN Tag或替换VLAN Tag，完成屏蔽VLAN的功能。其次，PVLAN采用配置同步以及MAC地址同步技术，简化了用户的配置，提高了报文转发的效率以及安全性。同时，PVLAN支持L3域，对于加入PVLAN L3域的Secondary VLAN，可通过Primary VLAN接口进行三层互通。

2.2.1  PVLAN工作原理

如2.1  PVLAN相关术语所述，PVLAN提供了四种工作模式：Host工作模式、Trunk secondary工作模式、Promiscuous工作模式、Trunk promiscuous工作模式。其中，Promiscuous工作模式和Trunk promiscuous工作模式应用于上行端口；Host工作模式和Trunk secondary工作模式应用于下行端口，与Isolated VLAN一起应用时具有隔离功能。通过这四种工作模式，可以对PVLAN的应用进行灵活组网。

各工作模式端口间的互通关系如图2所示（假设上行端口工作在Promiscuous模式，Trunk promiscuous模式的上行端口与此相同）：Community port与Promiscuous port之间可以互通，Community port之间可以互通；Isolated port与Promiscuous port之间可以互通，Isolated port之间不能互通。

图2 PVLAN各工作模式端口间的互通关系

除了如图2所示支持本设备内下行端口隔离之外，同样也支持Isolated VLAN的跨设备隔离。对于Isolated VLAN的跨设备隔离，要求报文可以携带Isolated VLAN Tag发送到其它设备上，借助Trunk口（或Hybrid口），可以完成跨设备的隔离。如图3所示，对于Device A到Device B的流量，Community port之间能够互通，Isolated port之间不能互通。

图3 PVLAN跨设备隔离

2.2.2  PVLAN配置同步

PVLAN配置同步技术方便用户对PVLAN组网进行配置，特别体现在Primary下有大量Secondary VLAN的环境中。PVLAN配置同步的触发需要满足三个条件：Primary VLAN使能、Primary VLAN与Secondary VLAN的映射建立，以及端口配置PVLAN工作模式。三个条件的配置无先后依赖关系，当配置满足该三个条件后，系统会自动对Primary VLAN和Secondary VLAN所包含的端口进行配置同步。

配置同步主要包括两方面内容：端口类型切换，端口加入Primary VLAN与Secondary VLAN。

(1)      端口类型切换：对于Access类型的接口，切换为Hybrid类型；对于Trunk/Hybrid类型的接口保持原接口类型不变。

(2)      端口加入Primary VLAN与Secondary VLAN：若端口此前存在以Tagged/Untagged方式加入某些对应VLAN的配置，则在保持原有配置的基础上，端口会以下面原则加入其它的VLAN：

·              对于Host工作模式的下行端口，以Untagged方式加入Primary VLAN。

·              对于Trunk secondary工作模式的下行端口，以Tagged方式加入Primary VLAN和Secondary VLAN。

·              对于Promiscuous工作模式的上行端口，以Untagged方式加入Secondary VLAN。

·              对于Trunk promiscuous工作模式的上行端口，以Tagged方式加入Primary VLAN和Secondary VLAN。

如图4所示的组网中，端口的相关属性如表1所示。

在Device A上做如下配置：

·              配置VLAN 10为Primary VLAN，VLAN 201、301为其对应的Secondary VLAN。

·              配置GigabitEthernet1/0/1在VLAN 10中工作在Promiscuous模式，GigabitEthernet1/0/2、GigabitEthernet1/0/3在VLAN 301、201中工作在Host模式。

在Device B上做如下配置：

·              配置VLAN 10为Primary VLAN，VLAN 201为其对应的Secondary VLAN。

·              配置VLAN 20为Primary VLAN，VLAN 401为其对应的Secondary VLAN。

·              配置GigabitEthernet1/0/1在VLAN 10、20中工作在Trunk promiscuous模式，GigabitEthernet1/0/2在VLAN 201中工作在Host模式，GigabitEthernet1/0/3在VLAN 201、401中工作在Trunk secondary模式。

配置同步后，端口的相关属性改变了，具体信息如表2所示。

图4 PVLAN配置同步组网图

表1 配置同步前端口的相关属性

表2 配置同步后端口的相关属性

2.2.3  MAC地址同步

通过MAC地址同步，报文是如何找到相应的出端口的呢？本小节重点以Host A与Device C通信过程中，Device A上的MAC地址表为例进行介绍。

PVLAN无MAC地址同步转发流程如图5所示，通过MAC地址学习，Device A会生成并维护一张MAC地址表（如表3所示）。如果Device C给Host A发送报文（源MAC为mac_c，目的MAC为mac_a）；Device A会给报文添加Tag，VLAN ID为10（即端口的缺省VLAN ID）；然后以“mac_a+VLAN 10”为条件去查询MAC地址表。由于找不到相应的表项，该报文会在VLAN 10内广播，并最终从GigabitEthernet1/0/2、GigabitEthernet1/0/3发送出去（如图5中蓝色箭头所示）。

图5 PVLAN无MAC同步转发流程图

在如图5所示组网中，Device A上的MAC地址表如表3所示。因此，每次上行和下行的报文都需要广播才能到达目的地。当Secondary VLAN和Primary VLAN包含的端口较多时，这样的处理方式会占用大量的带宽资源，形成大量的广播报文，相应的也面临安全问题（如易被截获和侦听）。通过MAC地址同步机制可以解决这个问题。

表3 同步前的MAC地址表

MAC地址同步原理如下：

·              Secondary VLAN到Primary VLAN的同步，即下行端口在Secondary VLAN内学习到的动态MAC地址都同步到Primary VLAN内。

·              Primary VLAN到Secondary VLAN的同步，即上行端口在Primary VLAN学习到的动态MAC地址同步到所有的Secondary VLAN内。

图6 PVLAN MAC地址同步转发流程图

在如图6所示的组网中，Device A上MAC地址同步后生成的MAC地址表如表4所示。

表4 同步后的MAC地址表

当Primary VLAN下面配置了很多Secondary VLAN，MAC地址同步后，将导致MAC地址表过于庞大，进而影响设备的转发性能。同时考虑到用户的下行流量要远远大于上行流量，下行流量需要进行单播，上行流量可以进行广播。所以，Secondary VLAN到Primary VLAN的同步所有产品均支持，而Primary VLAN到Secondary VLAN的同步部分产品不支持。

以上为Promiscuous port和Community port之间的通信；Trunk promiscuous port和Community port之间的MAC通信与此相同。对于Promiscuous port或Trunk promiscuous port与Isolated port之间的通信，MAC地址同步机制类似，所不同的是同一个Secondary VLAN下的Isolated port之间二层相互隔离。

2.2.4  PVLAN L3域

如2.1  PVLAN相关术语所述，加入PVLAN L3域的Secondary VLAN，通过Primary VLAN的VLAN接口进行三层互通，Secondary VLAN本身不允许再创建自己的VLAN接口。未加入PVLAN L3域的Secondary VLAN，可以创建自己的VLAN接口进行三层通信，组网上更为灵活。

在支持PVLAN L3域的设备上，在设备的Primary VLAN接口上配置本地代理ARP/ND功能，实现Secondary VLAN之间的互通，如图7所示。

图7 本地设备配置本地代理ARP/ND功能实现Secondary VLAN之间互通

在不支持PVLAN L3域的设备上，要实现不同Secondary VLAN之间的互通，只能依靠在上层设备上配置本地代理ARP/ND功能来实现，如图8所示，这样会增加上层设备的负担。

图8 上层设备配置本地代理ARP/ND功能实现Secondary VLAN之间互通

2.3  PVLAN应用限制

·              VLAN 1不能进行PVLAN相关配置。

·              PVLAN配置同步包括端口加入VLAN以及将Access端口的链路类型改为Hybrid类型。对于端口缺省VLAN配置和端口已有的VLAN Tagged/Untagged属性，不包含在易用性范围内，要求用户手工保证配置正确。反向配置不触发反向配置同步。

·              PVLAN与二层组播应用时，Primary VLAN上配置的组播协议会同步到Secondary VLAN上，因此不建议在Secondary VLAN上配置组播协议。

·              当PVLAN设备与PVST（Per-VLAN Spanning Tree，每VLAN生成树）设备进行对接时，要求与上行的PVST设备链接的端口工作在Trunk promiscuous模式，与下行的PVST设备连接的端口工作在Trunk secondary模式，并且要求PVST设备上与PVLAN设备相连端口的链路类型为Trunk类型，否则将触发端口类型不一致保护或者PVID不一致保护。

3  PVLAN组网应用

3.1.1  PVLAN二层应用

基于PVLAN二层节省VLAN以及支持Secondary VLAN隔离的特点，用户可以用较少的VLAN资源完成二层组网。

如图9所示，要求所有Host可以与Server进行通信，其中，Host A和Host D之间相互隔离，其它在同一Secondary VLAN下的Host之间可以二层互通。

在Device A上进行如下配置：

·              配置Primary VLAN 10，Isolated VLAN 301和Community VLAN 201为其对应的Secondary VLAN。

·              配置GigabitEthernet1/0/1在Isolated VLAN 301下工作在Host模式。

·              配置GigabitEthernet1/0/2和GigabitEthernet1/0/3在Community VLAN 201下工作在Host模式。

·              配置GigabitEthernet1/0/4为Trunk口，加入Primary VLAN 10、Isolated VLAN 301和Community VLAN 201，以支持在Isolated VLAN 301中的Host A与Host D的隔离以及其它在同一Secondary VLAN下的Host之间的二层互通。

·              配置GigabitEthernet1/0/5在Primary VLAN 10中工作在Promiscuous模式，与上游的Device D相连。

在Device B上进行如下配置：

·              配置Primary VLAN 10，Isolated VLAN 301和Community VLAN 201为其对应的Secondary VLAN；配置Primary VLAN 20，Community VLAN 401为其对应的Secondary VLAN。

·              GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/4的配置与Device A上的配置一致。

·              配置GigabitEthernet1/0/3在Secondary VLAN 201、401中工作在Trunk secondary模式，与下游的Device C相连。

·              配置GigabitEthernet1/0/5在Primary VLAN 10、20中工作在Trunk promiscuous模式，与上游的Device D相连。

在Device C上进行如下配置：

·              配置GigabitEthernet1/0/1为Trunk口，加入VLAN 201、401。

·              配置Access口GigabitEthernet1/0/2、GigabitEthernet1/0/3的PVID分别为401、201。

图9 PVLAN二层典型组网图

组网配置完成后：

·              Host B与Server的通信：从Server到Host B的下行流量，通过Device A的GigabitEthernet1/0/5进入，携带VLAN 10的Tag进行转发，通过GigabitEthernet1/0/2剥离其VLAN Tag后到达Host B。从Host B到Server的上行流量，通过Device A的GigabitEthernet1/0/2进入，携带VLAN 201的Tag进行转发，通过Device A的GigabitEthernet1/0/5剥离其VLAN Tag后到达Server的接入设备Device D。

·              Host A与Server的通信：和Host B与Server的通信类似。需要指出的是，从Host A发出的广播报文（VLAN Tag为Isolated VLAN 301），可以到达Server，但无法到达Host D，原因是报文到达Device B的GigabitEthernet1/0/1时，由于该端口配置为在Isolated VLAN 301下工作在Host模式，报文无法在GigabitEthernet1/0/1口进行转发。

·              Host F与Server的通信：从Host F到Server的上行流量，通过Device C的GigabitEthernet1/0/2进入，封装VLAN 401的Tag，并在GigabitEthernet1/0/1携带VLAN 401的Tag发送，报文到达Device B后，在VLAN 401内进行转发，在Device B的GigabitEthernet1/0/5替换其VLAN Tag为 VLAN 20后进行发送，到达Server的接入设备Device D。

3.1.2  PVLAN三层应用

通过对PVLAN L3域功能的支持，可以使PVLAN在三层领域有更多的应用。

1. PVLAN与DHCP组合应用

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）用来为网络设备动态分配IP地址等网络配置参数。下面结合PVLAN与DHCP的应用，如图10所示。

图10 PVLAN与DHCP组网图

在Device B上进行如下配置：

·              配置VLAN 10为Primary VLAN，VLAN 201、301为其对应的Secondary VLAN。

·              配置Primary VLAN 10下的Secondary VLAN 201、301三层互通，同时在VLAN接口10上开启本地代理ARP功能。

·              配置GigabitEthernet1/0/1在VLAN 10中工作在Promiscuous模式。

·              配置VLAN接口10通过DHCP协议从DHCP服务器获取IP地址、DNS（Domain Name System，域名系统）服务器地址和静态路由信息。

在Device A上进行如下配置：

·              配置VLAN接口10工作在DHCP服务器模式。

·              配置DHCP地址池，用来为10.1.1.0/24网段内的客户端分配IP地址和网络配置参数。其中DNS服务器地址为20.1.1.1/24，网关的地址为10.1.1.2/24。

通过上面的组网，Host A和Host B可以通过Primary VLAN 10的VLAN接口申请到IP地址和其它配置信息。

2. PVLAN与VRRP组合应用

如图11所示，Host A、Host B和Host C需要访问Internet上的Host D。

图11 PVLAN与VRRP组网图

采用VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）技术，将Device A和Device B加入备份组，提高组网的可靠性。当Device A正常工作时，Host A发送给Host D的报文通过Device A转发；当Device A出现故障时，Host A发送给Host B的报文通过Device D转发。当Device A故障恢复后，Device A会抢占成为Master，Host A发送给Host D的报文仍然通过Device A转发。

采用PVLAN L3域技术，Device A和Device B均只需配置一个VLAN接口，即可满足组网需求，从而节省IP资源。

在Device A上进行PVLAN和VRRP的配置：

·              配置VLAN 30为Primary VLAN，VLAN 301～303为其对应的Secondary VLAN。

·              创建VLAN接口30，将VLAN 301～303加入VLAN 30对应的PVLAN L3域，配置VLAN接口30的IP地址为10.1.1.1/24。

·              配置GigabitEthernet1/0/1在VLAN 301～303中工作在Trunk secondary模式。

·              创建VRRP备份组1，并配置备份组1的虚拟IP地址为10.1.1.111/24。

·              配置Device A在备份组1中的优先级为110，高于Device B的优先级100，以保证Device A成为Master负责转发。

·              配置Device A工作在抢占方式，以保证Device A故障恢复后，能再次抢占成为Master，即只要Device A正常工作，就由Device A负责转发流量。为了避免频繁地进行状态切换，配置抢占延迟时间为5秒。

在Device B上进行PVLAN和VRRP的配置：

·              配置VLAN 30为Primary VLAN，VLAN 301～303为其对应的Secondary VLAN。

·              创建VLAN接口30，将VLAN 301～303加入VLAN 30对应的PVLAN L3域，配置VLAN接口30的IP地址为10.1.1.2/24。

·              配置GigabitEthernet1/0/1在VLAN 301～303中工作在Trunk secondary模式。

·              创建VRRP备份组1，并配置备份组1的虚拟IP地址为10.1.1.111/24。

·              配置Device B在备份组1中的优先级为100。

·              配置Device B工作在抢占方式，抢占延迟时间为5秒。

在Host A上配置缺省网关为10.1.1.111/24。

3.1.3  PVLAN与组播应用

1. 二层组播

基于PVLAN组网要求端口均加入Primary VLAN的特点，二层组播可以在Primary VLAN上进行配置，实现二层组播支持PVLAN的功能。在Primary VLAN上进行的二层组播配置，会分发到与其建立映射的Secondary VLAN上，相当于一组Private VLAN均进行了同样的二层组播配置。PVLAN内的组播流量（包括数据报文和协议报文）在设备内均在Primary VLAN内进行转发，组播表项都维护在Primary VLAN中。

如图12所示，在二层组播支持PVLAN组网中，进行如下配置：

·              在Device A上配置Primary VLAN 10，VLAN 101、VLAN 102和VLAN 103为其对应的Secondary VLAN。

·              配置Device A的GigabitEthernet1/0/1在Primary VLAN 10中工作在Promiscuous工作模式；GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/4加入Secondary VLAN 101，并工作在Host模式；GigabitEthernet1/0/5加入Secondary VLAN 102，并工作在Host模式；GigabitEthernet1/0/6加入Secondary VLAN 103，并工作在Host模式。

·              在Device A上配置丢弃未知组播数据。

·              Router A通过GigabitEthernet1/0/1连接组播源（Source），通过GigabitEthernet1/0/2连接Device A。

·              Router A上运行IGMP（Internet Group Management Protocol，互联网组管理协议）（IGMP版本为IGMPv2），Device A上运行IGMP Snooping（IGMP Snooping版本为2），并由Router A充当IGMP查询器。

·              Host A、Host B和Host E为组播组224.1.1.1的固定接收者（Receiver）。

图12 二层组播支持PVLAN组网图

通过配置，使Host A、Host B和Host E能且只能接收发往组播组224.1.1.1的组播数据，并且当Host A、Host B和Host E发生意外而临时中断接收组播数据时，发往组播组224.1.1.1组播数据也能不间断地通过Device A的接口GigabitEthernet1/0/2、GigabitEthernet1/0/3和GigabitEthernet1/0/6转发出去；同时，使Device A将收到的未知组播数据直接丢弃，避免在其所属的Primary VLAN 10内广播。

2. 三层组播

三层组播与PVLAN L3域一起配合使用，在Primary VLAN的VLAN接口上配置三层组播协议。配置完成后，组播流量（包括数据报文和协议报文）均上送Primary VLAN接口，三层组播表项维护在Primary VLAN接口上。

图13 三层组播支持PVLAN组网图

在如图13所示的三层组播与PVLAN组网中，接收者通过组播方式接收视频点播信息，不同组织的接收者群体组成末梢网络，每个末梢网络中都存在至少一个接收者，整个PIM域采用SM非管理域方式。对组网进行如下配置：

·              如图13所示配置各接口的IP地址和子网掩码。

·              Host B和Host C为两个末梢网络中的组播信息接收者。

·              Device D通过VLAN接口30与组播源（Source）所在网络连接。

·              Device A通过VLAN接口10连接末梢网络N1，通过VLAN接口11和VLAN接口16分别连接Device D和Device E。在Device A上配置VLAN 10为Primary VLAN，VLAN 102和VLAN 103为其Secondary VLAN，并且Secondary VLAN 102与Secondary VLAN 103均加入Primary VLAN 10对应的PVLAN L3域。

·              Device B通过VLAN接口20连接末梢网络N2，通过VLAN接口13连接Device E。在Device B上配置VLAN 20为Primary VLAN，VLAN 202和VLAN 203为其Secondary VLAN，并且Secondary VLAN 202与Secondary VLAN 203均加入Primary VLAN 20对应的PVLAN L3域。

·              Device C通过VLAN接口20连接末梢网络N2，通过VLAN接口14连接Device E。在Device C上配置VLAN 20为Primary VLAN，VLAN 202和VLAN 203为其Secondary VLAN，并且Secondary VLAN 202与Secondary VLAN 203均加入Primary VLAN 20对应的PVLAN L3域。

·              将Device E的VLAN接口16配置为C-BSR（Candidate Bootstrap Router，候选自举路由器）和C-RP（Candidate Rendezvous Point，候选汇集点），其中C-RP所服务的组播组范围为225.1.1.0/24。

·              在所有设备上将Device D的VLAN接口11配置为静态RP（Rendezvous Point，汇集点），以对动态RP进行备份。Device A与末梢网络N1之间运行IGMPv2；Device B和Device C与末梢网络N2之间也运行IGMPv2。