PVLAN 技术及应用
目录
1. 规则VLAN域 1
2. Primary VLAN(主VLAN) 1
3. 子域、Secondary VLAN 1
4. primary VLAN接口类型 1
5. Primary VLAN使用规则 2
6. Private VLAN(专用VLAN) 2
7. Super VLAN: 2
1. 规则VLAN域
一个常规的VLAN实际上就可以看作是一个规则的VLAN域。比如VLAN100,我们可以将它看作是一个“域”,这个“域”的编号,或者说名字是“VLAN100”。
规则VLAN,这种分配每个客户单一VLAN和 IP子网的模型造成了巨大的扩展方面的 局限 。这些局限主要有以下几方面:
(1)VLAN 的限制 :LAN交换机固有的VLAN数目的限制;
(2)复杂的STP :对于每个VLAN,一个相关的Spanning Tree的拓扑都需要管理;
(3)IP地址的紧缺:IP子网的划分势必造成一些地址的浪费;
(4)路由的限制 :每个子网都需相应的缺省网关的配置。
2. Primary VLAN(主VLAN)
当把一个规则的LAN域划分为一个或多个子域后,原来的“规则VLAN域”现在就叫做“Primary Vlan”,这个“Primary VLAN”编号,或者说名字就是原来“规则VLAN域”的名字。
3. 子域、Secondary VLAN
将一个规则的VLAN域划分为一个或多个子域称为“Secondary VLAN”,这个VLAN是有两种属性。一种是地“isolated”,称为“Isolated VLAN”(Private VLAN 私有VLAN、专用VLAN);另一种是“community”,称为“Community VLAN”。一个“Secondary VLAN”必须、且只能被赋予其中某一种属性。
4. primary VLAN接口类型
处在pVLAN中的交换机物理端口,有两种接口类型:
①混杂端口(Promiscuous Port)
②主机端口(Host Port)
其中“混杂端口”是隶属于“Primary VLAN”;“主机端口”是隶属于“Secondary VLAN”, 因为“Secondary VLAN”具有两种属性,因此,处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同,即“主机端口”会继承“Secondary VLAN”的属性。那么由此可知,“主机端口”也分为两类-:“isolated端口”和“community端口”。
处于pVLAN中交换机上的一个物理端口要么是“混杂端口”,要么是“isolated”端口,要么就是“community”端口。
5. Primary VLAN使用规则
(1)一个“Primary VLAN”当中至少有1个“Secondary VLAN”,没有上限。
(2)一个“Primary VLAN”当中只能有1个“Isolated VLAN”,可以有多个“Community VLAN”。
(3)不同“Primary VLAN”之间的任何端口都不能互相通信(“互相通信”是指二层连通性)。
(4) Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
(5)“Community端口”可以和“混杂端口”通信,也可以和同一“Community VLAN”当中的其它物理端口进行通信,除此之外不能和其他端口通信。
对于上层交换机只能见到primary vlan。
一个primary vlan就是一个IP子网,即同一个primary vlan中包含的所有secondary vlan处在同一个子网中,节省了vlan资源。
6. Private VLAN(专用VLAN)
专用VLAN是第2层的机制,在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(Private port),一个专用端口限定在第2层,它只能发送流量到混杂端口,也只能检测从混杂端口来的流量。混杂端口(Promioscuous port)没有专用端口的限定,它与路由器或第3层交换机接口相连。简单地说,在一个专用VLAN内,专用端口收到的流量只能发往混杂端口,混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。
专 用 VLAN 的 应 用 对于保证城域接入网络的数据通讯的安全性 是 非 常 有 效的,用户只需与自己的缺省网关连接,一个专用VLAN不需要多个VLAN 和IP 子 网 就 提 供了具备第二层数据通讯安全性的连接,所有的用户都接入专用 VLAN,从而实现了所有用户与缺省网关的连接,而与专用VLAN内的其他用户没有任何访问。 专用VLAN功能可以保证同一个VLAN中的各个端口相互之间不能通讯,但可以穿过TRUNK端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。
7. Super VLAN
Super VLAN又称VLAN聚合,是把多个vlan虚拟成一个supervlan,共享一个网关和外界通信,同时又能保证vlan间的相互隔。
其原理是一个Super VLAN包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间二层相互隔离。Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。当Sub VLAN内的用户需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,通过ARP代理可以进行ARP 请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通 。这样多个Sub VLAN共用一个IP网段,从而节省了IP地址资源。
Super VLAN只建立三层接口,不包含物理端口,可以看到成是一个逻辑的三层接口,若干sub-VLAN的集合。 sub-VLAN 则只包含物理端口,但不能建立三层VLAN虚接口。它的三层通信依靠super-vlan来实现。与原来的VLAN间路由不通,原本的三层交换可以根据各自的网关进行,但是现在所有的sub-vlan都属于同一个网段,则就处于不同的sub-vlan通信时,会认在同一个网段,会做二层转发,而不会进行三层转发,但是二层转发是被VLAN隔离,因此各sub-vlan间不能相互通信。
