大學宿舍網絡的管理可以評定為“最難管理的網絡”之一。有些用戶安裝ARP防火墻，開啟主動防御，且設置了較大的值，這樣網絡被大量的無用ARP數據包占據。另外一個現象，很多用戶沒有安裝殺毒軟件或者沒有及時升級，計算機被病毒感染后，向網絡發(fā)送大量的病毒包。在交換機性能不變的情況下，數據包轉發(fā)量恒定，ARP包和病毒包多了，有效數據包就少了，所以網絡的傳輸速度就明顯慢了下來，且過多的無用數據包還會導致交換機性能的下降。

啟示：傳統(tǒng)VLAN無法應對大學宿舍

傳統(tǒng)的解決方法是給每個客戶分配一個VLAN和相關的IP子網，通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網的模型造成了巨大的可擴展方面的局限。這些局限主要有下述幾方面：

*VLAN的限制：交換機固有的VLAN數目的限制；

*復雜的STP：對于每個VLAN，每個相關的SpanningTree的拓撲都需要管理；

*IP地址的緊缺：IP子網的劃分勢必造成一些IP地址的浪費；

*路由的限制：每個子網都需要相應的默認網關的配置，如果使用HSRP，每個子網都需相應的缺省網關的配置

很多廠商的交換機中引入了一種新的VLAN機制，主要作用是將客戶端只能與自己的缺省網關通信。這一新的VLAN特性就是專用VLAN（PrivateVLAN，PVLAN）。這種特性是不但適合大學校園，也很適用于IDC。

IDC環(huán)境是一個典型的多客戶的服務器群結構，每個托管客戶從一個公共的數據中心中的一系列服務器上提供Web服務，屬于不同客戶的服務器之間的安全就顯得至關重要。一個專用VLAN不需要多個VLAN和IP子網就提供了這樣的安全連接。在這一模型中，所有的服務器都接入專用VLAN，從而實現了所有服務器與缺省網關的連接，而與專用VLAN內的其他服務器沒有任何訪問。