交換機是網絡的核心設備之一，其技術發(fā)展非常迅速，從10Mbit/s以太網、100Mbit/s快速以太網，進而發(fā)展到吉比特和10吉比特以太網。交換機在通信領域和企業(yè)中的應用向縱深發(fā)展，網絡管理人員對掌握專用虛擬局域網PVLAN技術的需求也越來越迫切。本文通過實踐經驗對這方面的應用進行總結。

VLAN的局限性

隨著網絡的迅速發(fā)展，用戶對于網絡數據通信的安全性提出了更高的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網絡用戶通信的相對安全性；傳統(tǒng)的解決方法是給每個客戶分配一個VLAN和相關的IP子網，通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網的模型造成了巨大的可擴展方面的局限。這些局限主要有下述幾方面。

（1）VLAN的限制：交換機固有的VLAN數目的限制；

（2）復雜的STP：對于每個VLAN，每個相關的Spanning Tree的拓撲都需要管理；

（3）IP地址的緊缺：IP子網的劃分勢必造成一些IP地址的浪費；

（4）路由的限制：每個子網都需要相應的默認網關的配置。

PVLAN技術

現在有了一種新的VLAN機制，所有服務器在同一個子網中，但服務器只能與自己的默認網關通信。這一新的VLAN特性就是專用VLAN（Private VLAN）。在Private VLAN的概念中，交換機端口有三種類型：Isolated port，Community port， Promisc-uous port；它們分別對應不同的VLAN類型：Isolated port屬于Isolated PVLAN，Community port屬于Community PVLAN，而代表一個Private VLAN整體的是Primary VLAN，前面兩類VLAN需要和它綁定在一起，同時它還包括Promiscuous port.在Isolated PVLAN中，Isolated port只能和Promiscuous port通信，彼此不能交換流量；在Community PVLAN中，Community port不僅可以和Promiscuous port通信，而且彼此也可以交換流量。Promiscuous port 與路由器或第3層交換機接口相連，它收到的流量可以發(fā)往Isolated port和Community port.PVLAN的應用對于保證接入網絡的數據通信的安全性是非常有效的，用戶只需與自己的默認網關連接，一個PVLAN不需要多個VLAN和IP子網就提供了具備第2層數據通信安全性的連接，所有的用戶都接入PVLAN，從而實現了所有用戶與默認網關的連接，而與PVLAN內的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會受到廣播的影響。

PVLAN的配置步驟

（1）Put switch in VTP transparent mode

set vtp mode transparent

（2） Create the primary private VLAN

set vlan vlan pvlan-type primary

（3）Set the isolated or community VLAN（s）

set vlan vlan pvlan-type {isolated | community}

（4）Map the secondary VLAN（s） to the primary VLAN

set pvlan primary_vlan {isolated_vlan | community_

vlan} {mod/port | sc0}

（5）Map each secondary VLAN to the primary VLAN on the promiscuous port（s）

set pvlan mapping primary_vlan {isolated_vlan | community_vlan} {mod/port} [mod/port …]

（6）Show PVLAN configuration

show pvlan [primary_vlan]

show pvlan mapping

show vlan [primary_vlan]

show port

例子

下面給出一個正在網絡中運行的交換機的PVLAN的相關配置，僅供參考。其中，VLAN 100是Primary VLAN，VLAN 101是Isolated VLAN，VLAN 102和VLAN 103是Community VLAN.

目前很多廠商生產的交換機支持PVLAN技術，PVLAN技術在解決通信安全、防止廣播風暴和浪費IP地址方面的優(yōu)勢是顯而易見的，而且采用PVLAN技術有助于網絡的優(yōu)化，再加上PVLAN在交換機上的配置也相對簡單，PVLAN技術越來越得到網絡管理人員的青睞。

【相關文章】

• PVLAN典型配置舉例

• 交換機里VLAN技術探討以及如何配置