交換機(jī)是網(wǎng)絡(luò)的核心設(shè)備之一，其技術(shù)發(fā)展非常迅速，從10Mbit/s以太網(wǎng)、100Mbit/s快速以太網(wǎng)，進(jìn)而發(fā)展到吉比特和10吉比特以太網(wǎng)。交換機(jī)在通信領(lǐng)域和企業(yè)中的應(yīng)用向縱深發(fā)展，網(wǎng)絡(luò)管理人員對掌握專用虛擬局域網(wǎng)PVLAN技術(shù)的需求也越來越迫切。本文通過實(shí)踐經(jīng)驗(yàn)對這方面的應(yīng)用進(jìn)行總結(jié)。

VLAN的局限性

隨著網(wǎng)絡(luò)的迅速發(fā)展，用戶對于網(wǎng)絡(luò)數(shù)據(jù)通信的安全性提出了更高的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡(luò)用戶通信的相對安全性；傳統(tǒng)的解決方法是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個(gè)客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的可擴(kuò)展方面的局限。這些局限主要有下述幾方面。

（1）VLAN的限制：交換機(jī)固有的VLAN數(shù)目的限制；

（2）復(fù)雜的STP：對于每個(gè)VLAN，每個(gè)相關(guān)的Spanning Tree的拓?fù)涠夹枰�管理�?/p>

（3）IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些IP地址的浪費(fèi)；

（4）路由的限制：每個(gè)子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置。

PVLAN技術(shù)

現(xiàn)在有了一種新的VLAN機(jī)制，所有服務(wù)器在同一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的默認(rèn)網(wǎng)關(guān)通信。這一新的VLAN特性就是專用VLAN（Private VLAN）。在Private VLAN的概念中，交換機(jī)端口有三種類型：Isolated port，Community port， Promisc-uous port；它們分別對應(yīng)不同的VLAN類型：Isolated port屬于Isolated PVLAN，Community port屬于Community PVLAN，而代表一個(gè)Private VLAN整體的是Primary VLAN，前面兩類VLAN需要和它綁定在一起，同時(shí)它還包括Promiscuous port.在Isolated PVLAN中，Isolated port只能和Promiscuous port通信，彼此不能交換流量；在Community PVLAN中，Community port不僅可以和Promiscuous port通信，而且彼此也可以交換流量。Promiscuous port 與路由器或第3層交換機(jī)接口相連，它收到的流量可以發(fā)往Isolated port和Community port.PVLAN的應(yīng)用對于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，用戶只需與自己的默認(rèn)網(wǎng)關(guān)連接，一個(gè)PVLAN不需要多個(gè)VLAN和IP子網(wǎng)就提供了具備第2層數(shù)據(jù)通信安全性的連接，所有的用戶都接入PVLAN，從而實(shí)現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶沒有任何訪問。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN中的用戶，相互之間也不會(huì)受到廣播的影響。

PVLAN的配置步驟

（1）Put switch in VTP transparent mode

set vtp mode transparent

（2） Create the primary private VLAN

set vlan vlan pvlan-type primary

（3）Set the isolated or community VLAN（s）

set vlan vlan pvlan-type {isolated | community}

（4）Map the secondary VLAN（s） to the primary VLAN

set pvlan primary_vlan {isolated_vlan | community_

vlan} {mod/port | sc0}

（5）Map each secondary VLAN to the primary VLAN on the promiscuous port（s）

set pvlan mapping primary_vlan {isolated_vlan | community_vlan} {mod/port} [mod/port …]

（6）Show PVLAN configuration

show pvlan [primary_vlan]

show pvlan mapping

show vlan [primary_vlan]

show port

例子

下面給出一個(gè)正在網(wǎng)絡(luò)中運(yùn)行的交換機(jī)的PVLAN的相關(guān)配置，僅供參考。其中，VLAN 100是Primary VLAN，VLAN 101是Isolated VLAN，VLAN 102和VLAN 103是Community VLAN.

目前很多廠商生產(chǎn)的交換機(jī)支持PVLAN技術(shù)，PVLAN技術(shù)在解決通信安全、防止廣播風(fēng)暴和浪費(fèi)IP地址方面的優(yōu)勢是顯而易見的，而且采用PVLAN技術(shù)有助于網(wǎng)絡(luò)的優(yōu)化，再加上PVLAN在交換機(jī)上的配置也相對簡單，PVLAN技術(shù)越來越得到網(wǎng)絡(luò)管理人員的青睞。

【相關(guān)文章】

• PVLAN典型配置舉例

• 交換機(jī)里VLAN技術(shù)探討以及如何配置