Private VLAN也叫私有VLAN或者PVLAN,是一种基于端口的VLAN管理方式,它能够突破交换机固有的VLAN数目(4094)的限制。Private VLAN采用两层VLAN隔离技术,上层VLAN全局可见,下层VLAN由用户自己设定,对上层透明。它是一种在VLAN里面再划分VLAN以实现VLAN内部端口隔离的技术。
考虑下列应用:某学校机房共23台计算机,使用24口接入层交换机与汇聚层网络设备连接,如图3-8所示,机房内计算机的网关配置在汇聚层交换机上,平时上课时计算机之间可以互相访问共享资源,可以通过网关访问Internet。为了使用该机房进行期末考试,要求机房内20台计算机不可互相访问,但仍然可以访问Internet,剩余3台计算机可以互相访问共享资源,可以访问Internet。使用Private VLAN技术能够方便实现以上需求。
图3-8 Private VLAN三层应用拓扑
在接入层交换机中新创建101号隔离VLAN(Isolated VLAN),此VLAN中的主机不能与PVLAN内部的任何其他端口进行第二层通信。创建102号团体VLAN(Community VLAN),此VLAN中的主机可以进行第二层通信。将f0/24配置为混杂端口(Promiscuous Port),这种端口可以与任意端口通信,所有计算机能通过该端口进入汇聚层交换机访问Internet。私有VLAN的配置只发生在机房内部,汇聚层交换机不需要了解机房内部PVLAN配置了什么,甚至不知道101和102号VLAN的存在。
一个Private VLAN由主私有VLAN (Primary PVLAN)和辅助私有VLAN(Secondary PVLAN)对组成。
(1)主私有VLAN
在配置指令中用“primary”关键字指定,一个私有 VLAN 中只有一个主私有VLAN。在它内部要把数据流从混杂端口传送到隔离VLAN、团体VLAN和同一个VLAN内部的其他混杂端口。
(2)辅助私有VLAN
辅助私有VLAN包括隔离VLAN和团体VLAN。在配置指令中隔离VLAN用“isolated”关键字指定,一个私有VLAN中只有一个隔离VLAN,在配置指令中团体VLAN用“community”关键字指定,一个私有VLAN中可以设计多个团体VLAN。(www.xing528.com)
混杂 Trunk 端口(Promiscuous Trunk Port),可以同时是多个普通 VLAN 和多个私有VLAN的成员端口,可以和同一VLAN 内的任意端口通信。在普通VLAN中,报文转发遵循802.1Q 规则,在私有 VLAN 中,从混杂 Trunk 端口转发出的带TAG报文,其VID如果是辅助VLAN ID,会转成相应主 VLAN 的 VID 后,再输出。
混杂端口属于Primary VLAN,一个混杂端口可以与所有接口通信,包括PVLAN内的隔离和团体端口。混杂端口的功能是在团体和隔离的VLAN端口之间传递数据流。
Private VLAN为用户提供了一种快捷灵活的方式操作VLAN。下面我们在图3-9中的二层交换机上配置Private VLAN实现一个小型公司网络的网络访问控制。公司有两台服务器,可以被任何主机访问,连接端口f0/1~f0/10的主机之间不能互相访问,连接端口f0/11~f0/20的主机之间可以互相访问,配置指令如下:
图3-9 Private VLAN二层应用拓扑
配置完毕后,经测试两台服务器可以被任何主机访问,连接端口f0/1~f0/10的主机之间不能互相访问,连接端口f0/11~f0/20的主机之间可以互相访问。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
