引言

隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)用戶通信的安全性要求越來(lái)越高;傳統(tǒng)的解決方法是給每個(gè)客戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過(guò)使用VLAN,每個(gè)客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的模型造成了以下局限：交換機(jī)固有的VLAN數(shù)目的限制;復(fù)雜的STP:對(duì)于每個(gè)VLAN,每個(gè)相關(guān)的Span?

ning Tree的拓?fù)涠夹枰芾?IP地址的緊缺：IP子網(wǎng)的劃分勢(shì)必造成一些IP地址的浪費(fèi);路由的限制：每個(gè)子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置。為了解決以上問(wèn)題，一種高級(jí)VLAN 技術(shù)--專用VLAN(Private VLAN)應(yīng)運(yùn)而生。

1 PVLAN 基本結(jié)構(gòu)

Private VLAN 是能夠?yàn)橄嗤琕LAN 內(nèi)不同端口提供隔離的VLAN.PVLAN 可以將一個(gè)VLAN 的二層廣播域劃分成多個(gè)子域，每個(gè)子域都由一對(duì)VLAN 組成：

Primary VLAN( 主VLAN)和Secondary VLAN( 輔助VLAN)，如圖1所示。

Primary VLAN:是PVLAN的高級(jí)VLAN,每個(gè)PVLAN中只有一個(gè)主VLAN.Secondary VLAN:是PVLAN中的子VLAN,并且映射到一個(gè)主VLAN.每臺(tái)接入設(shè)備都連接到輔助VLAN.輔助VLAN有以下兩種類型：

Isolated VLAN:同一個(gè)隔離VLAN中的端口互相不能進(jìn)行二層通信，一個(gè)私有VLAN 域中只有一個(gè)隔離VLAN.

Community VLAN:同一個(gè)團(tuán)體VLAN 中的端口可以進(jìn)行二層通信，但是不能與其他團(tuán)體VLAN中的端口進(jìn)行二層通信，一個(gè)私有VLAN 中可以有多個(gè)團(tuán)體VLAN.

PVLAN各組成之間通信關(guān)系如圖2所示。

在Private VLAN 的概念中，有三種交換機(jī)端口類型：

Isolated port:屬于Isolated PVLAN,只能和Promis?

cuous port通信，Isolated port彼此不能交換流量;Community port:屬于Community PVLAN,可以和Promiscuous port通信，彼此可以交換流量;Promiscuous port:與路由器或第3層交換機(jī)接口相連，它收到的流量可以發(fā)往Isolated port和Community port.

而代表一個(gè)Private VLAN整體的是Primary VLAN.

前面兩類VLAN 需要和它綁定在一起，同時(shí)它還包括Promiscuous port.

2 PVLAN 的工作機(jī)制

VLAN是根據(jù)目標(biāo)MAC地址、VLAN及交換機(jī)端口三項(xiàng)動(dòng)態(tài)學(xué)習(xí)得到這個(gè)表進(jìn)行數(shù)據(jù)交換的。PVLAN采用兩層VLAN 隔離技術(shù)，只有上層VLAN 全局可見，下層VLAN 相互隔離。它是通過(guò)主VLAN 和各輔助VLAN之間的MAC地址表同步技術(shù)來(lái)實(shí)現(xiàn)的。

如圖3所示，設(shè)置PVLAN,Vlan10是Primary VLAN,映射Secondary VLAN 是2 和3;端口配置如圖3 所示。

經(jīng)過(guò)這個(gè)配置，交換機(jī)內(nèi)部會(huì)形成一個(gè)Vlan?端口映射的表項(xiàng)，見表1.

MAC地址同步技術(shù)有兩步：

(1) Secondary VLAN 學(xué)到的地址同步到PrimaryVLAN中，出接口不變通過(guò)這個(gè)同步，此時(shí)SWB的MAC地址表由：

此時(shí)，從SWA過(guò)來(lái)的所有單播數(shù)據(jù)幀，在SWB都知道了明確的MAC 地址和出接口了，那么下行的單播就不會(huì)單播變廣播了，而會(huì)匹配表項(xiàng)直接單播發(fā)送。

(2) Primary VLAN 學(xué)到的地址同步到SecondaryVLAN中，出接口不變?cè)冢?/p>

此時(shí)，只要PCA 上有確切的SWA 的MAC 地址，它再去ping SWA,數(shù)據(jù)包在SWB上就有明確的MAC地址和出接口了，那么上行的單播就不會(huì)單播變廣播了。這樣不管用戶的數(shù)據(jù)是上行還是下行，數(shù)據(jù)傳輸都盡量避免了廣播。

3 PVLAN 的應(yīng)用實(shí)例及配置步驟

PVLAN的應(yīng)用對(duì)于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，用戶只需與自己的默認(rèn)網(wǎng)關(guān)連接。

一個(gè)PVLAN不需要多個(gè)VLAN和IP子網(wǎng)就提供了具備第2 層數(shù)據(jù)通信安全性的連接。所有的用戶都接入PVLAN,從而實(shí)現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶沒(méi)有任何訪問(wèn)。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過(guò)Trunk端口。這樣即使同一VLAN 中的用戶，相互之間也不會(huì)受到廣播的影響。

實(shí)例應(yīng)用背景：

要求：主機(jī)A、B、C為一組，要能夠互相通信，并且可以和網(wǎng)關(guān)、服務(wù)器Z進(jìn)行通信，但不能與主Vlan 100里的其余主機(jī)通信;主機(jī)D、E為一組，他們之間不能互相通信，但是可以和網(wǎng)關(guān)、計(jì)費(fèi)服務(wù)器Z進(jìn)行通信，同樣也不能與主Vlan 100里其余主機(jī)通信;根據(jù)要求，利用PVLAN技術(shù)，可設(shè)計(jì)網(wǎng)絡(luò)拓?fù)淙鐖D4所示。

配置步驟如下：

(1)創(chuàng)建各VLAN并聲明VLAN類型;

(2)關(guān)聯(lián)主VLAN與各輔助VLAN;

(3)給各VLAN劃分端口;

(4)輔助VLAN映射主VLAN三層接口;

(5)設(shè)置各終端IP 地址與主VLAN SVI 接口IP 在一個(gè)網(wǎng)段，默認(rèn)網(wǎng)關(guān)為SVI接口IP地址。

這樣就實(shí)現(xiàn)了不同用戶在同一個(gè)VLAN 二層的隔離，并只能通過(guò)網(wǎng)關(guān)實(shí)現(xiàn)與其他用戶的通信，增強(qiáng)了接入網(wǎng)絡(luò)的安全性。