网络工程规划与设计案例教程项目三_任务三_pvlan技术文档.doc

PVLAN 技术及应用 目 录 1. 规则VLAN域 1 2. Primary VLAN(主VLAN) 1 3. 子域、Secondary VLAN 1 4. primary VLAN接口类型 1 5. Primary VLAN使用规则 2 6. Private VLAN（专用VLAN） 2 7. Super VLAN： 2 规则VLAN域 一个常规的VLAN实际上就可以看作是一个规则的VLAN域。比如VLAN100，我们可以将它看作是一个“域”，这个“域”的编号，或者说名字是“VLAN100”。 规则VLAN，这种分配每个客户单一VLAN和 IP子网的模型造成了巨大的扩展方面的 局限 。这些局限主要有以下几方面： （1）VLAN 的限制 ：LAN交换机固有的VLAN数目的限制； （2）复杂的STP ：对于每个VLAN，一个相关的Spanning Tree的拓扑都需要管理； （3）IP地址的紧缺：IP子网的划分势必造成一些地址的浪费； （4）路由的限制 ：每个子网都需相应的缺省网关的配置。 Primary VLAN(主VLAN) 当把一个规则的LAN域划分为一个或多个子域后，原来的“规则VLAN域”现在就叫做“Primary Vlan”，这个“Primary VLAN”编号，或者说名字就是原来“规则VLAN域”的名字。 子域、Secondary VLAN 将一个规则的VLAN域划分为一个或多个子域称为“Secondary VLAN”，这个VLAN是有两种属性。一种是地“isolated”，称为“Isolated VLAN”（Private VLAN 私有VLAN、专用VLAN）；另一种是“community”，称为“Community VLAN”。一个“Secondary VLAN”必须、且只能被赋予其中某一种属性。 primary VLAN接口类型 处在pVLAN中的交换机物理端口，有两种接口类型： ①混杂端口（Promiscuous Port） ②主机端口（Host Port） 其中“混杂端口”是隶属于“Primary VLAN”；“主机端口”是隶属于“Secondary VLAN”， 因为“Secondary VLAN”具有两种属性，因此，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，即“主机端口”会继承“Secondary VLAN”的属性。那么由此可知，“主机端口”也分为两类-：“isolated端口”和“community端口”。 处于pVLAN中交换机上的一个物理端口要么是“混杂端口”，要么是“isolated”端口，要么就是“community”端口。 Primary VLAN使用规则 （1）一个“Primary VLAN”当中至少有1个“Secondary VLAN”，没有上限。 （2）一个“Primary VLAN”当中只能有1个“Isolated VLAN”，可以有多个“Community VLAN”。 （3）不同“Primary VLAN”之间的任何端口都不能互相通信（“互相通信”是指二层连通性）。 （4） Isolated端口”只能与“混杂端口”通信，除此之外不能与任何其他端口通信。 （5）“Community端口”可以和“混杂端口”通信，也可以和同一“Community VLAN”当中的其它物理端口进行通信，除此之外不能和其他端口通信。 对于上层交换机只能见到primary vlan。 一个primary vlan就是一个IP子网，即同一个primary vlan中包含的所有secondary vlan处在同一个子网中，节省了vlan资源。 Private VLAN（专用VLAN） 专用VLAN是第2层的机制，在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(Private port)，一个专用端口限定在第2层，它只能发送流量到混杂端口，也只能检测从混杂端口来的流量。混杂端口(Promioscuous port)没有专用端口的限定，它与路由器或第3层交换机接口相连。简单地说，在一个专用VLAN内，专用端口收到的流量只能发往混杂端口，混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。 专 用 VLAN 的 应 用 对于保证城域接入网络的数据通讯的安全性 是 非 常 有 效的，用户只需与自己的缺省网关连接，一个专用VLAN不需要多个VLAN 和IP 子 网 就 提 供了具备第二层数据通讯安全性的连接，所有的用户都接入专用 VLAN，从而实现了所有用户与缺省网关的连接，而与专用VLAN内的其他用户没有任何访问。 专用VLAN功能可以保证同一个VLAN中的各个端口相互之间不能通讯，但可以穿过TRU