基于PVLAN的工作原理的设计方案.docxVIP

PAGE 1 PAGE 1 基于PVLAN的工作原理的设计方案 导读：本文介绍的是PVLAN的结构，工作原理和应用场景及配置等三个方面对PVLAN技术进行了深化的分析，为PVLAN在实际中正确应用奠定了基础。一种VLAN技术，用于保证接入层用户的二层隔离，用户只能同网关进行通信，并通过网关与其他用户实现三层通信。 引言  随着网络的快速进展，网络用户通信的平安性要求越来越高；传统的解决方法是给每个客户安排一个VLAN和相关的IP子网，通过使用VLAN,每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。然而，这种安排每个客户单一VLAN和IP子网的模型造成了以下局限：交换机固有的VLAN数目的限制；简单的STP:对于每个VLAN,每个相关的Span?  ning Tree的拓扑都需要管理；IP地址的紧缺：IP子网的划分势必造成一些IP地址的铺张；路由的限制：每个子网都需要相应的默认网关的配置。为了解决以上问题，一种VLAN 技术--专用VLAN（Private VLAN）应运而生。  1 PVLAN 基本结构  Private VLAN 是能够为相同VLAN 内不同端口供应隔离的VLAN.PVLAN 可以将一个VLAN 的二层广播域划分成多个子域，每个子域都由一对VLAN 组成：  Primary VLAN（ 主VLAN）和Secondary VLAN（ 帮助VLAN），如图1所示。   Primary VLAN:是PVLAN的VLAN,每个PVLAN中只有一个主VLAN.Secondary VLAN:是PVLAN中的子VLAN,并且映射到一个主VLAN.每台接入设备都连接到帮助VLAN.帮助VLAN有以下两种类型：  Isolated VLAN:同一个隔离VLAN中的端口相互不能进行二层通信，一个私有VLAN 域中只有一个隔离VLAN.  Community VLAN:同一个团体VLAN 中的端口可以进行二层通信，但是不能与其他团体VLAN中的端口进行二层通信，一个私有VLAN 中可以有多个团体VLAN.  PVLAN各组成之间通信关系如图2所示。   在Private VLAN 的概念中，有三种交换机端口类型：  Isolated port:属于Isolated PVLAN,只能和Promis?  cuous port通信，Isolated port彼此不能交换流量；Community port:属于Community PVLAN,可以和Promiscuous port通信，彼此可以交换流量；Promiscuous port:与路由器或第3层交换机接口相连，它收到的流量可以发往Isolated port和Community port.  而代表一个Private VLAN整体的是Primary VLAN.  前面两类VLAN 需要和它绑定在一起，同时它还包括Promiscuous port.  2 PVLAN 的工作机制  VLAN是依据目标MAC地址、VLAN及交换机端口三项动态学习得到这个表进行数据交换的。PVLAN采纳两层VLAN 隔离技术，只有上层VLAN 全局可见，下层VLAN 相互隔离。它是通过主VLAN 和各帮助VLAN之间的MAC地址表同步技术来实现的。  如图3所示，设置PVLAN,Vlan10是Primary VLAN,映射Secondary VLAN 是2 和3;端口配置如图3 所示。  经过这个配置，交换机内部会形成一个Vlan?端口映射的表项，见表1.    MAC地址同步技术有两步：  （1） Secondary VLAN 学到的地址同步到PrimaryVLAN中，出接口不变通过这个同步，此时SWB的MAC地址表由：   此时，从SWA过来的全部单播数据帧，在SWB都知道了明确的MAC 地址和出接口了，那么下行的单播就不会单播变广播了，而会匹配表项直接单播发送。  （2） Primary VLAN 学到的地址同步到SecondaryVLAN中，出接口不变在：   此时，只要PCA 上有准确的SWA 的MAC 地址，它再去ping SWA,数据包在SWB上就有明确的MAC地址和出接口了，那么上行的单播就不会单播变广播了。这样不管用户的数据是上行还是下行，数据传输都尽量避开了广播。  3 PVLAN 的应用实例及配置步骤  PVLAN的应用对于保证接入网络的数据通信的平安性是特别有效的，用户只需与自己的默认网关