PVLAN
Private VLAN介绍
为了在二层网络上隔离用户或者隔离广播,可以将一组设备加入到一个VLAN中,但是VLAN的最大个数只有4094,所以当需要隔离大量的域时将可能受到VLAN个数的限制。通常在服务提供商(AP)网络中,为了隔离不同客户之间的通信而将一个客户作为一个VLAN,但是如果客户的数量增大到VLAN的最大个数时,服务提供商提供的服务将会受到限制。而且对于一个客户作为一个VLAN的解决方案,服务提供商需要为一个客户分配一个子网的地址,这种情况导致了IP地址的浪费。对于这些问题我们可以使用Private VLAN技术来解决。
Private VLAN(私有VLAN,PVLAN)是能够为相同VLAN内不同端口提供隔离的VLAN。通过PVLAN技术可以隔离相同VLAN中的网络设备之间的流量,并且位于相同子网的所有设备都只能与网关或其他网络进行通信,实现网络内部的隔离。
PVLAN可以将一个VLAN的二层广播域划分成多个子域,每个子域都由一对VLAN组成:Primary VLAN(主VLAN)和Secondary VLAN(辅助VLAN)组成。在整个PVLAN域中,只有一个主VLAN,每个子域有不同的辅助VLAN,通过辅助VLAN实现二层网络的的隔离。
VLANVLANPVLAN的高级VLAN,每个PVLAN中只有一个主VLAN
辅助VLAN辅助VLANPVLAN中的子VLAN,并且映射到一个主VLAN。每台接入设备都连接到辅助VLAN
辅助VLAN有如下两种类型。
隔离VLANIsolated VLAN):同一个隔离VLAN的端口互相不能进行二层通信,一个私有VLAN域中只有一个隔离VLAN
团体VLANCommunity VLAN):同一个团体VLAN中的端口可以进行二层通信,但是不能与其他团体VLAN中的端口进行二层通信,一个私有VLAN中可以有多个团体VLAN
PVLAN中的端口有如下几种类型。
混杂端口(Promiscuous Port):混杂端口为主VLAN中的端口,可以与任意端口通信,包括同一个PVLAN中的隔离端口和团体端口。
隔离端口(Isolated Port):隔离端口为隔离VLAN中的端口,隔离端口只能与混杂端口进行通信。
团体端口(Community Port):团体端口为团体VLAN中的端口,同一个团体VLAN中的团体端口之间可以互相通信,并且团体端口可以与混杂端口通信,但是不能与其他团体VLAN的端口进行通信。