基于PVLAN的工作原理的设计方案

时间：2014-03-28 19:38:12

关键字： VLAN BSP 接口 PRIMARY

手机看文章

扫描二维码
随时随地手机看文章

[导读]本文介绍的是PVLAN的结构，工作原理和应用场景及配置等三个方面对PVLAN技术进行了深入的分析，为PVLAN在实际中正确应用奠定了基础。一种高级VLAN技术，用于保证接入层用户的二层隔离，用户只能同网关进行通信，并通过网关与其他用户实现三层通信。

引言

随着网络的迅速发展，网络用户通信的安全性要求越来越高;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN,每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。然而，这种分配每个客户单一VLAN和IP子网的模型造成了以下局限：交换机固有的VLAN数目的限制;复杂的STP:对于每个VLAN,每个相关的Span?

ning Tree的拓扑都需要管理;IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费;路由的限制：每个子网都需要相应的默认网关的配置。为了解决以上问题，一种高级VLAN 技术--专用VLAN(Private VLAN)应运而生。

1 PVLAN 基本结构

Private VLAN 是能够为相同VLAN 内不同端口提供隔离的VLAN.PVLAN 可以将一个VLAN 的二层广播域划分成多个子域，每个子域都由一对VLAN 组成：

Primary VLAN( 主VLAN)和Secondary VLAN( 辅助VLAN)，如图1所示。

Primary VLAN:是PVLAN的高级VLAN,每个PVLAN中只有一个主VLAN.Secondary VLAN:是PVLAN中的子VLAN,并且映射到一个主VLAN.每台接入设备都连接到辅助VLAN.辅助VLAN有以下两种类型：

Isolated VLAN:同一个隔离VLAN中的端口互相不能进行二层通信，一个私有VLAN 域中只有一个隔离VLAN.

Community VLAN:同一个团体VLAN 中的端口可以进行二层通信，但是不能与其他团体VLAN中的端口进行二层通信，一个私有VLAN 中可以有多个团体VLAN.

PVLAN各组成之间通信关系如图2所示。

在Private VLAN 的概念中，有三种交换机端口类型：

Isolated port:属于Isolated PVLAN,只能和Promis?

cuous port通信，Isolated port彼此不能交换流量;Community port:属于Community PVLAN,可以和Promiscuous port通信，彼此可以交换流量;Promiscuous port:与路由器或第3层交换机接口相连，它收到的流量可以发往Isolated port和Community port.

而代表一个Private VLAN整体的是Primary VLAN.

前面两类VLAN 需要和它绑定在一起，同时它还包括Promiscuous port.

2 PVLAN 的工作机制

VLAN是根据目标MAC地址、VLAN及交换机端口三项动态学习得到这个表进行数据交换的。PVLAN采用两层VLAN 隔离技术，只有上层VLAN 全局可见，下层VLAN 相互隔离。它是通过主VLAN 和各辅助VLAN之间的MAC地址表同步技术来实现的。

如图3所示，设置PVLAN,Vlan10是Primary VLAN,映射Secondary VLAN 是2 和3;端口配置如图3 所示。

经过这个配置，交换机内部会形成一个Vlan?端口映射的表项，见表1.

[!--empirenews.page--]

MAC地址同步技术有两步：

(1) Secondary VLAN 学到的地址同步到PrimaryVLAN中，出接口不变通过这个同步，此时SWB的MAC地址表由：

此时，从SWA过来的所有单播数据帧，在SWB都知道了明确的MAC 地址和出接口了，那么下行的单播就不会单播变广播了，而会匹配表项直接单播发送。

(2) Primary VLAN 学到的地址同步到SecondaryVLAN中，出接口不变在：

此时，只要PCA 上有确切的SWA 的MAC 地址，它再去ping SWA,数据包在SWB上就有明确的MAC地址和出接口了，那么上行的单播就不会单播变广播了。这样不管用户的数据是上行还是下行，数据传输都尽量避免了广播。

3 PVLAN 的应用实例及配置步骤

PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接。

一个PVLAN不需要多个VLAN和IP子网就提供了具备第2 层数据通信安全性的连接。所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN 中的用户，相互之间也不会受到广播的影响。

实例应用背景：

要求：主机A、B、C为一组，要能够互相通信，并且可以和网关、服务器Z进行通信，但不能与主Vlan 100里的其余主机通信;主机D、E为一组，他们之间不能互相通信，但是可以和网关、计费服务器Z进行通信，同样也不能与主Vlan 100里其余主机通信;根据要求，利用PVLAN技术，可设计网络拓扑如图4所示。

配置步骤如下：

(1)创建各VLAN并声明VLAN类型;

(2)关联主VLAN与各辅助VLAN;

(3)给各VLAN划分端口;

(4)辅助VLAN映射主VLAN三层接口;

(5)设置各终端IP 地址与主VLAN SVI 接口IP 在一个网段，默认网关为SVI接口IP地址。

这样就实现了不同用户在同一个VLAN 二层的隔离，并只能通过网关实现与其他用户的通信，增强了接入网络的安全性。