基于PVLAN的工作原理的設(shè)計方案

　　引言

　　隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)用戶通信的安全性要求越來越高；傳統(tǒng)的解決方法是給每個客戶分配一個VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網(wǎng)的模型造成了以下局限：交換機固有的VLAN數(shù)目的限制；復(fù)雜的STP：對于每個VLAN，每個相關(guān)的Span？

　　ning Tree的拓?fù)涠夹枰芾恚籌P地址的緊缺：IP子網(wǎng)的劃分勢必造成一些IP地址的浪費；路由的限制：每個子網(wǎng)都需要相應(yīng)的默認(rèn)網(wǎng)關(guān)的配置。為了解決以上問題，一種高級VLAN 技術(shù)--專用VLAN（Private VLAN）應(yīng)運而生。

　　1 PVLAN 基本結(jié)構(gòu)

　　Private VLAN 是能夠為相同VLAN 內(nèi)不同端口提供隔離的VLAN.PVLAN 可以將一個VLAN 的二層廣播域劃分成多個子域，每個子域都由一對VLAN 組成：

　　Primary VLAN（ 主VLAN）和Secondary VLAN（ 輔助VLAN），如圖1所示。

　　Primary VLAN：是PVLAN的高級VLAN，每個PVLAN中只有一個主VLAN.Secondary VLAN：是PVLAN中的子VLAN，并且映射到一個主VLAN.每臺接入設(shè)備都連接到輔助VLAN.輔助VLAN有以下兩種類型：

　　Isolated VLAN：同一個隔離VLAN中的端口互相不能進行二層通信，一個私有VLAN 域中只有一個隔離VLAN.

　　Community VLAN：同一個團體VLAN 中的端口可以進行二層通信，但是不能與其他團體VLAN中的端口進行二層通信，一個私有VLAN 中可以有多個團體VLAN.

　　PVLAN各組成之間通信關(guān)系如圖2所示。

　　在Private VLAN 的概念中，有三種交換機端口類型：

　　Isolated port：屬于Isolated PVLAN，只能和Promis？

　　cuous port通信，Isolated port彼此不能交換流量；Community port：屬于Community PVLAN，可以和Promiscuous port通信，彼此可以交換流量；Promiscuous port：與路由器或第3層交換機接口相連，它收到的流量可以發(fā)往Isolated port和Community port.

　　而代表一個Private VLAN整體的是Primary VLAN.

　　前面兩類VLAN 需要和它綁定在一起，同時它還包括Promiscuous port.

　　2 PVLAN 的工作機制

　　VLAN是根據(jù)目標(biāo)MAC地址、VLAN及交換機端口三項動態(tài)學(xué)習(xí)得到這個表進行數(shù)據(jù)交換的。PVLAN采用兩層VLAN 隔離技術(shù)，只有上層VLAN 全局可見，下層VLAN 相互隔離。它是通過主VLAN 和各輔助VLAN之間的MAC地址表同步技術(shù)來實現(xiàn)的。

　　如圖3所示，設(shè)置PVLAN，Vlan10是Primary VLAN，映射Secondary VLAN 是2 和3;端口配置如圖3 所示。

　　經(jīng)過這個配置，交換機內(nèi)部會形成一個Vlan？端口映射的表項，見表1.

　　MAC地址同步技術(shù)有兩步：

　　（1） Secondary VLAN 學(xué)到的地址同步到PrimaryVLAN中，出接口不變通過這個同步，此時SWB的MAC地址表由：

　　此時，從SWA過來的所有單播數(shù)據(jù)幀，在SWB都知道了明確的MAC 地址和出接口了，那么下行的單播就不會單播變廣播了，而會匹配表項直接單播發(fā)送。

　　（2） Primary VLAN 學(xué)到的地址同步到SecondaryVLAN中，出接口不變在：

　　此時，只要PCA 上有確切的SWA 的MAC 地址，它再去ping SWA，數(shù)據(jù)包在SWB上就有明確的MAC地址和出接口了，那么上行的單播就不會單播變廣播了。這樣不管用戶的數(shù)據(jù)是上行還是下行，數(shù)據(jù)傳輸都盡量避免了廣播。

　　3 PVLAN 的應(yīng)用實例及配置步驟

　　PVLAN的應(yīng)用對于保證接入網(wǎng)絡(luò)的數(shù)據(jù)通信的安全性是非常有效的，用戶只需與自己的默認(rèn)網(wǎng)關(guān)連接。

　　一個PVLAN不需要多個VLAN和IP子網(wǎng)就提供了具備第2 層數(shù)據(jù)通信安全性的連接。所有的用戶都接入PVLAN，從而實現(xiàn)了所有用戶與默認(rèn)網(wǎng)關(guān)的連接，而與PVLAN內(nèi)的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信，但可以穿過Trunk端口。這樣即使同一VLAN 中的用戶，相互之間也不會受到廣播的影響。

　　實例應(yīng)用背景：

　　要求：主機A、B、C為一組，要能夠互相通信，并且可以和網(wǎng)關(guān)、服務(wù)器Z進行通信，但不能與主Vlan 100里的其余主機通信；主機D、E為一組，他們之間不能互相通信，但是可以和網(wǎng)關(guān)、計費服務(wù)器Z進行通信，同樣也不能與主Vlan 100里其余主機通信；根據(jù)要求，利用PVLAN技術(shù)，可設(shè)計網(wǎng)絡(luò)拓?fù)淙鐖D4所示。

　　配置步驟如下：

　　（1）創(chuàng)建各VLAN并聲明VLAN類型；

　　（2）關(guān)聯(lián)主VLAN與各輔助VLAN;

　　（3）給各VLAN劃分端口；

　　（4）輔助VLAN映射主VLAN三層接口；

　　（5）設(shè)置各終端IP 地址與主VLAN SVI 接口IP 在一個網(wǎng)段，默認(rèn)網(wǎng)關(guān)為SVI接口IP地址。

　　這樣就實現(xiàn)了不同用戶在同一個VLAN 二層的隔離，并只能通過網(wǎng)關(guān)實現(xiàn)與其他用戶的通信，增強了接入網(wǎng)絡(luò)的安全性。