【疑问解答】私有VLAN是什么?它是如何工作的?
私有VLAN是什么?
私有VLAN(即Private VLAN,简称PVLAN)也被称为专用VLAN,其采用两层VLAN隔离技术,可将一个VLAN的二层广播域划分成多个子域,从而达到在同一IP网段下实现VLAN内部通信隔离。在共享网络环境中,私有VLAN的应用可有效简化IP地址分配,节省IP地址,同时,提高了二层交换机端口的安全性。
私有VLAN专业术语简介
1. 私有VLAN的VLAN类型
由上可知,私有VLAN可将一个VLAN划分成多个子域,而每个划分成的子域都是由一个私有VLAN对组成,一个私有VLAN对主要包含了主VLAN(Primary VLAN)和辅助VLAN(Secondary VLAN),其中辅助VLAN具备隔离VLAN(Isolated VLAN)和团体VLAN(Community VLAN)两种类型。
主VLAN——指原始的VLAN,这种类型的VLAN可通过混杂端口将数据帧下行转发到所有辅助VLAN。
隔离VLAN——作为一种辅助VLAN,只能支持隔离VLAN中的隔离端口将数据帧转发到主VLAN中的混杂端口上,同属于一个隔离VLAN中的端口是无法进行通信的。此外,一个私有域中只有一个隔离VLAN。
团体VLAN——作为一种辅助VLAN,同一个团体VLAN中的团体端口可相互通信,也可以与主VLAN的端口进行通信,但不能与其他团体VLAN中的端口进行通信。一个私有VLAN域中可以有多个团体VLAN。
2.私有VLAN的端口类型
私有VLAN具备三种VLAN端口类型,具体如下:
混杂端口——即Promiscuous port,也被称为杂合端口。此类端口能够与VLAN中的所有端口(包含团体端口和隔离端口)进行通信(发送和接收帧),通常可与第三层交换机端口、路由器端口、备份或共享服务器端口或VLAN接口连接。
隔离端口——即Isolated port,也被称为孤立端口。此类端口存在于辅助VLAN中,可与主VLAN中的混杂端口通信。
团体端口——即Community port,也被称为公共端口。此类端口存在于辅助VLAN中,可与同一个团体VLAN中的团体端口进行通信,也可以与所有混杂端口进行通信,不同团体VLAN中的端口不能通信。
私有VLAN是如何工作的?
通常情况下,私有VLAN工作需要进行如下四个阶段:
第一,主VLAN通过混杂端口将下行的数据帧转到所有映射的主机上;
第二,隔离VLAN将上行主机的数据帧转发到混杂端口上;
第三,团体VLAN内的团体端口进行相互通信,同时将上行数据帧转发到混杂端口上;
第四,交换机MAC地址的学习和转发过程以及主/辅助VLAN内的广播/组播/洪泛过程保持不变。
若想了解VLAN是什么以及其工作原理,可访问《【疑问解答】关于VLAN技术您了解多少?》。
关于私有VLAN的疑问解答
1. 如何配置私有VLAN?
飞速(FS) S5800-8TF12S/S5850-32S2Q/S5850-48S6Q/S5850-48S2Q4C/S5850-48T4Q/S8050-20Q4C交换机和N系列交换机都能支持私有VLAN,具体的配置思路如下:
①创建主VLAN和辅助VLAN,并将它们进行关联;
②配置隔离端口和团体端口,并将它们与相应的辅助VLAN进行绑定;
③将接口配置为混杂端口,并将混杂端口映射到私有VLAN对上;
④若想实现VLAN间路由,则配置主交换机的SVI接口,并将辅助VLAN映射到主VLAN;
⑤验证私有VLAN配置是否成功。
2. 飞速(FS)交换机如何配置端口隔离?
飞速(FS) S3900系列交换机、S5800/5900/8050系列以及N系列交换机都可支持端口隔离,具体的配置思路如下:
①配置交换机的VLAN、IP地址以及端口模式;
②对指定端口进行端口隔离配置;
③验证配置是否成功建立。
欲知更多端口隔离的信息,可访问《飞速(FS) S3900系列交换机端口隔离功能配置指南》。
3. VLAN与私有VLAN有什么区别?
VLAN是一种安全隔离技术,可用于第二层和第三层,通常情况下,一个VLAN对应一个独立的IP网段,不同的VLAN具备不同的IP网段,无法做到不同VLAN同属一个IP网段;而私有VLAN用于第二层,它可使交换机的端口属于不同VLAN,但同属一个IP网段。