基于PVLAN的工作原理的設計方案

　　引言

　　隨著(zhù)網(wǎng)絡(luò )的迅速發(fā)展，網(wǎng)絡(luò )用戶(hù)通信的安全性要求越來(lái)越高；傳統的解決方法是給每個(gè)客戶(hù)分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過(guò)使用VLAN，每個(gè)客戶(hù)被從第2層隔離開(kāi)，可以防止任何惡意的行為和Ethernet的信息探聽(tīng)。然而，這種分配每個(gè)客戶(hù)單一VLAN和IP子網(wǎng)的模型造成了以下局限：交換機固有的VLAN數目的限制；復雜的STP：對于每個(gè)VLAN，每個(gè)相關(guān)的Span？

　　ning Tree的拓撲都需要管理；IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些IP地址的浪費；路由的限制：每個(gè)子網(wǎng)都需要相應的默認網(wǎng)關(guān)的配置。為了解決以上問(wèn)題，一種高級VLAN 技術(shù)--專(zhuān)用VLAN（Private VLAN）應運而生。

　　1 PVLAN 基本結構

　　Private VLAN 是能夠為相同VLAN 內不同端口提供隔離的VLAN.PVLAN 可以將一個(gè)VLAN 的二層廣播域劃分成多個(gè)子域，每個(gè)子域都由一對VLAN 組成：

　　Primary VLAN（ 主VLAN）和Secondary VLAN（ 輔助VLAN），如圖1所示。

　　Primary VLAN：是PVLAN的高級VLAN，每個(gè)PVLAN中只有一個(gè)主VLAN.Secondary VLAN：是PVLAN中的子VLAN，并且映射到一個(gè)主VLAN.每臺接入設備都連接到輔助VLAN.輔助VLAN有以下兩種類(lèi)型：

　　Isolated VLAN：同一個(gè)隔離VLAN中的端口互相不能進(jìn)行二層通信，一個(gè)私有VLAN 域中只有一個(gè)隔離VLAN.

　　Community VLAN：同一個(gè)團體VLAN 中的端口可以進(jìn)行二層通信，但是不能與其他團體VLAN中的端口進(jìn)行二層通信，一個(gè)私有VLAN 中可以有多個(gè)團體VLAN.

　　PVLAN各組成之間通信關(guān)系如圖2所示。

　　在Private VLAN 的概念中，有三種交換機端口類(lèi)型：

　　Isolated port：屬于Isolated PVLAN，只能和Promis？

　　cuous port通信，Isolated port彼此不能交換流量；Community port：屬于Community PVLAN，可以和Promiscuous port通信，彼此可以交換流量；Promiscuous port：與路由器或第3層交換機接口相連，它收到的流量可以發(fā)往Isolated port和Community port.

　　而代表一個(gè)Private VLAN整體的是Primary VLAN.

　　前面兩類(lèi)VLAN 需要和它綁定在一起，同時(shí)它還包括Promiscuous port.

　　2 PVLAN 的工作機制

　　VLAN是根據目標MAC地址、VLAN及交換機端口三項動(dòng)態(tài)學(xué)習得到這個(gè)表進(jìn)行數據交換的。PVLAN采用兩層VLAN 隔離技術(shù)，只有上層VLAN 全局可見(jiàn)，下層VLAN 相互隔離。它是通過(guò)主VLAN 和各輔助VLAN之間的MAC地址表同步技術(shù)來(lái)實(shí)現的。

　　如圖3所示，設置PVLAN，Vlan10是Primary VLAN，映射Secondary VLAN 是2 和3;端口配置如圖3 所示。

　　經(jīng)過(guò)這個(gè)配置，交換機內部會(huì )形成一個(gè)Vlan？端口映射的表項，見(jiàn)表1.

　　MAC地址同步技術(shù)有兩步：

　?。?） Secondary VLAN 學(xué)到的地址同步到PrimaryVLAN中，出接口不變通過(guò)這個(gè)同步，此時(shí)SWB的MAC地址表由：

　　此時(shí)，從SWA過(guò)來(lái)的所有單播數據幀，在SWB都知道了明確的MAC 地址和出接口了，那么下行的單播就不會(huì )單播變廣播了，而會(huì )匹配表項直接單播發(fā)送。

　?。?） Primary VLAN 學(xué)到的地址同步到SecondaryVLAN中，出接口不變在：

　　此時(shí)，只要PCA 上有確切的SWA 的MAC 地址，它再去ping SWA，數據包在SWB上就有明確的MAC地址和出接口了，那么上行的單播就不會(huì )單播變廣播了。這樣不管用戶(hù)的數據是上行還是下行，數據傳輸都盡量避免了廣播。

　　3 PVLAN 的應用實(shí)例及配置步驟

　　PVLAN的應用對于保證接入網(wǎng)絡(luò )的數據通信的安全性是非常有效的，用戶(hù)只需與自己的默認網(wǎng)關(guān)連接。

　　一個(gè)PVLAN不需要多個(gè)VLAN和IP子網(wǎng)就提供了具備第2 層數據通信安全性的連接。所有的用戶(hù)都接入PVLAN，從而實(shí)現了所有用戶(hù)與默認網(wǎng)關(guān)的連接，而與PVLAN內的其他用戶(hù)沒(méi)有任何訪(fǎng)問(wèn)。PVLAN功能可以保證同一個(gè)VLAN中的各個(gè)端口相互之間不能通信，但可以穿過(guò)Trunk端口。這樣即使同一VLAN 中的用戶(hù)，相互之間也不會(huì )受到廣播的影響。

　　實(shí)例應用背景：

　　要求：主機A、B、C為一組，要能夠互相通信，并且可以和網(wǎng)關(guān)、服務(wù)器Z進(jìn)行通信，但不能與主Vlan 100里的其余主機通信；主機D、E為一組，他們之間不能互相通信，但是可以和網(wǎng)關(guān)、計費服務(wù)器Z進(jìn)行通信，同樣也不能與主Vlan 100里其余主機通信；根據要求，利用PVLAN技術(shù)，可設計網(wǎng)絡(luò )拓撲如圖4所示。

　　配置步驟如下：

　?。?）創(chuàng )建各VLAN并聲明VLAN類(lèi)型；

　?。?）關(guān)聯(lián)主VLAN與各輔助VLAN;

　?。?）給各VLAN劃分端口；

　?。?）輔助VLAN映射主VLAN三層接口；

　?。?）設置各終端IP 地址與主VLAN SVI 接口IP 在一個(gè)網(wǎng)段，默認網(wǎng)關(guān)為SVI接口IP地址。

　　這樣就實(shí)現了不同用戶(hù)在同一個(gè)VLAN 二層的隔離，并只能通過(guò)網(wǎng)關(guān)實(shí)現與其他用戶(hù)的通信，增強了接入網(wǎng)絡(luò )的安全性。