什么是專用 VLAN?私有VLAN(Private VLAN,簡稱PVLAN),又稱端口隔離,是一種二層網絡的網絡分段技術,可以實現同一IP段下的端口隔離或流量分段。通過在共享網絡環境中應用私有VLAN,大大節省了IP地址,提高了二層交換機端口的安全性。
專用 VLAN 術語概述
PVLAN 的端口類型
通常,存在三種 VLAN 端口類型:
- 混雜端口:此端口類型能夠從 VLAN 中的任何其他端口發送和接收幀。它通常與第 3 層交換機、路由器或其他網關設備相連。
- Isolated Port:存在于sub-VLAN中,隔離端口與主機相連,只能與混雜端口通信。
- Community Port: Community port也屬于sub-VLAN,與主機相連。但是,它只能與同一子 VLAN 中的混雜端口和其他社區端口進行聊天。
PVLAN 的 VLAN 類型
在專用 VLAN 中,可以通過三種類型訪問 VLAN:
- Primary VLAN:這種類型的VLAN是指原始VLAN,它可以將幀從混雜端口下行到它的所有子VLAN(輔助VLAN)到所有主機連接的端口。
- Isolated VLAN:作為Secondary VLAN,Isolated VLAN只能支持隔離VLAN內的交換機端口(隔離端口)向主VLAN內的混雜端口轉發數據。即使在同一個隔離 VLAN 中,隔離端口也不能相互通信。
- Community VLAN: Community VLAN也是Secondary VLAN的一種。同一社區VLAN內的交換機端口(社區端口)可以相互通信,也可以與主VLAN的端口通信。但是這種類型的 VLAN 也無法與其他 Secondary VLAN 通信,包括其他社區 VLAN。
專用 VLAN 是如何工作的?
一般來說,私有VLAN會經歷以下幾個階段:
- 主 VLAN 將幀從混雜端口下行傳送到所有映射的主機。
- 隔離 VLAN 僅將幀從存根主機向上游傳輸到混雜端口。
- 社區 VLAN 允許在單個社區組內進行雙向幀交換。同時,它會將數據上傳到混雜端口。
- 以太網MAC地址學習和轉發過程保持不變,以及主/次VLAN邊界內的廣播/多播泛洪過程。
要了解有關 VLAN 及其工作原理的更多詳細信息,請參閱了解虛擬 LAN (VLAN) 技術。
關于私有 VLAN 的困惑問題
1. 如何配置Private VLAN?
在FS中,S5800-8TF12S、S5850-32S2Q、S5850-48S6Q、S5850-48S2Q4C、S5850-48T4Q、S8050-20Q4C和N系列交換機均支持私有VLAN。要配置私有 VLAN,需要遵循五個步驟:
- 第 1 步:創建Primary和Secondary VLAN并關聯。
- 第 2 步:配置隔離端口和社區端口,并將它們綁定到各自的Secondary VLAN。
- 第 3步:將接口配置為混雜端口,并將混雜端口映射到主從VLAN對。
- 第 4 步:如果將使用 VLAN 間路由,配置主交換機虛擬接口,并將輔助 VLAN 映射到主交換機。
- 第 5 步:驗證專用 VLAN 配置。
2. 如何在FS交換機上配置隔離端口(流量分段)?
FS S3900系列以太網交換機支持流量分段,S5800/5900/8050系列和N系列交換機支持端口隔離。流量分段或端口隔離的配置思路如下:
- 第 1 步:為指定交換機配置VLAN、IP地址和以太網接口,實現網絡互通。
- 第 2 步:將接口加入流量分段或端口隔離組,實現接口之間的二層分段。
- 第 3 步:驗證配置。
3. VLAN 對比?專用 VLAN:有什么區別?
通常,不同的 VLAN 映射到不同的 IP 子網。VLAN 中的設備可以配置為共享同一個廣播域。它可以在第 2 層和第 3 層工作。
