私有VLAN

Private VLAN 技术原理及典型配置一、应用背景服务提供商如果给每个用户一个 VLAN ，则由于一台设备支持的VLAN 数最大只有4096 而限制了服务提供商能支持的用户数；在三层设备上，每个VLAN 被分配一个子网地址或一系列地址，这种情况导致IP 地址的浪费，一种解决方法就是应用Private VLAN 技术。

私有VLAN(Private VLAN)将一个VLAN 的二层广播域划分成多个子域，每个子域都由一个私有VLAN 对组成：主VLAN(Primary VLAN)和辅助VLAN(SecondaryVLAN)。

二、PVLAN 角色一个私有VLAN 域可以有多个私有VLAN 对，每一个私有VLAN 对代表一个子域。

在一个私有VLAN 域中所有的私有VLAN 对共享同一个主VLAN 。

每个子域的辅助VLAN ID 不同。

一个私有VLAN 域中只有一个主VLAN （Primary VLAN ），辅助VLAN 实现同一个私有VLAN 域中的二层隔离，有两种类型的辅助VLAN ：◆ 隔离VLAN(Isolated VLAN)：同一个隔离VLAN 中的端口不能互相进行二层通信。

一个私有VLAN 域中只有一个隔离VLAN 。

◆ 群体VLAN(Community VLAN)：同一个群体VLAN 中的端口可以互相进行二层通信，但不能与其它群体VLAN 中的端口进行二层通信。

一个私有VLAN 域中可以有多个群体VLAN 。

三、端口角色混杂端口（Promiscuous Port ），属于主VLAN 中的端口，可以与任意端口通讯，包括同一个私有VLAN 域中辅助VLAN 的隔离端口和群体端口。

隔离端口(Isolated Port)，隔离VLAN 中的端口，只能与混杂口通讯。

群体端口(Community port)，属于群体VLAN 中的端口，同一个群体VLAN 的群体端口可以互相通讯，也可以与混杂通讯。

不能与其它群体VLAN 中的群体端口及隔离VLAN 中的隔离端口通讯。

华为3COM交换机PVLAN配置使用PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN （Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接口类型。

①混杂端口（Promiscuous Port）②主机端口（Host Port）其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN 通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。

网络协议知识：MPLS协议和VLAN协议的联系与区别MPLS协议和VLAN协议是两种常见的网络协议，在现代网络技术中都扮演着重要的角色。

本文将从MPLS协议和VLAN协议的定义、特点、联系和区别等方面进行分析和探讨，以帮助读者更好地理解和应用这两种协议。

一、MPLS协议的定义和特点MPLS（Multiprotocol Label Switching）协议是一种基于标签的分组转发技术，可以高效地处理大量数据流量和优先级服务。

MPLS协议的主要特点是通过对数据包进行标记，实现了基于标签的快速数据转发，提高了网络性能和吞吐量。

同时，MPLS协议还具有以下特点：1.灵活性高：MPLS协议可以支持不同类型的网络流量和服务，满足各种不同网络需求。

2.控制平面和转发平面分离：为网络管理和维护提供了便利。

3.支持质量服务（QoS）：MPLS协议可以根据不同的标签来实现网络流量的优先级，提高网络性能和用户体验。

4.支持虚拟专线（VPLS）和虚拟私有网络（VPN）等功能，实现了更加安全的数据传输和隔离。

二、VLAN协议的定义和特点VLAN（Virtual LAN）协议是一种基于逻辑分区的局域网技术，通过在物理网络上建立逻辑网络实现不同用户或设备之间的隔离和通信。

VLAN协议的主要特点是将网络分区，实现隔离和控制，同时VLAN还具有以下特点：1.灵活性高：VLAN协议可以根据不同的需求创建不同的虚拟网段，实现更好的网络资源利用。

2.安全性高：VLAN协议可以通过隔离和控制不同用户或设备之间的通信，提高网络的安全性。

3.管理简单：VLAN协议可以通过软件管理，实现网络资源的自动分配和控制，减少运维成本。

三、MPLS协议和VLAN协议的联系和区别MPLS协议和VLAN协议都是一种基于标识的分组转发技术，但两者在应用场景、网络结构和功能特点等方面存在一些区别。

1.应用场景不同MPLS协议主要应用于公网，适合于大规模数据传输和优质服务的实现；而VLAN协议主要应用于企业内部网络，适合于实现不同部门之间的隔离和通信。

VLAN的主要作用有两点，一是提高网络安全性，阻止未经授权的VLAN访问，二是提高网络传输效率，将广播隔离在子网之内。

因此，VLAN划分是网管交换机最基本的配置之一。

VLAN配置策略在配置VLAN时，应当遵循以下策略方针：∙在VTP客户端、服务器和透明模式中，交换机支持1005个vlan∙标准序列VLAN的ID号为1~1001。

vlan号为1002~1005是Token Ring 和 FDDI VLAN。

∙V LAN 1~1005通常被保存在VLAN数据库中。

如果VTP模式时透明的，VTP和VLAN配置也保存在交换机运行配置文件中∙在VTP透明模式（VTP禁用）中，交换机也支持VLAN id 1006~4094。

该扩展序列VLAN和配置选项被限制。

扩展序列VLAN不能被保存在VLAN数据库。

∙在创建vlan之前，交换机必须处于VTP服务器模式或VTP透明模式。

如果交换机是VTP服务器，必须定义VTP域或VTP将失去作用。

∙交换机支持128个生成树场合。

如果交换机有太多的活动VLAN，超过所支持的扩展树，扩展树将在128个vlan启用，并且禁用其得vlanVLAN默认配置属性默认范围VLAN ID11-4094扩展范围VLAN(ID6-4094)不能被保存在VLAN数据库VLAN名称VLANxxxx，其中xxxx表示为与VLAN ID相同的数字，包括0开头的VLAN ID没有范围IEEE 802.10 SAID100 001(100 000加VLAN ID)1-4294967294MTU大小15001500-18190vlan状态活动，挂起远程span2-1001，1006-4094私有vlan配置VLAN创建VLAN共需要两个步骤，先是创建VLAN,然后，再将相关接口指定至该VLAN。

∙创建VLAN∙switch#configure terminal∙switch(config)# vlan vlan_id：以太网vlan—id的取值范围为1-1001。

VLAN标签VLAN标签用来指示VLAN的成员，它封装在能够穿越局域网的帧里。

这些标签在数据包进入VLAN的某一个交换机端口的时候被加上，在从VLAN 的另一个端口出去的时候被去除。

根据VLAN 的端口类型会决定是给帧加入还是去除标签。

VLAN 中的两类接口类型是指接入端口和骨干端口。

接入端口接入端口用在帧接入或者离开VLAN时。

当接入端口收到一个帧的时候，帧并没有包含一个VLAN标签。

一旦帧进入接入端口，会给帧加入VLAN标签。

当帧在交换机里面的时候，附着进入接入端口时被附上的VLAN标签。

当帧通过目的接入端口离开交换机的时候，VLAN标签就被去除了。

传输设备和接收设备并不知道收到的帧曾经被加过VLAN标签。

骨干端口网络中包含多于一个交换机的时候，必须把VLAN标签的帧从一个交换机传到另一个交换机。

骨干端口和接入端口的区别是骨干端口在传出帧之前，不会去除VLAN的标签。

保留了VLAN标签，接收交换机就能知道传输帧属于哪一个VLAN。

帧就可以传送到接收交换机的合适端口。

VLAN标签技术每一个VLAN标记帧包含指明自身所属VLAN的字段。

有两种种主要的VLAN标签格式，思科公司的Inter-Swith Link（ISL）格式和标准的802.1Q 格式。

思科ISLInter-SwithLink（ISL）格式是思科私有VLAN标签格式。

在使用的时候，VLAN标签在每个帧的头部增加26 字节信息，在帧尾部附加4 字节CRC。

标签的格式如下：基于802.1Q标准的标签ISL是思科公司的私有格式，而802.1Q是IEEE的标准格式。

802.1Q 标准允许VLAN 标记帧可以在不同厂家的交换机之间传递。

802.1Q 标签比ISL 标签包含更少的域，是插入帧而不是放入帧头。

PVLAN(private VLAN)私有VLAN作用：能够为VLAN内不同端口之间提供隔离的VLAN，能够在一个VLAN之中实现端口之间的隔离。

注意：配置时，VTP必须为透明模式组成：每个PVLAN包括两种VLAN：1、主VLAN2、辅助VLAN 又分为两种：隔离VLAN、联盟VLAN辅助VLAN是属于主VLAN的，一个主VLAN可以包含多个辅助VLAN。

在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN三种端口类型：host隔离端口---属于隔离VLANhost联盟端口---属于联盟VLANpromiscuous混杂端口---可以和其它端口通信,不属于任何一个子VLAN,通常是连接网关的端口或是连接服务器的端口。

规则：在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN隔离VLAN中的主机相互间不能访问，也不能和其它子VLAN访问，也不能和外部VLAN 访问，只能与混杂端口访问联盟VLAN中的主机可以相互访问，可以和混杂端口访问，但不能和其它子VLAN访问，也不能和外部VLAN访问1、设置主VLANSW1（config）#vlan 200private-vlan primary2、设置二级子VLANSW1（config）#vlan 201private-vlan isolated 设置为隔离VLANSW1（config）#vlan 202private-vlan community 设置为联盟VLAN3、将子VLAN划入主VLAN中,建立一个联系SW1（config）#vlan 200private-vlan association 201-202SW1（config）#vlan 200private-vlan association add 203 加入一个子VLAN private-vlan association remove 203 移除一个子VLAN4、将端口设定一个模式，并划入相应的VLAN中int e0switchport mode private-vlan host 设置端口的模式，根据子VLAN的类型成为相应的端口switchport private-vlan host-association 200 201-----将端口划入VLAN200中的子VLAN201int e0switchport mode private-vlan promiscuous 设置混杂端口switchport private-vlan mapping 200 201-202 设定混杂端口所能管理的子VLANswitchport private-vlan mapping 200 add/remove 203 增加或移除一个可管理的子VLANshow vlan private-vlan5、将辅助VLAN映射到主VLAN的第3层SVI接口，从而允许PVALN入口流量的第3层交换。

ISP 的客户通常需要多台服务器拥有Internet 接入但要求每一个客户的通信流隔离客户自己的服务器之间要求能够互访传统解决方案：给每个客户划分一个VLAN 并分配一个IP 子网，使用一台3层设备来连接这些子网。

传统解决方案存在如下的问题1.为每一个客户提供一个VLAN，ISP的设备必须有大量的接口。

2.随着VLAN数量的增加，生成树将越来越复杂。

3.维护多个VLAN意味着需要维护多个ACL，这增加了网络配置的复杂程度。

采用私有VLAN的解决方案：私有VLAN在同一个私有VLAN中的端口之间提供了2层隔离，从而无需为每个客户提供一个独立的VLAN和IP子网。

可以将同一个IP子网中的地址分配给各个客户。

私有VLAN的这种特性能够提供这样一个安全环境；多台主机或设备甚至多个客户连接到同一个网段，但彼此完全隔离主VLAN和辅助VLANPVLAN采用二层VLAN的结构，包括2种VLAN：主VLAN和辅助VLAN。

一个Primary vlan和多个Secondary vlan对应。

辅助VLAN包含真实的端口。

PVLAN定义使用混杂端口，它能够与PVLAN中的全部设备进行通信。

混杂端口只是主VLAN的一部分。

每个混杂端口可以映射多个辅助VLAN。

混杂端口通常是路由器的端口或VLAN接口。

辅助VLAN包括如下2种类型的VLAN隔离VLAN：如果端口属于隔离VLAN，那么它就只能与混杂端口进行通信。

隔离端口不能与相同隔离VLAN中的其它端口通信团体VLAN：如果端口属于团体VLAN，那么它就不仅能与相同团体VLAN中的其它端口进行通信。

而且还能与PVLAN中的混杂端口通信PVLAN 类型及端口类型私有VLAN 端口类型：混杂（Promiscuous）端口：可以与其它所有端口通信隔离（Isolated）端口：仅允许与混杂端口通信团体（Community）端口：允许与混杂端口以及同一团体中的其它端口通信私有VLAN 类型：主（Primary）VLAN：由混杂端口使用，用于与PVLAN 中的其它所有端口通信隔离（Isolated）VLAN：由隔离端口使用，用于与混杂端口通信团体（Community）VLAN：由团体端口使用来相互通信以及与混杂端口通信。