专用VLAN是如何工作的?关于私有VLAN的困惑问题

什么是专用 VLAN?私有VLAN(Private VLAN,简称PVLAN),又称端口隔离,是一种二层网络的网络分段技术,可以实现同一IP段下的端口隔离或流量分段。通过在共享网络环境中应用私有VLAN,大大节省了IP地址,提高了二层交换机端口的安全性。

专用VLAN是如何工作的?关于私有VLAN的困惑问题-南华中天

专用 VLAN 术语概述

PVLAN 的端口类型

通常,存在三种 VLAN 端口类型:

  • 混杂端口:此端口类型能够从 VLAN 中的任何其他端口发送和接收帧。它通常与第 3 层交换机、路由器或其他网关设备相连。
  • Isolated Port:存在于sub-VLAN中,隔离端口与主机相连,只能与混杂端口通信。
  • Community Port: Community port也属于sub-VLAN,与主机相连。但是,它只能与同一子 VLAN 中的混杂端口和其他社区端口进行聊天。

PVLAN 的 VLAN 类型

在专用 VLAN 中,可以通过三种类型访问 VLAN:

  • Primary VLAN:这种类型的VLAN是指原始VLAN,它可以将帧从混杂端口下行到它的所有子VLAN(辅助VLAN)到所有主机连接的端口。
  • Isolated VLAN:作为Secondary VLAN,Isolated VLAN只能支持隔离VLAN内的交换机端口(隔离端口)向主VLAN内的混杂端口转发数据。即使在同一个隔离 VLAN 中,隔离端口也不能相互通信。
  • Community VLAN: Community VLAN也是Secondary VLAN的一种。同一社区VLAN内的交换机端口(社区端口)可以相互通信,也可以与主VLAN的端口通信。但是这种类型的 VLAN 也无法与其他 Secondary VLAN 通信,包括其他社区 VLAN。

专用VLAN是如何工作的?关于私有VLAN的困惑问题-南华中天

专用 VLAN 是如何工作的?

一般来说,私有VLAN会经历以下几个阶段:

  • 主 VLAN 将帧从混杂端口下行传送到所有映射的主机。
  • 隔离 VLAN 仅将帧从存根主机向上游传输到混杂端口。
  • 社区 VLAN 允许在单个社区组内进行双向帧交换。同时,它会将数据上传到混杂端口。
  • 以太网MAC地址学习和转发过程保持不变,以及主/次VLAN边界内的广播/多播泛洪过程。

要了解有关 VLAN 及其工作原理的更多详细信息,请参阅了解虚拟 LAN (VLAN) 技术。

关于私有 VLAN 的困惑问题

1. 如何配置Private VLAN?

在FS中,S5800-8TF12S、S5850-32S2Q、S5850-48S6Q、S5850-48S2Q4C、S5850-48T4Q、S8050-20Q4C和N系列交换机均支持私有VLAN。要配置私有 VLAN,需要遵循五个步骤:

  • 第 1 步:创建Primary和Secondary VLAN并关联。
  • 第 2 步:配置隔离端口和社区端口,并将它们绑定到各自的Secondary VLAN。
  • 第 3步:将接口配置为混杂端口,并将混杂端口映射到主从VLAN对。
  • 第 4 步:如果将使用 VLAN 间路由,配置主交换机虚拟接口,并将辅助 VLAN 映射到主交换机。
  • 第 5 步:验证专用 VLAN 配置。

专用VLAN是如何工作的?关于私有VLAN的困惑问题-南华中天

2. 如何在FS交换机上配置隔离端口(流量分段)?

FS S3900系列以太网交换机支持流量分段,S5800/5900/8050系列和N系列交换机支持端口隔离。流量分段或端口隔离的配置思路如下:

  • 第 1 步:为指定交换机配置VLAN、IP地址和以太网接口,实现网络互通。
  • 第 2 步:将接口加入流量分段或端口隔离组,实现接口之间的二层分段。
  • 第 3 步:验证配置。

3. VLAN 对比 专用 VLAN:有什么区别?

通常,不同的 VLAN 映射到不同的 IP 子网。VLAN 中的设备可以配置为共享同一个广播域。它可以在第 2 层和第 3 层工作。