根据PVLAN的作业原理的设计方案

　　导言

　　跟着网络的迅速发展，网络用户通讯的安全性要求越来越高；传统的处理方法是给每个客户分配一个VLAN和相关的IP子网，经过运用VLAN，每个客户被从第2层隔脱离，能够避免任何歹意的行为和Ethernet的信息打听。可是，这种分配每个客户单一VLAN和IP子网的模型构成了以下约束：交流机固有的VLAN数目的约束；杂乱的STP：关于每个VLAN，每个相关的Span？

　　ning Tree的拓扑都需求办理；IP地址的紧缺：IP子网的区分必然构成一些IP地址的糟蹋；路由的约束：每个子网都需求相应的默许网关的装备。为了处理以上问题，一种高档VLAN 技能–专用VLAN（Private VLAN）应运而生。

　　1 PVLAN 根本结构

　　Private VLAN 是能够为相同VLAN 内不同端口供给阻隔的VLAN.PVLAN 能够将一个VLAN 的二层播送域区分红多个子域，每个子域都由一对VLAN 组成：

　　Primary VLAN（ 主VLAN）和Secondary VLAN（ 辅佐VLAN），如图1所示。

　　Primary VLAN：是PVLAN的高档VLAN，每个PVLAN中只需一个主VLAN.Secondary VLAN：是PVLAN中的子VLAN，而且映射到一个主VLAN.每台接入设备都衔接到辅佐VLAN.辅佐VLAN有以下两种类型：

　　Isolated VLAN：同一个阻隔VLAN中的端口彼此不能进行二层通讯，一个私有VLAN 域中只需一个阻隔VLAN.

　　Community VLAN：同一个集体VLAN 中的端口能够进行二层通讯，可是不能与其他集体VLAN中的端口进行二层通讯，一个私有VLAN 中能够有多个集体VLAN.

　　PVLAN各组成之间通讯联系如图2所示。

　　在Private VLAN 的概念中，有三种交流机端口类型：

　　Isolated port：归于Isolated PVLAN，只能和Promis？

　　cuous port通讯，Isolated port相互不能交流流量；Community port：归于Community PVLAN，能够和Promiscuous port通讯，相互能够交流流量；Promiscuous port：与路由器或第3层交流机接口相连，它收到的流量能够发往Isolated port和Community port.

　　而代表一个Private VLAN全体的是Primary VLAN.

　　前面两类VLAN 需求和它绑定在一起，一起它还包含Promiscuous port.

　　2 PVLAN 的作业机制

　　VLAN是依据方针MAC地址、VLAN及交流机端口三项动态学习得到这个表进行数据交流的。PVLAN选用两层VLAN 阻隔技能，只需上层VLAN 大局可见，基层VLAN 彼此阻隔。它是经过主VLAN 和各辅佐VLAN之间的MAC地址表同步技能来完成的。

　　如图3所示，设置PVLAN，Vlan10是Primary VLAN，映射Secondary VLAN 是2 和3;端口装备如图3 所示。

　　经过这个装备，交流机内部会构成一个Vlan？端口映射的表项，见表1.

　　MAC地址同步技能有两步：

　　（1） Secondary VLAN 学到的地址同步到PrimaryVLAN中，出接口不变经过这个同步，此刻SWB的MAC地址表由：

　　此刻，从SWA过来的一切单播数据帧，在SWB都知道了清晰的MAC 地址和出接口了，那么下行的单播就不会单播变播送了，而会匹配表项直接单播发送。

　　（2） Primary VLAN 学到的地址同步到SecondaryVLAN中，出接口不变在：

　　此刻，只需PCA 上有切当的SWA 的MAC 地址，它再去ping SWA，数据包在SWB上就有清晰的MAC地址和出接口了，那么上行的单播就不会单播变播送了。这样不论用户的数据是上行仍是下行，数据传输都尽量避免了播送。

　　3 PVLAN 的使用实例及装备过程

　　PVLAN的使用关于确保接入网络的数据通讯的安全性对错常有用的，用户只需与自己的默许网关衔接。

　　一个PVLAN不需求多个VLAN和IP子网就供给了具有第2 层数据通讯安全性的衔接。一切的用户都接入PVLAN，然后完成了一切用户与默许网关的衔接，而与PVLAN内的其他用户没有任何拜访。PVLAN功用能够确保同一个VLAN中的各个端口彼此之间不能通讯，但能够穿过Trunk端口。这样即便同一VLAN 中的用户，彼此之间也不会遭到播送的影响。

　　实例使用布景：

　　要求：主机A、B、C为一组，要能够彼此通讯，而且能够和网关、服务器Z进行通讯，但不能与主Vlan 100里的其他主机通讯；主机D、E为一组，他们之间不能彼此通讯，可是能够和网关、计费服务器Z进行通讯，相同也不能与主Vlan 100里其他主机通讯；依据要求，使用PVLAN技能，可设计网络拓扑如图4所示。

　　装备过程如下：

　　（1）创立各VLAN并声明VLAN类型；

　　（2）相关主VLAN与各辅佐VLAN;

　　（3）给各VLAN区分端口；

　　（4）辅佐VLAN映射主VLAN三层接口；

　　（5）设置各终端IP 地址与主VLAN SVI 接口IP 在一个网段，默许网关为SVI接口IP地址。

　　这样就完成了不同用户在同一个VLAN 二层的阻隔，并只能经过网关完成与其他用户的通讯，增强了接入网络的安全性。