VLAN技术及其在企业中的应用分析
郑华 李桂红 刘洋 万方数据
 在交换式以太网诞生之初,主机之间通过透明网桥在2层直配置情况参见表2和表3。接完成交换,过程简单且速度很快,但会引起广播风暴的问题。为限制广播风暴,可以通过路由器对网络进行分段,这在一定程度上改善了网络性能,然而随着网络规模的日益扩大,单纯地依靠增加路由器数量来优化网络的做法显得成本太高。VLAN的出现改善了这一局面,通过使用VLAN,主机之间从第2层隔被离开,通常的做法是给每个VLAN配置一个IP子网,VLAN间的通信可以通过3层交换机或路由器来完成,现在绝大多数的园区网都是这么规划和配置的。
  在网络安全问题越来越突出的形式下,主机或服务器经常需要在链路层完全隔离(对于链路层通信的独立性要求越来越高),此时,VLAN和IP子网——对应的网络模型表现出了在可扩展方面的局限性,比如:VLAN数目的限制,IP地址的紧缺、路由的限制等。PVLAN(Private VLAN,即私有VLAN,也叫专有VLAN)可以很好地解决上述问题,它可以使交换机的端口属于不同VLAN,但使用同一网段的地址,从本质上来说,PVLAN是一种允许在一个IP子网下划分多个VLAN的技术,它隔断了主机在2层上的通信,却允许所有的主机与同一个网关进行3层上的通信。
 
一、PVLAN技术

  为满足多种类型的通信需求,PVLAN中使用了主VLAN,从VLAN、混杂端口,公共端口,孤立端口等概念,下面我们简单介绍一下这些概念。

  一个PVLAN可包含一个主VLAN(Primary VLAN)和多个从VLAN(Secondary VLAN)。处于主VLAN中的交换机端口叫做混杂端口(Promiscuous port);从VLAN有两种类型:公共VLAN和孤立VLAN,处于公共VLAN中的交换机端口叫做公共端口(Community port),处于孤立VLAN中的交换机端口叫做孤立端口(Isolated port);从VLAN必须和主VLAN建立关联关系后才能正常工作,PVLAN实际上是指建立了关联关系后的一个主VLAN和多个从VLAN的组合体,通常情况下,一个PVLAN可以包含多个公共VLAN,但只能包含一个孤立VLAN,各种类型的端口之间的互访关系可以用表1来说明:

 

 
二、PVLAN在DCS-3926s交换机下的实现

  下面以神州数码的DCS-3926s交换机为例,介绍PVLAN的具体配置方法和配置过程。

 

 
实验拓扑图如图1所示,共需交换机一台,PC机5台,5类UTP直通线5条。实验中,将PCI划至混杂端口中,PC2和PC3划至公共端口中,PC4和PC5划至孤立端口中,通过两两执行Ping命令验证PVLAN对于数据通信的控制作用,具体的VLAN配置和PC配置情况参见表2和表3。
 
 
 
 
配置过程的一些关键步骤如下:

  第一步:创建PVLAN的各种成员VLAN

  Switch(config)#vlan 100

  Switch(config—vlan100)#private-vlan primary

  Switch(config-vlan100)#exit

  Switch(config)#vlan 200

  Switch(config-vlan200)#private-vlan community

  Switch(config-vlan200)#exit

  Switch(config)#vlan 300

  Switch(config-vlan300)#private-vlan isolated

  Switch(config-vlan300)#exit

  第二步:做VLAN之间的关联

  Switch(config)#vlan 100

  Switch(config-vlanl00)#private-vlan association 200;300

  Switch(config-vlanloo)#exit

  第三步:给VLAN添加端口

  Switch(config)#vlan 100

  Switch(config—vlanl00)#switchport interface ethernet 0/0/1-8

  Switch(config—vlanl00)#vlan 200

  Switch{config—vlan200)#switchport interface ethernet0/0/9-16

  Switch(config—vIan200)#vlan 300

  Switch(config—vlan300)#switchFIart interface ethernet 0/0/17-24

  PVLAN是在VLAN发展过程中出现的一种新技术,它由Cisco最先提出,至今为止并没有被IEEE组织标准化,相应的功能也一般也只能在交换机上实现。

  目前很多厂商生产的交换机都支持PVLAN,它在解决通信安全,防止广播风暴,防止IP地址浪费、优化网络结构等方面的优势非常明显,而且PVLAN在交换机上的配置也相对简单,以上特性使得PVLAN技术可以应用在具有多个部门、多种安全级别的企业环境中。

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢