在交换式以太网诞生之初。主机之间通过透明网桥在2层直接完成交换,过程简单且速度很快,但会引起广播风暴的问题。为限制广播风暴,可以通过路由器对网络进行分段,这在一定程度上改善了网络性能,然而随着网络规模的日益扩大,单纯地依靠增加路由器数量来优化网络的做法显得成本太高。VLAN的出现改善了这一局面,通过使用VLAN,主机之间从第2层隔被离开,通常的做法是给每个VLAN配置一个IP子网,VLAN间的通信可以通过3层交换机或路由器来完成,现在绝大多数的园区网都是这么规划和配置的。
在网络安全问题越来越突出的形式下,主机或服务器经常需要在链路层完全隔离(对于链路层通信的独立性要求越来越高),此时,VLAN和IP子网—对应的网络模型表现出了在可扩展方面的局限性,比如:VLAN数目的限制,IP地址的紧缺、路由的限制等。
PVLAN(Private VLAN,即私有VLAN,也叫专有VLAN)可以很好地解决上述问题,它可以使交换机的端口属于不同VLAN,但使用同一网段的地址,从本质上来说,PVLAN是一种允许在一个IP子网下划分多个VLAN的技术,它隔断了主机在2层上的通信,却允许所有的主机与同一个网关进行3层上的通信。
一、PVLAN技术
为满足多种类型的通信需求,PVLAN中使用了主VLAN、从VLAN、混杂端口、公共端口、孤立端口等概念,下面我们简单介绍一下这些概念。
一个PVLAN可包含一个主VLAN(Primary VLAN)和多个从VLAN(Secondary VLAN)。处于主VLAN中的交换机端口叫做混杂端口(Promiscuous port);从VLAN有两种类型:公共VLAN和孤立VLAN,处于公共VLAN中的交换机端口叫做公共端口(Community port),处于孤立VLAN中的交换机端口叫做孤立端口(Isolated port);从VLAN必须和主VLAN建立关联关系后才能正常工作,PVLAN实际上是指建立了关联关系后的一个主VLAN和多个从VLAN的组合体,通常情况下,一个PVLAN可以包含多个公共VLAN,但只能包含一个孤立VLAN,各种类型的端口之间的互访关系可以用图1来说明,
图1:三种类型的端口之间的互访联系
二、PVLAN在DCS-3926s交换机下的实现
下面以神州数码的DCS-3926s交换机为例,介绍PVLAN的具体配置方法和配置过程。
实验拓扑图如图2所示,共需交换机一台,PC机5台,5类UTP直通线5条。
图2:实验拓扑图
实验中,将PCI划至混杂端口中,PC2和PC3划至公共端口中,PC4和PC5划至孤立端口中,通过两两执行Ping命令验证PVLAN对于数据通信的控制作用,具体的VLAN配置和PC配置情况参见图2和图3。
图4:PC配置
配置过程的一些关键步骤如下:
第一步:创建PVLAN的各种成员VLAN
Switch(config) # vlan 100
Switch(config-vlan 100) # private-vlan primary
Switch(config-vlan100) # exit
Switch(config) # vlan 200
Switch(config-vlan 200) # private-vlan community
Switch(config-vlan 200) # exit
Switch(config) # vlan 300
Switch(config-vlan 300) # private-vlan isolated
Switch(config-vlan 300) # exit
第二步:做VLAN之间的关联
Switch(config) # vlan 100
Switch(config-vlan 100) # private-vlan association 200;300
Switch(config-vlan 100) # exit
第三步:给VLAN添加端口
Switch(config) # vlan 100
Switch(config-vlan 100) # switchport interface ethernet 0/0/1/-8
Switch(config-vlan 100) # vlan 200
Switch(config-vlan 200) # switchport interface ethernet 0/0/9-16
Switch(config-vlan 200) # vlan 300
Switch(config—vlan300) # switchport interface etherne 0/O/17-24
PVLAN是在VLAN发展过程中出现的一种新技术,它由Cisco最先提出,至今为止并没有被IEEE组织标准化,相应的功能也一般也只能在交换机上实现。
目前很多厂商生产的交换机都支持PVLAN,它在解决通信安全,防止广播风暴,防止IP地址浪费、优化网络结构等方面的优势非常明显,而且PVLAN在交换机上的配置也相对简单,以上特性使得PVLAN技术可以应用在具有多个部门、多种安全级别的企业环境中。
CIO之家 www.ciozj.com 公众号:imciow