[摘 要] 闡述了VLAN技術(shù)及其局限性，分析了PVLAN技術(shù)的特點(diǎn)和產(chǎn)生背景及其應(yīng)用場(chǎng)合，結(jié)合實(shí)例介紹了PVLAN在DCS-3926s交換機(jī)下的配置，總結(jié)了PVLAN技術(shù)應(yīng)用于企業(yè)網(wǎng)絡(luò)管理的優(yōu)勢(shì)。

[關(guān)鍵詞] 虛擬局域網(wǎng)(VLAN） 專用虛擬局域網(wǎng)（PVLAN） 網(wǎng)絡(luò)管理 數(shù)據(jù)安全

在交換式以太網(wǎng)誕生之初，主機(jī)之間通過(guò)透明網(wǎng)橋在2層直接完成交換，過(guò)程簡(jiǎn)單且速度很快，但會(huì)引起廣播風(fēng)暴的問(wèn)題。為限制廣播風(fēng)暴，可以通過(guò)路由器對(duì)網(wǎng)絡(luò)進(jìn)行分段，這在一定程度上改善了網(wǎng)絡(luò)性能，然而隨著網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大，單純地依靠增加路由器數(shù)量來(lái)優(yōu)化網(wǎng)絡(luò)的做法顯得成本太高。VLAN的出現(xiàn)改善了這一局面，通過(guò)使用VLAN，主機(jī)之間從第2層隔被離開(kāi)，通常的做法是給每個(gè)VLAN配置一個(gè)IP子網(wǎng)，VLAN間的通信可以通過(guò)3層交換機(jī)或路由器來(lái)完成，現(xiàn)在絕大多數(shù)的園區(qū)網(wǎng)都是這么規(guī)劃和配置的。

在網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出的形式下，主機(jī)或服務(wù)器經(jīng)常需要在鏈路層完全隔離（對(duì)于鏈路層通信的獨(dú)立性要求越來(lái)越高），此時(shí)，VLAN和IP子網(wǎng)——對(duì)應(yīng)的網(wǎng)絡(luò)模型表現(xiàn)出了在可擴(kuò)展方面的局限性，比如：VLAN數(shù)目的限制、IP地址的緊缺、路由的限制等。

PVLAN（Private VLAN，即私有VLAN，也叫專有VLAN）可以很好地解決上述問(wèn)題，它可以使交換機(jī)的端口屬于不同VLAN，但使用同一網(wǎng)段的地址，從本質(zhì)上來(lái)說(shuō)，PVLAN是一種允許在一個(gè)IP子網(wǎng)下劃分多個(gè)VLAN的技術(shù)，它隔斷了主機(jī)在2層上的通信，卻允許所有的主機(jī)與同一個(gè)網(wǎng)關(guān)進(jìn)行3層上的通信。

一、PVLAN技術(shù)

為滿足多種類型的通信需求，PVLAN中使用了主VLAN、從VLAN、混雜端口、公共端口、孤立端口等概念，下面我們簡(jiǎn)單介紹一下這些概念。

一個(gè)PVLAN可包含一個(gè)主VLAN（Primary VLAN）和多個(gè)從VLAN（Secondary VLAN）。處于主VLAN中的交換機(jī)端口叫做混雜端口（Promiscuous port）；從VLAN有兩種類型：公共VLAN和孤立VLAN，處于公共VLAN中的交換機(jī)端口叫做公共端口（Community port），處于孤立VLAN中的交換機(jī)端口叫做孤立端口（Isolated port）；從VLAN必須和主VLAN建立關(guān)聯(lián)關(guān)系后才能正常工作，PVLAN實(shí)際上是指建立了關(guān)聯(lián)關(guān)系后的一個(gè)主VLAN和多個(gè)從VLAN的組合體，通常情況下，一個(gè)PVLAN可以包含多個(gè)公共VLAN，但只能包含一個(gè)孤立VLAN，各種類型的端口之間的互訪關(guān)系可以用表1來(lái)說(shuō)明：

二、PVLAN在DCS-3926s交換機(jī)下的實(shí)現(xiàn)

下面以神州數(shù)碼的DCS-3926s交換機(jī)為例，介紹PVLAN的具體配置方法和配置過(guò)程。

實(shí)驗(yàn)拓?fù)鋱D如圖1所示，共需交換機(jī)一臺(tái)、PC機(jī)5臺(tái)、5類UTP直通線5條。實(shí)驗(yàn)中，將PC1劃至混雜端口中，PC2和PC3劃至公共端口中，PC4和PC5劃至孤立端口中，通過(guò)兩兩執(zhí)行Ping命令驗(yàn)證PVLAN對(duì)于數(shù)據(jù)通信的控制作用，具體的VLAN配置和PC配置情況參見(jiàn)表2和表3。

配置過(guò)程的一些關(guān)鍵步驟如下：

第一步：創(chuàng)建PVLAN的各種成員VLAN

Switch(config)#vlan 100

Switch(config-vlan100)#private-vlan primary

Switch(config-vlan100)#exit

Switch(config)#vlan 200

Switch(config-vlan200)#private-vlan community

Switch(config-vlan200)#exit

Switch(config)#vlan 300

Switch(config-vlan300)#private-vlan isolated

Switch(config-vlan300)#exit

第二步：做VLAN之間的關(guān)聯(lián)

Switch(config)#vlan 100

Switch(config-vlan100)#private-vlan association 200;300

Switch(config-vlan100)#exit

第三步：給VLAN添加端口

Switch(config)#vlan 100

Switch(config-vlan100)#switchport interface ethernet 0/0/1-8

Switch(config-vlan100)#vlan 200

Switch(config-vlan200)#switchport interface ethernet 0/0/9-16

Switch(config-vlan200)#vlan 300

Switch(config-vlan300)#switchport interface ethernet 0/0/17-24

PVLAN是在VLAN發(fā)展過(guò)程中出現(xiàn)的一種新技術(shù)，它由Cisco最先提出，至今為止并沒(méi)有被IEEE組織標(biāo)準(zhǔn)化，相應(yīng)的功能也一般也只能在交換機(jī)上實(shí)現(xiàn)。

目前很多廠商生產(chǎn)的交換機(jī)都支持PVLAN，它在解決通信安全、防止廣播風(fēng)暴、防止IP地址浪費(fèi)、優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)等方面的優(yōu)勢(shì)非常明顯，而且PVLAN在交換機(jī)上的配置也相對(duì)簡(jiǎn)單，以上特性使得PVLAN技術(shù)可以應(yīng)用在具有多個(gè)部門、多種安全級(jí)別的企業(yè)環(huán)境中。

參考文獻(xiàn):

[1]劉永華:局域網(wǎng)組建、管理與維護(hù)[M].北京：清華大學(xué)出版社，2006

[2]楊云江:計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)[M].北京：清華大學(xué)出版社，2005