分类: 系统运维
2011-10-20 08:26:56
在PVLAN的概念中,交换机端口有三种类型:Isolated port(隔离端口)、Community port(公共端口)、Promiscuous port(混杂端口)。它们分别对应不同的VLAN类型:Isolated port属于Isolated PVLAN,Community port属于Community PVLAN;而代表一个Private VLAN整体的是Primary VLAN,前面两类VLAN需要和它绑定在一起。
在PVLAN中,通信的原则如下:Isolated port只能和Promiscuous port通信,但彼此不能交换通信流;在Community PVLAN中,Community port不仅可以和Promiscuous port通信,而且彼此也可以交换通信流;Promiscuous port 与路由器或三层交换机接口相连,它收到的通信流可以发往Isolated port和Community port。
PVLAN解决了服务商在使用VLAN时所遇到的两个问题:
n 交换机仅支持最多4096个VLAN。如果要为每个客户分配一个VLAN,则服务提供商可以为客户提供的VLAN数量就比较有限。
n 要启用IP路由,每个VLAN要分配一个子网空间,或者一个地址块,这样就会引起IP地址浪费和创建IP地址管理问题。
使用私有VLAN可以解决扩展性问题,并可以为服务商提供IP地址管理益处,为客户端提供二层安全。
PVLAN功能把一个VLAN二层广播域划分为多个子域。一个子域包括一对PVLAN:一个主VLAN (primary VLAN)、一个从VLAN(secondary VLAN)。一个PVLAN域可以有多个PVLAN对,每个子域一对。在PVLAN域中的所有子域中的PVLAN对共享相同的主VLAN,但每个子域中的从VLAN ID是不同的。如图8-3所示。在其中的PVLAN中包括了两个子域(Subdomain),每个子域中都有自己的从VLAN(图中分别为“Secondary community VLAN”和“Secondary isolated VLAN”),而共享相同的主VLAN(Primary VLAN)。
图8-3 PVLAN示例
一个PVLAN域仅有一个主VLAN(Primary VLAN)。在一个PVLAN域中的每个端口都是主VLAN的成员。也就是说,主VLAN是整个PVLAN域。从VLAN(Secondary VLAN)在同一个PVLAN域中的端口间提供二层隔离。这里有两种类型的从VLAN:
n 隔离VLAN(Isolated VLAN):被隔离的VLAN中的端口不能与其他二层端口通信。
n 公共VLAN(Community VLAN):一个公共VLAN中的端口可以与同一个公共VLAN中的其他二层端口通信,但是不能与其他公共VLAN中的二层端口通信。
本文摘自《Catalyst交换机VLAN、VMPS配置与管理》第八章
