交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
服务提供商如果给每个用户一个VLAN,则由于一台设备支持的VLAN数最大只有4096而限制了服务提供商能支持的用户数;在三层设备上,每个VLAN被分配一个子网地址或一系列地址,这种情况导致IP地址的浪费;另外同一个vlan内的广播风暴,病毒攻击等安全问题让维护人员非常头疼,等等的这些问题的一种解决方法就是应用Private VLAN 技术。
Private VLAN将一个VLAN 的二层广播域划分成多个子域,每个子域都由一个私有VLAN对组成:主VLAN(Primary VLAN)和辅助VLAN(Secondary VLAN)。
在一个Private VLAN域中所有的私有VLAN对共享同一个主VLAN,每个子域的辅助VLAN ID 不同。一个Private VLAN域中只有一个主VLAN,有两种类型的辅助VLAN:
隔离VLAN(Isolated VLAN):同一个隔离VLAN 中的端口不能互相进行二层通信,一个私有VLAN 域中只有一个隔离VLAN。
群体VLAN(Community VLAN):同一个群体VLAN 中的端口可以互相进行二层通信,但不能与其它群体VLAN 中的端口进行二层通信。一个Private VLAN域中可以有多个群体VLAN。
在一个Private VLAN域内通常有三种常见的端口角色,通过定义交换机上面不通的端口的角色可以实现各用户间的二层互访,还是隔离的效果:
混杂端口(Promiscuous Port),属于主VLAN 中的端口,可以与任意端口通讯,包括同一个Private VLAN域中辅助VLAN的隔离端口和群体端口,通常是交换机上联网关设备的端口。
隔离端口(Isolated Port),隔离VLAN 中的端口彼此之间不能通信,只能与混杂口通讯。通常是下联接入用户端的接口。
群体端口(Community port),属于群体VLAN 中的端口,同一个群体VLAN 的群体端口可以互相通讯,也可以与混杂口通讯,不能与其它群体VLAN 中的群体端口及隔离VLAN 中的隔离端口通讯。通常是下联接入用户端的接口。
Private VLAN域中,只有主VLAN 可以创建SVI 接口,配置IP作为网关使用,辅助VLAN 不可以创建SVI。