PVLAN

 

　　PVLAN即私有VLAN（Private VLAN），PVLAN採用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化爲一個（下層）VLAN，則實現了所有端口的隔離。

 

　　pVLAN通常用於企業內部網，用來防止連接到某些接口或接口組的網絡設備之間的相互通信，但卻允許與默認網關進行通信。儘管各設備處於不同的pVLAN中，它們可以使用相同的IP子網。

 

　　每個pVLAN 包含2種VLAN ：主VLAN（primary VLAN）和輔助VLAN（Secondary VLAN）。

 

　　輔助VLAN（Secondary VLAN）包含兩種類型：隔離VLAN（isolated VLAN）和團體VLAN（community VLAN）。

 

　　pVLAN中的兩種接口類型：處在pVLAN中的交換機物理端口，有兩種接口類型。

 

　　①混雜端口（Promiscuous Port）

 

　　②主機端口（Host Port）

 

　　其中“混雜端口”是隸屬於“Primary VLAN”的；“主機端口”是隸屬於“Secondary VLAN”的。因爲“Secondary VLAN”是具有兩種屬性的，那麼，處於“Secondary VLAN”當中的“主機端口”依“Secondary VLAN”屬性的不同而不同，也就是說“主機端口”會繼承“Secondary VLAN”的屬性。那麼由此可知，“主機端口”也分爲兩類——“isolated端口”和“community端口”。

 

　　處於pVLAN中交換機上的一個物理端口要麼是“混雜端口”要麼是“isolated”端口，要麼就是“community”端口。

 

　　pVLAN通信範圍：

 

　　primary VLAN:可以和所有他所關聯的isolated VLAN，community VLAN通信。

 

　　community VLAN:可以同那些處於相同community VLAN內的community port通信，也可以與pVLAN中的promiscuous端口通信。 （每個pVLAN可以有多個community VLAN）

 

　　isolated VLAN:不可以和處於相同isolated VLAN內的其它isolated port通信，只可以與promiscuous端口通信。 （每個pVLAN中只能有一個isolated VLAN）

 

　　pVLAN當中使用的一些規則：

 

　　1.一個“Primary VLAN”當中至少有1個“Secondary VLAN”，沒有上限。

 

　　2.一個“Primary VLAN”當中只能有1個“Isolated VLAN”，可以有多個“Community VLAN”。

 

　　3.不同“Primary VLAN”之間的任何端口都不能互相通信（這裏“互相通信”是指二層連通性）。

 

　　4.“Isolated端口”只能與“混雜端口”通信，除此之外不能與任何其他端口通信。

 

　　5.“Community端口”可以和“混雜端口”通信，也可以和同一“Community VLAN”當中的其它物理端口進行通信，除此之外不能和其他端口通信。