ＰＶＬＡＮ技術及其在企業中的應用分析

[摘 要] 闡述了VLAN技術及其局限性，分析了PVLAN技術的特點和產生背景及其應用場合，結合實例介紹了PVLAN在DCS-3926s交換機下的配置，總結了PVLAN技術應用于企業網絡管理的優勢。

[關鍵詞] 虛擬局域網(VLAN） 專用虛擬局域網（PVLAN） 網絡管理 數據安全

在交換式以太網誕生之初，主機之間通過透明網橋在2層直接完成交換，過程簡單且速度很快，但會引起廣播風暴的問題。為限制廣播風暴，可以通過路由器對網絡進行分段，這在一定程度上改善了網絡性能，然而隨著網絡規模的日益擴大，單純地依靠增加路由器數量來優化網絡的做法顯得成本太高。VLAN的出現改善了這一局面，通過使用VLAN，主機之間從第2層隔被離開，通常的做法是給每個VLAN配置一個IP子網，VLAN間的通信可以通過3層交換機或路由器來完成，現在絕大多數的園區網都是這么規劃和配置的。

在網絡安全問題越來越突出的形式下，主機或服務器經常需要在鏈路層完全隔離（對于鏈路層通信的獨立性要求越來越高），此時，VLAN和IP子網——對應的網絡模型表現出了在可擴展方面的局限性，比如：VLAN數目的限制、IP地址的緊缺、路由的限制等。

PVLAN（Private VLAN，即私有VLAN，也叫專有VLAN）可以很好地解決上述問題，它可以使交換機的端口屬于不同VLAN，但使用同一網段的地址，從本質上來說，PVLAN是一種允許在一個IP子網下劃分多個VLAN的技術，它隔斷了主機在2層上的通信，卻允許所有的主機與同一個網關進行3層上的通信。

一、PVLAN技術

為滿足多種類型的通信需求，PVLAN中使用了主VLAN、從VLAN、混雜端口、公共端口、孤立端口等概念，下面我們簡單介紹一下這些概念。

一個PVLAN可包含一個主VLAN（Primary VLAN）和多個從VLAN（Secondary VLAN）。處于主VLAN中的交換機端口叫做混雜端口（Promiscuous port）；從VLAN有兩種類型：公共VLAN和孤立VLAN，處于公共VLAN中的交換機端口叫做公共端口（Community port），處于孤立VLAN中的交換機端口叫做孤立端口（Isolated port）；從VLAN必須和主VLAN建立關聯關系后才能正常工作，PVLAN實際上是指建立了關聯關系后的一個主VLAN和多個從VLAN的組合體，通常情況下，一個PVLAN可以包含多個公共VLAN，但只能包含一個孤立VLAN，各種類型的端口之間的互訪關系可以用表1來說明：

二、PVLAN在DCS-3926s交換機下的實現

下面以神州數碼的DCS-3926s交換機為例，介紹PVLAN的具體配置方法和配置過程。

實驗拓撲圖如圖1所示，共需交換機一臺、PC機5臺、5類UTP直通線5條。實驗中，將PC1劃至混雜端口中，PC2和PC3劃至公共端口中，PC4和PC5劃至孤立端口中，通過兩兩執行Ping命令驗證PVLAN對于數據通信的控制作用，具體的VLAN配置和PC配置情況參見表2和表3。

配置過程的一些關鍵步驟如下：

第一步：創建PVLAN的各種成員VLAN

Switch(config)#vlan 100

Switch(config-vlan100)#private-vlan primary

Switch(config-vlan100)#exit

Switch(config)#vlan 200

Switch(config-vlan200)#private-vlan community

Switch(config-vlan200)#exit

Switch(config)#vlan 300

Switch(config-vlan300)#private-vlan isolated

Switch(config-vlan300)#exit

第二步：做VLAN之間的關聯

Switch(config)#vlan 100

Switch(config-vlan100)#private-vlan association 200;300

Switch(config-vlan100)#exit

第三步：給VLAN添加端口

Switch(config)#vlan 100

Switch(config-vlan100)#switchport interface ethernet 0/0/1-8

Switch(config-vlan100)#vlan 200

Switch(config-vlan200)#switchport interface ethernet 0/0/9-16

Switch(config-vlan200)#vlan 300

Switch(config-vlan300)#switchport interface ethernet 0/0/17-24

PVLAN是在VLAN發展過程中出現的一種新技術，它由Cisco最先提出，至今為止并沒有被IEEE組織標準化，相應的功能也一般也只能在交換機上實現。

目前很多廠商生產的交換機都支持PVLAN，它在解決通信安全、防止廣播風暴、防止IP地址浪費、優化網絡結構等方面的優勢非常明顯，而且PVLAN在交換機上的配置也相對簡單，以上特性使得PVLAN技術可以應用在具有多個部門、多種安全級別的企業環境中。

參考文獻:

[1]劉永華:局域網組建、管理與維護[M].北京：清華大學出版社，2006

[2]楊云江:計算機網絡管理技術[M].北京：清華大學出版社，2005