ＰＶＬＡＮ技術(shù)及其在企業(yè)中的應(yīng)用分析

[摘 要] 闡述了VLAN技術(shù)及其局限性，分析了PVLAN技術(shù)的特點和產(chǎn)生背景及其應(yīng)用場合，結(jié)合實例介紹了PVLAN在DCS-3926s交換機(jī)下的配置，總結(jié)了PVLAN技術(shù)應(yīng)用于企業(yè)網(wǎng)絡(luò)管理的優(yōu)勢。

[關(guān)鍵詞] 虛擬局域網(wǎng)(VLAN） 專用虛擬局域網(wǎng)（PVLAN） 網(wǎng)絡(luò)管理 數(shù)據(jù)安全

在交換式以太網(wǎng)誕生之初，主機(jī)之間通過透明網(wǎng)橋在2層直接完成交換，過程簡單且速度很快，但會引起廣播風(fēng)暴的問題。為限制廣播風(fēng)暴，可以通過路由器對網(wǎng)絡(luò)進(jìn)行分段，這在一定程度上改善了網(wǎng)絡(luò)性能，然而隨著網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大，單純地依靠增加路由器數(shù)量來優(yōu)化網(wǎng)絡(luò)的做法顯得成本太高。VLAN的出現(xiàn)改善了這一局面，通過使用VLAN，主機(jī)之間從第2層隔被離開，通常的做法是給每個VLAN配置一個IP子網(wǎng)，VLAN間的通信可以通過3層交換機(jī)或路由器來完成，現(xiàn)在絕大多數(shù)的園區(qū)網(wǎng)都是這么規(guī)劃和配置的。

在網(wǎng)絡(luò)安全問題越來越突出的形式下，主機(jī)或服務(wù)器經(jīng)常需要在鏈路層完全隔離（對于鏈路層通信的獨立性要求越來越高），此時，VLAN和IP子網(wǎng)——對應(yīng)的網(wǎng)絡(luò)模型表現(xiàn)出了在可擴(kuò)展方面的局限性，比如：VLAN數(shù)目的限制、IP地址的緊缺、路由的限制等。

PVLAN（Private VLAN，即私有VLAN，也叫專有VLAN）可以很好地解決上述問題，它可以使交換機(jī)的端口屬于不同VLAN，但使用同一網(wǎng)段的地址，從本質(zhì)上來說，PVLAN是一種允許在一個IP子網(wǎng)下劃分多個VLAN的技術(shù)，它隔斷了主機(jī)在2層上的通信，卻允許所有的主機(jī)與同一個網(wǎng)關(guān)進(jìn)行3層上的通信。

一、PVLAN技術(shù)

為滿足多種類型的通信需求，PVLAN中使用了主VLAN、從VLAN、混雜端口、公共端口、孤立端口等概念，下面我們簡單介紹一下這些概念。

一個PVLAN可包含一個主VLAN（Primary VLAN）和多個從VLAN（Secondary VLAN）。處于主VLAN中的交換機(jī)端口叫做混雜端口（Promiscuous port）；從VLAN有兩種類型：公共VLAN和孤立VLAN，處于公共VLAN中的交換機(jī)端口叫做公共端口（Community port），處于孤立VLAN中的交換機(jī)端口叫做孤立端口（Isolated port）；從VLAN必須和主VLAN建立關(guān)聯(lián)關(guān)系后才能正常工作，PVLAN實際上是指建立了關(guān)聯(lián)關(guān)系后的一個主VLAN和多個從VLAN的組合體，通常情況下，一個PVLAN可以包含多個公共VLAN，但只能包含一個孤立VLAN，各種類型的端口之間的互訪關(guān)系可以用表1來說明：

二、PVLAN在DCS-3926s交換機(jī)下的實現(xiàn)

下面以神州數(shù)碼的DCS-3926s交換機(jī)為例，介紹PVLAN的具體配置方法和配置過程。

實驗拓?fù)鋱D如圖1所示，共需交換機(jī)一臺、PC機(jī)5臺、5類UTP直通線5條。實驗中，將PC1劃至混雜端口中，PC2和PC3劃至公共端口中，PC4和PC5劃至孤立端口中，通過兩兩執(zhí)行Ping命令驗證PVLAN對于數(shù)據(jù)通信的控制作用，具體的VLAN配置和PC配置情況參見表2和表3。

配置過程的一些關(guān)鍵步驟如下：

第一步：創(chuàng)建PVLAN的各種成員VLAN

Switch(config)#vlan 100

Switch(config-vlan100)#private-vlan primary

Switch(config-vlan100)#exit

Switch(config)#vlan 200

Switch(config-vlan200)#private-vlan community

Switch(config-vlan200)#exit

Switch(config)#vlan 300

Switch(config-vlan300)#private-vlan isolated

Switch(config-vlan300)#exit

第二步：做VLAN之間的關(guān)聯(lián)

Switch(config)#vlan 100

Switch(config-vlan100)#private-vlan association 200;300

Switch(config-vlan100)#exit

第三步：給VLAN添加端口

Switch(config)#vlan 100

Switch(config-vlan100)#switchport interface ethernet 0/0/1-8

Switch(config-vlan100)#vlan 200

Switch(config-vlan200)#switchport interface ethernet 0/0/9-16

Switch(config-vlan200)#vlan 300

Switch(config-vlan300)#switchport interface ethernet 0/0/17-24

PVLAN是在VLAN發(fā)展過程中出現(xiàn)的一種新技術(shù)，它由Cisco最先提出，至今為止并沒有被IEEE組織標(biāo)準(zhǔn)化，相應(yīng)的功能也一般也只能在交換機(jī)上實現(xiàn)。

目前很多廠商生產(chǎn)的交換機(jī)都支持PVLAN，它在解決通信安全、防止廣播風(fēng)暴、防止IP地址浪費(fèi)、優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)等方面的優(yōu)勢非常明顯，而且PVLAN在交換機(jī)上的配置也相對簡單，以上特性使得PVLAN技術(shù)可以應(yīng)用在具有多個部門、多種安全級別的企業(yè)環(huán)境中。

參考文獻(xiàn):

[1]劉永華:局域網(wǎng)組建、管理與維護(hù)[M].北京：清華大學(xué)出版社，2006

[2]楊云江:計算機(jī)網(wǎng)絡(luò)管理技術(shù)[M].北京：清華大學(xué)出版社，2005