PVLAN的出现,是为了解决网络中潜在的安全问题。当一主机被攻克时,若该主机与同一VLAN下的其他主机能够相互通信,就会造成网络的不安全性。然而,若将每台主机都放在不同的VLAN下,则网络需要的三层设备会增加,生成的树状结构也会变得复杂。在这种情况下,使用访问控制列表(ACL)来隔离VLAN间的通信,会增加管理员的工作量。因此,PVLAN提供了一种既能隔离VLAN内设备通信,又能节省资源的设计方案。
PVLAN的基本机制是,将特定VLAN划分成任意数量的不会相互重叠的二级VLAN。这些二级VLAN共用一个IP子网,而每个二级VLAN都使用不同且唯一的VLAN ID与主VLAN相互关联。因此,可以将PVLAN描述为一个或多个二级VLAN的集群,展示给外部的是一个主VLAN。
PVLAN的特性和应用场合如下:
1. 所有的辅助VLAN必须与一个主VLAN进行关联。 2. VTP不会通告PVLAN的配置信息。 3. PVLAN在交换机上只具有本地意义。
隔离VLAN(Isolated VLAN)是PVLAN中的一种,属于隔离VLAN的设备不可以相互通信,只可以与杂合端口进行通信。团体VLAN(Community VLAN)是另一种类型的二级VLAN,属于同一团体VLAN的设备可以相互通信,还可以与杂合端口进行通信。
根据二级VLAN的类型,可以将接口称为团体接口或隔离接口。团体接口和隔离接口都像正常的Access接口一样操作,从技术上说,它们属于单个VLAN且它们不标记数据帧。
MUX VLAN(MultiPlex VLAN)是另一种网络资源控制机制,它通过VLAN进行二层流量隔离。MUX VLAN分为主VLAN和从VLAN,从VLAN又分为隔离型从VLAN和互通型从VLAN。
主VLAN(Principal VLAN)的接口可以和MUX VLAN内的所有接口进行通信。隔离型从VLAN(Separate VLAN)的接口只能和主VLAN的接口进行通信,和其他类型的接口实现完全隔离。互通型从VLAN(Group VLAN)的接口可以和主VLAN的接口进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或隔离型接口通信。
总之,PVLAN和MUX VLAN都是通过VLAN进行网络资源控制的机制。PVLAN通过将特定VLAN划分成任意数量的二级VLAN,实现VLAN内设备通信的隔离。而MUX VLAN通过主VLAN和从VLAN的设计,实现二层流量隔离。这两种机制在网络中都有着广泛的应用,为网络管理员提供了一种灵活的网络资源管理方式。
一、私有VLAN
概述
出现原因
为了安全性考虑,若一主机被攻克,而该主机与主机在同一VLAN下的主机是可以相互通信的,会造成网络的不安全性。而如果要把每台主机都放在不同的VLAN下的话,则网络需要的三层设备会增加。很多VLAN相互通信生成树复杂。需要在三层隔离VLAN间通信时,使用ACL也增加管理员的工作,同样也不希望划分更多的子网,从而浪费地址空间
目的
隔离交换机同一VLAN中终端设备的通信。
基本机制
私有vlan是一种机制,将特定VLAN划分成任意数量的不会相互重叠的二级VLAN(Secondary VLAN)。划分过程对于外部网络是不可见的,外部网络只能看到原始的VLAN,称为主VLAN(Primary VLAN)。
私有VLAN划分的一个重要结果是,从外部看主VLAN继续使用与原始VLAN相同的VLAN ID和IP子网。在内部,所有二级VLAN共用一个IP子网,而每个二级VLAN都使用不同且唯一的VLAN ID与主VLAN相互关联。因此,可以将私有VLAN描述为一个或多个二级VLAN的集群,展示给外部的是一个主VLAN。
私有vlan的特性
所有的辅助vlan必须与一个主vlan进行关联
VTP不会通告私有vlan的配置信息
私有vlan在交换机上只具有本地意义
二级VLAN
隔离VLAN(Isolated VLAN):属于隔离VLAN的设备不可以互相通信,只可以与杂合端口进行通信。
团体VLAN(Community VLAN):属于同一团体VLAN的设备可以相互通信,还可以与杂合端口进行通信。
PS:二级VLAN不在主VLAN内部,只是与主VLAN关联。一个主VLAN最多可以关联一个隔离VLAN,一个主VLAN关联多个隔离VLAN并没有什么意义。无论是团体VLAN还是隔离VLAN,一个二级VLAN必须只与一个主VLAN相关联。
三类端口
隔离端口(isolated):可以与所有的杂合端口进行通信。
杂合端口(Promiscuous)通常连接上游,去往三层或者主VLAN,通常连接到路由器,防火墙,服务器等,图例中,SW1的杂合端口对端就是主VLAN,该接口能与主VLAN下所有的二级VLAN,进行通信,杂合接口(连接的对端)也可以和杂合接口进行通信。
团体端口(Community),可以与相同团体接口,和所有的杂合端口进行通信。
根据二级vlan的类型,可以将接口称为团体接口或隔离接口,团体接口和隔离接口都像正常的Access接口一样操作——从技术上说,它们属于单个VLAN且它们不标记数据帧。
杂合PVLAN Trunk接口在发送数据帧时,将二级VLAN ID重写为主PVLAN ID。当收到数据帧时,交换机不执行标记操作。而且,也不对普通VLAN的数据帧执行标记操作;
隔离PVLAN Trunk接口在发送数据帧时,将主VLAN ID重写为隔离二级VLAN ID。当收到数据帧时,交换机不执行标记操作。而且,也不对普通VLAN的数据帧执行标记操作。
可以将他们的通信关系归纳为下表:
| 通信的端口 | 杂合端口 | 团体端口 | 隔离端口 |
|---|---|---|---|
| 与主VLAN通信 | 可以 | 可以 | 可以 |
| 与同一二级VLAN通信 | 可以 | 不可以 | |
| 与其他二级VLAN通信 | 不可以 | 不可以 |
应用情形
假设有一栋公寓楼需要完全联网,由工程师负责配置网络设备。最简单的方式是将所有公寓都连接到一台交换机,并为所有接口分配一个VLAN,比如VLAN 100.统一使用IP子网192.168.100.0/24。VLAN中的所有工作站共享该IP地址空间,并且它们之间可以直接通信;它们使用同一子网中的网关ip地址,比如192.168.100.254,来访问其他网络。然而,这样的网络有明显的安全性问题——独立公寓中的用户不可控也不能被信任。一个公寓住户的误操作,或者他使用了被感染的计算机,就可以对整个VLAN造成破坏。因此要求独立的公寓互相隔离,但仍继续使用之前的VLAN 100、相同的IP子网以及相同的默认网关。这可以通过创建一个新的二级隔离VLAN来实现,比如VLAN 199,将其与原始的VLAN 100相关联(使VLAN 100成为主VLAN),并将所有连接公寓的Access接口分配到隔离VLAN 199中。这样,独立的公寓之间将会相互隔离,但它们仍继续使用相同的IP地址空间和默认网关。外部世界将看不到任何区别。
然而生活并没有那么简单。有些用户可能在一段时间后找到工程师,要求同其他一些用户之间建立直接的可见性,因为他们希望共享文件、流媒体视频或玩网络游戏。可能会有许多相似的用户组希望他们之间能够建立相互的可见性,同时保持与其他用户的隔离。例如,考虑有3组独立的用户要求在楼内建立他们之间相互的连通性。显然,这些用户分别组成了3个团体,一个团体中的用户相互之间拥有完全的可见性,同时保持与其他团体以及与不属于任何团体的用户相互隔离。
能够满足这个需求的做法是创建3个二级团体VLAN,每个团体对应一个VLAN,并将每个团体中的成员分配到相同的团体VLAN中。在这个案例中,工程师可以为第一个组分配团体VLAN101,为第二个团体分配团体VLAN102,为第三个组分配团体VLAN103。二级团体VLAN101~103与主VLAN100相关联,共享IP地址空间和默认网关。所有其他的公寓仍属于隔离VLAN199,保持完全隔离。
二、MUX VLAN
概述
出现原因
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。
例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
基本概念
MUX VLAN分为主VLAN和从VLAN,从VLAN又分为隔离型从VLAN和互通型从VLAN。
主VLAN(Principal VLAN):Principal port可以和MUX VLAN内的所有接口进行通信。
隔离型从VLAN(Separate VLAN):Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。
互通型从VLAN(Group VLAN):Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。
每个互通型VLAN和隔离型VLAN必须绑定一个主VLAN。
