一、私有VLAN

概述

出現(xiàn)原因

為了安全性考慮，若一主機(jī)被攻克，而該主機(jī)與主機(jī)在同一VLAN下的主機(jī)是可以相互通信的，會(huì)造成網(wǎng)絡(luò)的不安全性。而如果要把每臺(tái)主機(jī)都放在不同的VLAN下的話，則網(wǎng)絡(luò)需要的三層設(shè)備會(huì)增加。很多VLAN相互通信生成樹(shù)復(fù)雜。需要在三層隔離VLAN間通信時(shí)，使用ACL也增加管理員的工作，同樣也不希望劃分更多的子網(wǎng)，從而浪費(fèi)地址空間

目的

隔離交換機(jī)同一VLAN中終端設(shè)備的通信。

基本機(jī)制

私有vlan是一種機(jī)制，將特定VLAN劃分成任意數(shù)量的不會(huì)相互重疊的二級(jí)VLAN（Secondary VLAN）。劃分過(guò)程對(duì)于外部網(wǎng)絡(luò)是不可見(jiàn)的，外部網(wǎng)絡(luò)只能看到原始的VLAN，稱(chēng)為主VLAN（Primary VLAN）。

私有VLAN劃分的一個(gè)重要結(jié)果是，從外部看主VLAN繼續(xù)使用與原始VLAN相同的VLAN ID和IP子網(wǎng)。在內(nèi)部，所有二級(jí)VLAN共用一個(gè)IP子網(wǎng)，而每個(gè)二級(jí)VLAN都使用不同且唯一的VLAN ID與主VLAN相互關(guān)聯(lián)。因此，可以將私有VLAN描述為一個(gè)或多個(gè)二級(jí)VLAN的集群，展示給外部的是一個(gè)主VLAN。

私有vlan的特性

所有的輔助vlan必須與一個(gè)主vlan進(jìn)行關(guān)聯(lián)

VTP不會(huì)通告私有vlan的配置信息

私有vlan在交換機(jī)上只具有本地意義

二級(jí)VLAN

隔離VLAN（Isolated VLAN）：屬于隔離VLAN的設(shè)備不可以互相通信，只可以與雜合端口進(jìn)行通信。

團(tuán)體VLAN（Community VLAN）：屬于同一團(tuán)體VLAN的設(shè)備可以相互通信，還可以與雜合端口進(jìn)行通信。

PS：二級(jí)VLAN不在主VLAN內(nèi)部，只是與主VLAN關(guān)聯(lián)。一個(gè)主VLAN最多可以關(guān)聯(lián)一個(gè)隔離VLAN，一個(gè)主VLAN關(guān)聯(lián)多個(gè)隔離VLAN并沒(méi)有什么意義。無(wú)論是團(tuán)體VLAN還是隔離VLAN，一個(gè)二級(jí)VLAN必須只與一個(gè)主VLAN相關(guān)聯(lián)。

三類(lèi)端口

隔離端口（isolated）：可以與所有的雜合端口進(jìn)行通信。

雜合端口（Promiscuous）通常連接上游，去往三層或者主VLAN，通常連接到路由器，防火墻，服務(wù)器等，圖例中，SW1的雜合端口對(duì)端就是主VLAN，該接口能與主VLAN下所有的二級(jí)VLAN，進(jìn)行通信，雜合接口（連接的對(duì)端）也可以和雜合接口進(jìn)行通信。

團(tuán)體端口（Community），可以與相同團(tuán)體接口，和所有的雜合端口進(jìn)行通信。

根據(jù)二級(jí)vlan的類(lèi)型，可以將接口稱(chēng)為團(tuán)體接口或隔離接口，團(tuán)體接口和隔離接口都像正常的Access接口一樣操作——從技術(shù)上說(shuō)，它們屬于單個(gè)VLAN且它們不標(biāo)記數(shù)據(jù)幀。

雜合PVLAN Trunk接口在發(fā)送數(shù)據(jù)幀時(shí)，將二級(jí)VLAN ID重寫(xiě)為主PVLAN ID。當(dāng)收到數(shù)據(jù)幀時(shí)，交換機(jī)不執(zhí)行標(biāo)記操作。而且，也不對(duì)普通VLAN的數(shù)據(jù)幀執(zhí)行標(biāo)記操作；

隔離PVLAN Trunk接口在發(fā)送數(shù)據(jù)幀時(shí)，將主VLAN ID重寫(xiě)為隔離二級(jí)VLAN ID。當(dāng)收到數(shù)據(jù)幀時(shí)，交換機(jī)不執(zhí)行標(biāo)記操作。而且，也不對(duì)普通VLAN的數(shù)據(jù)幀執(zhí)行標(biāo)記操作。

可以將他們的通信關(guān)系歸納為下表：

應(yīng)用情形

假設(shè)有一棟公寓樓需要完全聯(lián)網(wǎng)，由工程師負(fù)責(zé)配置網(wǎng)絡(luò)設(shè)備。最簡(jiǎn)單的方式是將所有公寓都連接到一臺(tái)交換機(jī)，并為所有接口分配一個(gè)VLAN，比如VLAN 100.統(tǒng)一使用IP子網(wǎng)192.168.100.0/24。VLAN中的所有工作站共享該IP地址空間，并且它們之間可以直接通信；它們使用同一子網(wǎng)中的網(wǎng)關(guān)IP地址，比如192.168.100.254，來(lái)訪問(wèn)其他網(wǎng)絡(luò)。然而，這樣的網(wǎng)絡(luò)有明顯的安全性問(wèn)題——獨(dú)立公寓中的用戶(hù)不可控也不能被信任。一個(gè)公寓住戶(hù)的誤操作，或者他使用了被感染的計(jì)算機(jī)，就可以對(duì)整個(gè)VLAN造成破壞。因此要求獨(dú)立的公寓互相隔離，但仍繼續(xù)使用之前的VLAN 100、相同的IP子網(wǎng)以及相同的默認(rèn)網(wǎng)關(guān)。這可以通過(guò)創(chuàng)建一個(gè)新的二級(jí)隔離VLAN來(lái)實(shí)現(xiàn)，比如VLAN 199，將其與原始的VLAN 100相關(guān)聯(lián)（使VLAN 100成為主VLAN），并將所有連接公寓的Access接口分配到隔離VLAN 199中。這樣，獨(dú)立的公寓之間將會(huì)相互隔離，但它們?nèi)岳^續(xù)使用相同的IP地址空間和默認(rèn)網(wǎng)關(guān)。外部世界將看不到任何區(qū)別。

然而生活并沒(méi)有那么簡(jiǎn)單。有些用戶(hù)可能在一段時(shí)間后找到工程師，要求同其他一些用戶(hù)之間建立直接的可見(jiàn)性，因?yàn)樗麄兿Ｍ蚕砦募⒘髅襟w視頻或玩網(wǎng)絡(luò)游戲。可能會(huì)有許多相似的用戶(hù)組希望他們之間能夠建立相互的可見(jiàn)性，同時(shí)保持與其他用戶(hù)的隔離。例如，考慮有3組獨(dú)立的用戶(hù)要求在樓內(nèi)建立他們之間相互的連通性。顯然，這些用戶(hù)分別組成了3個(gè)團(tuán)體，一個(gè)團(tuán)體中的用戶(hù)相互之間擁有完全的可見(jiàn)性，同時(shí)保持與其他團(tuán)體以及與不屬于任何團(tuán)體的用戶(hù)相互隔離。

能夠滿足這個(gè)需求的做法是創(chuàng)建3個(gè)二級(jí)團(tuán)體VLAN，每個(gè)團(tuán)體對(duì)應(yīng)一個(gè)VLAN，并將每個(gè)團(tuán)體中的成員分配到相同的團(tuán)體VLAN中。在這個(gè)案例中，工程師可以為第一個(gè)組分配團(tuán)體VLAN101，為第二個(gè)團(tuán)體分配團(tuán)體VLAN102，為第三個(gè)組分配團(tuán)體VLAN103。二級(jí)團(tuán)體VLAN101～103與主VLAN100相關(guān)聯(lián)，共享IP地址空間和默認(rèn)網(wǎng)關(guān)。所有其他的公寓仍屬于隔離VLAN199，保持完全隔離。

二、MUX VLAN

概述

出現(xiàn)原因

MUX VLAN（Multiplex VLAN）提供了一種通過(guò)VLAN進(jìn)行網(wǎng)絡(luò)資源控制的機(jī)制。

例如，在企業(yè)網(wǎng)絡(luò)中，企業(yè)員工和企業(yè)客戶(hù)可以訪問(wèn)企業(yè)的服務(wù)器。對(duì)于企業(yè)來(lái)說(shuō)，希望企業(yè)內(nèi)部員工之間可以互相交流，而企業(yè)客戶(hù)之間是隔離的，不能夠互相訪問(wèn)。

為了實(shí)現(xiàn)所有用戶(hù)都可訪問(wèn)企業(yè)服務(wù)器，可通過(guò)配置VLAN間通信實(shí)現(xiàn)。如果企業(yè)規(guī)模很大，擁有大量的用戶(hù)，那么就要為不能互相訪問(wèn)的用戶(hù)都分配VLAN，這不但需要耗費(fèi)大量的VLAN ID，還增加了網(wǎng)絡(luò)管理者的工作量同時(shí)也增加了維護(hù)量。

通過(guò)MUX VLAN提供的二層流量隔離的機(jī)制可以實(shí)現(xiàn)企業(yè)內(nèi)部員工之間互相交流，而企業(yè)客戶(hù)之間是隔離的。

基本概念

MUX VLAN分為主VLAN和從VLAN，從VLAN又分為隔離型從VLAN和互通型從VLAN。

主VLAN（Principal VLAN）：Principal port可以和MUX VLAN內(nèi)的所有接口進(jìn)行通信。

隔離型從VLAN（Separate VLAN）：Separate port只能和Principal port進(jìn)行通信，和其他類(lèi)型的接口實(shí)現(xiàn)完全隔離。

互通型從VLAN（Group VLAN）：Group port可以和Principal port進(jìn)行通信，在同一組內(nèi)的接口也可互相通信，但不能和其他組接口或Separate port通信。

每個(gè)互通型VLAN和隔離型VLAN必須綁定一個(gè)主VLAN。