vSphere Private VLANs详解

    vSphere 从4就支持Pvlan了，但是国内关于这方面的资料目前实在寥寥无几，但是这个功能对于支持多个不同用户的安全非常有用，甚至于超越了交换机本身端口使用Pvlan。鉴于此，本人研究了一下vSphere的Pvlan，学过Pvlan的都知道，思科是2种，vSphere是3种模式，混杂、隔离、团体，就是对于混杂的定义不同，思科的混杂就是主Pvaln，是本Vlan；配置起来并不难，vSphere又有图形化界面的支持，点点鼠标就搞定。

    本人根据以往的经验，配置vSphere的Pvlan。首先Pvlan只能在分布式交换机上运行，在标准交换机上可不行。在vCenter打开网络，选择管理此vSphere Distributed Switch，打开专用Vlan，左面的主Vlan框填写VlanID号码，本例选用10 ，子vlan的100选择为隔离，101为团体。

    然后为这些子vlan创建新的端口组，以便让虚拟机可以使用该网格。如图所示建立pvlan为101的端口组dvPlab1。

同样我们建立dvPlab0为混杂（10，10），dvPlab2为隔离（10，100），其实本不必要建立dvPlab0，但是为了测试方便。

    下面很顺利，把2台虚拟PC放到dvPlab1，一台放到dvPlab0里，2台可以互相访问，2台都可以访问dvPlab0的PC，2台放到dvPlab2里，不能互访，但是可以访问dvPlab0的PC，dvPlab1和dvPlab2里面的机器不能互访，实验看上去成功了，但是等等，除了dvPlab0里面的机器可以访问到外部真实物理3层交换机的网关，其它的机器均不能访问，这可麻烦了。

    上网搜搜，百度有某教主博客的截图，语焉不详，是不是勾引人花银子去学习不得而知。谷歌还真是内容丰富，有一篇 YouTube的 http://www.youtube.com/watch?v=spOf1MuH1N4录像，虽然英文很差，不过里面有些文字说明，大体也看明白流程。不过奇怪的是录像里面竟然没有在交换机上建立Pvlan的过程，那位到也干脆直接在虚拟机上运行了一个执行路由功能的OS，放在混杂端口组，这我也知道呀，本来我也做成这样的环境了，就是不能和外界通信而已。不过认真体会一下，他在和交换机连接的接口运行trunk，的许可范围竟然加了Pvlan的子Vlan的ID号，灵光一闪，Pvlan的原理到底是什么样的，其实我一直不清楚，没看到详细的说明，估计可能都是英文的吧。终于找到一个非常简明扼要的外文说明：Pvlan的子vlanID并不是封装在主Vlan里面，而是和主Vlan没有区别，直接打vlan tag ID，如何识别那个是主那个是子，谁挂在谁那儿，谁是通信组，谁是独立组，全靠交换机的一张列表图实现，豁然开朗。

    原来想是封装的，所以子vlan的数据是通过主vlan放到外界的物理交换机上的，实则不然，这也就是dvPlab0混杂可以和外面的网关通信的原因，它送出去的是打了vlan10的包，外面就按照vlan10接受，当然也就可以连接到外面的网关了。打开了trunk的100，101vlan的许可，果然通了。

   当然交换机是要配置的。以此例配置，交换机是思科的3560，Version 12.2(44)SE5, RELEASE SOFTWARE (fc1)

 

vlan 10
 name lab
  private-vlan primary
  private-vlan association 100-101

建立主vlan

vlan 100
  private-vlan isolated
!
vlan 101
  private-vlan community

定义子vlan的类型

interface GigabitEthernet0/7
 description ESXi02G2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,100,101
 switchport mode trunk
 storm-control broadcast level 10.00
 storm-control multicast level 5.00
 storm-control action shutdown
 spanning-tree portfast trunk

配置和esxi主机的连接接口并许可范围
interface Vlan10
 description lab
 ip address 172.26.15.1 255.255.255.0
 ip access-group 110 in
 private-vlan mapping 100-101

在3层接口上做映射。

如果想在3层交换机的接口上同时实现和vmware的pvlan也可以。

interface GigabitEthernet0/19
 switchport private-vlan host-association 10 101
 switchport mode private-vlan host
 storm-control broadcast level 10.00
 storm-control multicast level 5.00
 storm-control action shutdown
 spanning-tree portfast