PVLAN原理

PVLAN 即私有 VLAN （ Private VLAN ）， PVLAN 采用两层 VLAN 隔离技术，只有上层 VLAN 全局可见，下层 VLAN 相互隔离。如果将交换机或 IP DSLAM 设备的每个端口化为一个（下层） VLAN ，则实现了所有端口的隔离。

　　 pVLAN 通常用于企业内部网，用来防止连接到某些接口或接口组的网络设备之间的相互通信，但却允许与默认网关进行通信。尽管各设备处于不同的 pVLAN 中，它们可以使用相同的 IP 子网。

　　每个 pVLAN 包含 2 种 VLAN ：主 VLAN （ primary VLAN ）和辅助 VLAN （ Secondary VLAN ）。

　　辅助 VLAN （ Secondary VLAN ）包含两种类型：隔离 VLAN （ isolated VLAN ）和团体 VLAN （ community VLAN ）。

　　 pVLAN 中的两种接口类型：处在 pVLAN 中的交换机物理端口，有两种接口类型。

　　 ① 混杂端口（ Promiscuous Port ）

　　 ② 主机端口（ Host Port ）

　　其中 “ 混杂端口 ” 是隶属于 “Primary VLAN” 的； “ 主机端口 ” 是隶属于 “Secondary VLAN” 的。因为 “Secondary VLAN” 是具有两种属性的，那么，处于 “Secondary VLAN” 当中的 “ 主机端口 ” 依 “Secondary VLAN” 属性的不同而不同，也就是说 “ 主机端口 ” 会继承 “Secondary VLAN” 的属性。那么由此可知， “ 主机端口 ” 也分为两类 ――“isolated 端口 ” 和 “community 端口 ” 。

　　处于 pVLAN 中交换机上的一个物理端口要么是 “ 混杂端口 ” 要么是 “isolated” 端口，要么就是 “community” 端口。

　　 pVLAN 通信范围：

　　 primary VLAN: 可以和所有他所关联的 isolated VLAN ， community VLAN 通信。

　　 community VLAN: 可以同那些处于相同 community VLAN 内的 community port 通信，也可以与 pVLAN 中的 promiscuous 端口通信。 （每个 pVLAN 可以有多个 community VLAN ）

　　 isolated VLAN: 不可以和处于相同 isolated VLAN 内的其它 isolated port 通信，只可以与 promisuous 端口通信。 （每个 pVLAN 中只能有一个 isolated VLAN ）

　　 pVLAN 当中使用的一些规则：

　　 1. 一个 “Primary VLAN” 当中至少有 1 个 “Secondary VLAN” ，没有上限。

　　 2. 一个 “Primary VLAN” 当中只能有 1 个 “Isolated VLAN” ，可以有多个 “Community VLAN” 。

　　 3. 不同 “Primary VLAN” 之间的任何端口都不能互相通信（这里 “ 互相通信 ” 是指二层连通性）。

　　 4.“Isolated 端口 ” 只能与 “ 混杂端口 ” 通信，除此之外不能与任何其他端口通信。

　　 5.“Community 端口 ” 可以和 “ 混杂端口 ” 通信，也可以和同一 “Community VLAN” 当中的其它物理端口进行通信，除此之外不能和其他端口通信。