网络设计之一PVLAN

概念

PVLAN的概念早就在物理网络中就有，vSphere Distributed Switch在hyperviosor层实现了这个概念。

Private Primary PVLAN5 就是我们传统的VLAN，它自己是primary，在它的下面又分出了很多个Secondary PVLAN。每个seconary PVLAN 都有一个ID。

三种Secondary PVLAN的类型是：

Promiscuous：

属于Promiscuous的虚拟机E和F 可以和同属于一个PrimaryVLAN的任何设备通讯。 Promiscuous的PVLAN ID和Primary VLAN ID 是一样的。在上图中都是5

Community：

同属于Community PVLAN的虚拟机A和B之间可以通讯，可是他们不能和除了Promiscuous PVLAN之外的设备通讯

Isolated：

同属于Isolated PVLAN的虚拟机C和D之间不可以通讯，可是他们不能和除了Promiscuous PVLAN之外的设备通讯

情景一：

某公司的DMZ内有很多虚拟机和物理设备，担心某个设备被入侵后会危及其他设备。

PVLAN是一个很合适的解决方案。

下图摘自PVLAN�C A Widely Underutilized Feature fromvXpertise.net

VM2和VM3是同一个应用的两个虚拟机。把它们放入Community PVLAN可以保证它们之间的通讯。在物理交换机上也设置好PVLAN，并把相关路由器或者防火墙也接入属于同一个Primary VLAN的PromiscuousPVLAN. 这样VM2和VM3可以和路由器、防火墙通讯，从而可以和DMZ之外的设备通讯。但是它们不可以和同属于DMZ内的VM1通讯。

好处在于一旦VM2或VM3被入侵，不会以此为跳板轻易访问到VM1。另一个好处是每次在该PrimaryVLAN内增加虚拟机，只需在vSphere中设置SecondaryPVLAN ID，无需每次都更改物理交换机的设置。

情景二：

此情景摘自vSpherePrivate VLANs �C Dev Environment Use Case fromhttp://virtuallybright.com

某公司需要搭建一个测试环境，希望与实际生产环境的设置一致。这难免需要相对复杂的VLAN隔离。

通过PVLAN方案，在Primary VLAN 70下面分出三个Private VLAN 10,20 和30. 也可以实现隔离的目的。模拟了生产环境中的SecureZone、productionZone 和WorkstationZone.

注意如果在ESXi2 上也有同样的PVLAN设置，那么ESXi1上Community V LAN 10 内的虚拟机和 ESXi 2 上Community V LAN 10 内的虚拟机可以通讯么？可以。前提是物理交换机支持PVLAN并且已经作好相应设置。可参考

ConfiguringPrivate VLANs

UnderstandingPrivate VLANs

UnderstandingvSphere Private VLANs For Fun and Profit