文中所展示的內容為VLAN與VLAN之間分隔關係，如相同VLAN使用者之間進行分隔，相同VLAN一組使用者之間允許通訊並與其它一組使用者之間進行分隔，屬於VLAN的高階應用範疇。本文來源於智象運維某大神的日常工作記錄分享。

▶▶▶▶▶

基於CISCO產品

一、 普通VLAN

VLAN稱為虛擬區域網，主要功能用於將一個大的廣播域分割成多個小的廣播域，用來減小發現廣播攻擊時的受攻範圍的。VLAN不是用來隔離網路的而是用來縮小廣播域的。不同VLAN之間可以通過SVI、單臂等方式通訊，因此談不上隔離一說。在同一個VLAN中的所有主機都位於一個廣播域，廣播資料包會發送到每一個主機。

若要對不同VLAN之間通訊進行隔離，需要在VLAN的閘道器介面上使用ACL訪問規則進行控制。

二、 Protected Port (Private vlan edge)

某些特殊需求下需要禁止同臺一交換機上相同VLAN號的主機之間通訊，但又不能將這些禁止通訊的主機劃到不同VLAN，因為這些主機還需要和VLAN中的其它主機通訊，只是不能和部分主機通訊。要限制交換機上相同VLAN的主機通訊，通過將交換機上的介面配置成Protected Port來實現。

如：交換機上某個VLAN有三個介面，其中有兩個是Protected Port，有一個是正常埠，那麼兩個 Protected Port之間是不能通訊的，但是Protected Port與正常埠之間的流量還是保持正常不受任何限制。

Protected Port可以拒絕unicast，broadcast以及multicast在這些埠之間通訊，Protected Port與Protecte Port之間沒有任何流量傳送。ProtectedPort只在單臺交換機上有效，也就是說只有單臺交換機上的Protected Port與Protected Port之間是不能通訊的，但是不同交換機的Protected Port與ProtectedPort之間通訊還是保持正常。

配置Protected Port時，可以在物理介面和EtherChannel上配置，如果是配在EtherChannel上，那麼配置將對EtherChannel中的所有物理介面生效。

配置示例：

三、Private vlan

PVLAN是專用虛擬區域網(Private VLAN)的簡稱。它能實現所有使用者與預設閘道器的通訊,而與PVLAN內的其他使用者相互隔離。PVLAN功能可以保證同一個VLAN中的各個埠相互之間不能通訊，這樣即使同一VLAN中的使用者，相互之間也不會受到廣播的影響。

PVLAN技術引入原因

a> 大部分交換機只支援4096個VLAN,數量有限。

b> 為每一個接入裝置提供一個VLAN，需要大量的介面來配置閘道器IP。

c> 若需要實現VLAN之間隔離，傳統VLAN使用ACL方式將導致ACL數量巨大，維護困難。

d> 隨著VLAN數量增加，將嚴重影響STP的效能。

PVLAN的應用通過將不同的客戶放在隔離VLAN中實現了客戶的二層隔離,只需要一個隔離VLAN就可以保證了接入網路的資料通訊的安全性節省了VLAN的資源,通過給主VLAN配置SVI,所有PVLAN共享主VLAN的IP地址實現了所有使用者與預設閘道器的連線而與PVLAN內的其他使用者之間隔離避免了IP子網的劃分，通過應用PVLAN技術能夠在節省VLAN與IP地址資源的情況下很好地解決接入網路的安全性問題。

PVLAN兩種角色：

主VLAN：Primary vlan

輔助VLAN：Secondary vlan

在一個PVLAN中只有一個主VLAN，此PVLAN下所有輔助VLAN成員與其它PVLAN域進行通訊時將統一表示為主VLAN 的VLAN ID。輔助VLAN是指用來標識在某個PVLAN下具有相同角色的一組介面VLAN，一個主VLAN下可繫結多個輔助VLAN。一個輔助VLAN只能屬於一個主VLAN。

輔助VLAN的埠分為3種角色

isolated：孤立埠，孤立埠只能與雜合埠進行通訊，不能與其它埠通訊。各孤立埠之間彼此不允許通訊，也不允許與團體埠通訊。

community: 團體埠，團體埠只能與兩種埠進行通訊，分別是與雜合埠以及同一團體中的其它團體埠，不能與其它團體埠通訊，也不可與孤立埠通訊。

pormiscuous：雜合埠 此類埠可與所有角色型別的埠進行通訊，一般此埠用於閘道器或者公司裝置。

Private vlan 功能效果如下所示：

團體1

host1, host2 之間可以相互通訊，相同的團體之間可以直接通訊。

host1, host2 與host3,host4,host5,host6之間不可以通訊，因為不同團體之間，以及與鼓勵埠之間是不允許通訊的。

host1, host2 與server1, server2之間可以通訊，因為雜合埠可以與任何性質的埠之間進行通訊。

團體2

效果與團體1相同

孤立埠

host3 只可與server1, server2進行通訊。與其它埠不可通訊

host4 效果與host3相同

雜合埠

server1, server2 可以與任何埠進行通訊

注意事項：

一個交換機中只能允許一個primary vlan

一個交換機中只能允許一個isolate vlan

一個交換機中可以有多個community vlan

相較於protected port， private vlan具有以下兩點優勢

a> private vlan可以使用團體埠來實現同組介面之間的通訊，而protected prot是對各埠完全隔離的，無法實現。

b> protected port是基於本裝置上的功能，無法跨交換機晶片使用，不能跨機器， 而private vlan可以通過trunk來實現跨裝置之間的隔離或者團體通訊。

配置過程

1.建立主VLAN。

2.建立輔助VLAN(孤立VLAN與團體VLAN)。

3.在主VLAN中將輔助vlan與主vlan進行對映。

4.在介面上配置介面為孤立VLAN或者團體VLAN,進行相應的對映。

5.在介面上配置介面為雜合介面,進行相應的對映

6.若需要跨交換機，則需要配置TRUNK為PVLAN屬性。

基於H3C裝置

一、普通VLAN

普通VLAN各大廠商裝置均無多大差異，此處略

二、Port isolated

埠隔離技術，在cisco產品對應的特性是protected port，而在H3產品，則是port isolated。埠隔離技術也是一種埠安全措施，但是埠隔離不依賴於VLAN,只在本機生效

三、Isolated-User-VLAN

H3C實現類似於cisco的private vlan功能的技術稱之為isolate-user-vlan, isolate-user-vlan就是PVLAN，不過PVLAN在cisco45及65以上裝置才支援，而isolate-user-vlan則是很多h3c及華為低端產品都支援。

Isolated-User VLAN 採用了二層的VLAN 結構，第一層為Primary VLAN ，第二層為Secondary VLAN。Isolated-User VLAN 將多個Secondary VLAN 對映到一個Primary VLAN。第一層的Primary VLAN 用於上行，對於上層裝置來說，只需識別下層交換機的Primary VLAN而不必關心Primary VLAN 中包含的Secondary VLAN，這樣簡化了網路配置，節省了VLAN資源。第二層的Secondary VLAN 用於接入使用者，不同的Secondary VLAN間通過傳統的VLAN 技術實現二層隔離。

這裡secondary VLAN就是普通VLAN，其VLAN下的裝置之間可以相互通訊，同一primary VLAN不同secondary VLAN的裝置，預設不能通訊。但可以通過arp代理設定成可以通訊，但其通訊要全部經過primary VLAN閘道器。

智象運維，瞭解更