VLAN技術的廣泛應用帶來的好處顯而易見:一方面我們可以非常靈活地、隨心所欲地通過控制廣播域來提升網絡性能;另一方面,由於不同VLAN間二層隔離,不會轉發廣播報文,也提高了網絡的安全性。
絕大多數情況下,VLAN在園區網中的應用不會有任何問題。但在一些特殊的場景中,VLAN可能會遇到一點麻煩。
圖中,假設SWA和SWB都分別配置應用了3000個VLAN,它們都通過Trunk鏈路連接SWC。而VLAN的範圍是1~4094,最多隻能配置使用4094個VLAN。我們發現,SWC需要6000個VLAN,資源不夠用!
在一些大型園區網、社區、住宅小區等,都可能會遇到這個尷尬的問題。
比如在住宅小區中居住了很多家庭,不同家庭之間必須二層隔離,絕對不能允許互訪,所以每個家庭都要在不同的VLAN中。多個小區上行連接後,可能就會造成上行設備的VLAN資源不夠用。
解決這個問題的方法,我們叫做PVLAN(Private VLAN,私有VLAN)。
以上圖為例,簡單來說,就是SWC只用兩個VLAN分別連接SWA和SWB,至於SWA和SWB下面用了多少個VLAN,SWC不知道、不關心、不處理。
我們在SWA和SWB上應用PVLAN技術。
在PVLAN裡,可以有一個主VLAN和多個輔助VLAN。圖中紅色的端口稱為上行端口,加入到主VLAN10中,用於連接上行設備,如SWC;綠色和紫色的端口分別加入到不同的輔助VLAN中,用於連接終端設備。其中,端口2~3加入輔助VLAN2中;端口4和端口5分別加入輔助VLAN3和4中;端口6和端口7加入輔助VLAN5中;端口8和端口9加入輔助VLAN6中。
輔助VLAN可以分為兩種:隔離VLAN和公共VLAN。加入隔離VLAN的端口稱為隔離端口,加入公共VLAN的端口稱為公共端口。
加入隔離VLAN的隔離端口只能與加入主VLAN的上行端口互通,不能與其他任何輔助VLAN的端口互通,即使它們加入同一個隔離VLAN,如端口2和端口3都加入隔離VLAN2,但不能互通。
加入同一個公共VLAN的公共端口之間可以互通,也可以和加入主VLAN的上行端口互通,但不能和其它輔助VLAN互通。如端口6可以和端口1、端口7互通,但不能和其他端口互通。
我們來討論一下數據幀的轉發過程:
數據幀上行時,加入到輔助VLAN的端口收到標準幀,打上端口的PVID(2~6)變成802.1Q幀,交換機根據幀中的VID知道這是一個輔助VLAN幀,把此幀送到主VLAN上行端口,上行端口將TAG拆除,變回標準幀後發給上行設備(上行設備收到的是個標準幀);
數據幀下行時,上行設備發回一個標準幀,上行端口收到後打上PVID(10)變成802.1Q幀,交換機根據幀中的VID知道這是一個主VLAN幀,把此幀送到所有輔助VLAN端口,輔助VLAN端口拆除TAG變回標準幀後發出去。
看完轉發過程,可能會有兩個疑問:第一,數據上行時,加入輔助VLAN的端口與加入主VLAN的上行端口,兩個端口的PVID並不一樣,交換機為什麼會把幀送給上行端口?第二,數據下行時,上行端口會把攜帶VID為10的802.1Q幀發給所有加入輔助VLAN的端口,其他終端不是也收到了嗎?
第一個問題,你可能會想到上行端口是一個Trunk類型,其實並不是,而是一個很特殊的類型,叫Hybrid類型,也稱為混雜類型。這種類型的端口可以允許很多VLAN通過,同時也可以把攜帶這些VLAN的VID的幀都變成標準幀發出去。關於Hybrid類型我們之前沒有討論,是因為它的應用場景非常少,PVLAN中的端口都是此類型。
第二個問題,所有連接交換機輔助VLAN端口的終端確實都會收到,但是比較幀中的目的MAC地址後,除了收件人,其他終端都會丟棄。
小Q:兩臺電腦的IP地址在同一個網段,加入不同的VLAN,是否可以互通?IP地址如果在不同網段,加入同一個VLAN是否可以互通?
歡迎大家留言討論。
