随着以太网技术的不断成熟，LAN①接入方式逐步被运营商所接受，从而成为一种重要的宽带接入解决方案，逐渐在接入网（如园区网，宽带小区，企业网接入和主机托管业务等）中得到普及。现在的许多接入网采用普通的VLAN②技术来解决接入网络的安全性问题，通过给每个客户分配一个VLAN和相关的IP子网，将每个客户从第2层隔离开，来防止计算机病毒、以太网信息探听、黑客入侵等恶意行为。 然而，由于交换机固有的VLAN数目的限制以及IP子网的划分势必造成一些IP地址的浪费，这种分配每个客户单一VLAN和IP子网的模型存在很大的局限。

PVLAN③的应用通过将不同的客户放在隔离 VLAN中实现了客户的二层隔离，只需要一个隔离VLAN就可以保证了接入网络的数据通信的安全性，节省了VLAN的资源；通过给主VLAN配置SVI④，所有PVLAN共享主VLAN的IP地址，实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问，避免了IP子网的划分。通过应用PVLAN技术能够在节省VLAN与IP地址资源的情况下很好地解决接入网络的安全性问题。

Private VLAN专用虚拟局域网，是一种从实际应用出发提出的VLAN划分方式。PVLAN采用两层VLAN隔离技术，上层Primary VLAN全局可见，下层Secondary VLAN相互隔离。Secondary VLAN不仅提供不同端口间隔离的VLAN，同时提供同一个VLAN中端口间的隔离。所有接入PVLAN的用户通过Primary VLAN出去或者访问服务器，实现了不同VLAN的端口可以使用相同网段的地址。从本质上来说PVLAN就是一种允许在一个IP子网下划分多个VLAN的技术,它隔断了主机在2层上的通信,却允许所有的主机与同一个网关进行3层上的通信。因此PVLAN真正实现了不需要多个VLAN和IP子网就能够提供具备二层数据通信安全性的连接。

PVLAN将一个VLAN的二层广播域划分成多个子域，每个子域都由一个私有VLAN对组成：主VLAN(Primary VLAN)和辅助VLAN(Secondary VLAN)。

图1 PVLAN 域

一个私有VLAN域可以有多个私有VLAN对，每一个私有VLAN对代表一个子域。在一个私有VLAN域中所有的私有VLAN对共享同一个主VLAN。每个子域的辅助VLAN ID不同。

一个私有VLAN域中只有一个主VLAN，辅助VLAN实现同一个私有VLAN域中的二层隔离，有两种类型的辅助VLAN：

• 隔离VLAN(Isolated VLAN)：同一个隔离VLAN中的端口不能互相进行二层通信。一个私有VLAN域中只有一个隔离VLAN。
• 群体VLAN(Community VLAN)：同一个群体VLAN中的端口可以互相进行二层通信，但不能与其它群体VLAN中的端口进行二层通信。一个私有VLAN域中可以有多个群体VLAN。

当接入网有大量不同用户时，为了保证各个用户的网络安全，一般使用VLAN技术对用户的二层报文进行隔离，以防止以太网信息嗅探，黑客攻击，病毒传播等恶意行为，但由于VLAN的资源有限，最大数目为4094个，此时就可以通过PVLAN的方式来实现。例如，在电信的主机托管业务中，将不同企业的服务器放在隔离VLAN中，服务器只能与自己的默认网关通信，不同企业的服务器之间相互隔离，若企业使用多台服务器则将这些服务器放在群体VLAN中，即可实现与其他VLAN的服务器的隔离，同VLAN服务器之间的相互通信以及与自己的默认网关通信。

图2 二层PVLAN应用

如图2所示，用户1与用户2同属于企业A，用户3属于企业B，用户4属于企业C。由于同属于同一企业的用户1与用户2需要进行相互通信，所以将他们放在群体VLAN(VLAN 1001)中即可实现两者的相互通信，由于与用户3、用户4不属于同一VLAN，所以实现了相互隔离；用户3与用户4属于不同的企业，彼此之间不需要相互通信，所以将他作放在隔离VLAN(VLAN 1002)中，这样就可以将他们相互隔离开来；网关设备与主VLAN相连，即可实现所有的辅助VLAN与外部的通信。由于所有的辅助VLAN共享同一个主VLAN(VLAN 100)，对于网关设备而言，由于只需要识别主VLAN而不需要识别辅助VLAN，因此节约的VLAN的资源。

结束语：尊龙时凯网络核心交换机RG-S8600系列全面支持PVLAN技术，可以有效地保障用户数据安全，抑制病毒泛滥，保护通信安全，并节省IP地址资源，有助于网络的优化，带给用户一个安全的网络。

① LAN：Local Area Network，虚拟局域网

② VLAN: Virtual Local Area Network，虚拟局域网

③ PVLAN：Private VLAN，专用虚拟局域网

④ SVI：Switch Virtual Interface，交换机虚拟接口