隨著以太網技術的不斷成熟，LAN①接入方式逐步被運營商所接受，從而成為一種重要的寬帶接入解決方案，逐漸在接入網（如園區網，寬帶小區，企業網接入和主機托管業務等）中得到普及。現在的許多接入網采用普通的VLAN②技術來解決接入網絡的安全性問題，通過給每個客戶分配一個VLAN和相關的IP子網，將每個客戶從第2層隔離開，來防止計算機病毒、以太網信息探聽、黑客入侵等惡意行為。 然而，由于交換機固有的VLAN數目的限制以及IP子網的劃分勢必造成一些IP地址的浪費，這種分配每個客戶單一VLAN和IP子網的模型存在很大的局限。

PVLAN③的應用通過將不同的客戶放在隔離 VLAN中實現了客戶的二層隔離，只需要一個隔離VLAN就可以保證了接入網絡的數據通信的安全性，節省了VLAN的資源；通過給主VLAN配置SVI④，所有PVLAN共享主VLAN的IP地址，實現了所有用戶與默認網關的連接，而與PVLAN內的其他用戶沒有任何訪問，避免了IP子網的劃分。通過應用PVLAN技術能夠在節省VLAN與IP地址資源的情況下很好地解決接入網絡的安全性問題。

Private VLAN專用虛擬局域網，是一種從實際應用出發提出的VLAN劃分方式。PVLAN采用兩層VLAN隔離技術，上層Primary VLAN全局可見，下層Secondary VLAN相互隔離。Secondary VLAN不僅提供不同端口間隔離的VLAN，同時提供同一個VLAN中端口間的隔離。所有接入PVLAN的用戶通過Primary VLAN出去或者訪問服務器，實現了不同VLAN的端口可以使用相同網段的地址。從本質上來說PVLAN就是一種允許在一個IP子網下劃分多個VLAN的技術,它隔斷了主機在2層上的通信,卻允許所有的主機與同一個網關進行3層上的通信。因此PVLAN真正實現了不需要多個VLAN和IP子網就能夠提供具備二層數據通信安全性的連接。

PVLAN將一個VLAN的二層廣播域劃分成多個子域，每個子域都由一個私有VLAN對組成：主VLAN(Primary VLAN)和輔助VLAN(Secondary VLAN)。

圖1 PVLAN 域

一個私有VLAN域可以有多個私有VLAN對，每一個私有VLAN對代表一個子域。在一個私有VLAN域中所有的私有VLAN對共享同一個主VLAN。每個子域的輔助VLAN ID不同。

一個私有VLAN域中只有一個主VLAN，輔助VLAN實現同一個私有VLAN域中的二層隔離，有兩種類型的輔助VLAN：

• 隔離VLAN(Isolated VLAN)：同一個隔離VLAN中的端口不能互相進行二層通信。一個私有VLAN域中只有一個隔離VLAN。
• 群體VLAN(Community VLAN)：同一個群體VLAN中的端口可以互相進行二層通信，但不能與其它群體VLAN中的端口進行二層通信。一個私有VLAN域中可以有多個群體VLAN。

當接入網有大量不同用戶時，為了保證各個用戶的網絡安全，一般使用VLAN技術對用戶的二層報文進行隔離，以防止以太網信息嗅探，黑客攻擊，病毒傳播等惡意行為，但由于VLAN的資源有限，最大數目為4094個，此時就可以通過PVLAN的方式來實現。例如，在電信的主機托管業務中，將不同企業的服務器放在隔離VLAN中，服務器只能與自己的默認網關通信，不同企業的服務器之間相互隔離，若企業使用多臺服務器則將這些服務器放在群體VLAN中，即可實現與其他VLAN的服務器的隔離，同VLAN服務器之間的相互通信以及與自己的默認網關通信。

圖2 二層PVLAN應用

如圖2所示，用戶1與用戶2同屬于企業A，用戶3屬于企業B，用戶4屬于企業C。由于同屬于同一企業的用戶1與用戶2需要進行相互通信，所以將他們放在群體VLAN(VLAN 1001)中即可實現兩者的相互通信，由于與用戶3、用戶4不屬于同一VLAN，所以實現了相互隔離；用戶3與用戶4屬于不同的企業，彼此之間不需要相互通信，所以將他作放在隔離VLAN(VLAN 1002)中，這樣就可以將他們相互隔離開來；網關設備與主VLAN相連，即可實現所有的輔助VLAN與外部的通信。由于所有的輔助VLAN共享同一個主VLAN(VLAN 100)，對于網關設備而言，由于只需要識別主VLAN而不需要識別輔助VLAN，因此節約的VLAN的資源。

結束語：銳捷網絡核心交換機RG-S8600系列全面支持PVLAN技術，可以有效地保障用戶數據安全，抑制病毒泛濫，保護通信安全，并節省IP地址資源，有助于網絡的優化，帶給用戶一個安全的網絡。

① LAN：Local Area Network，虛擬局域網

② VLAN: Virtual Local Area Network，虛擬局域網

③ PVLAN：Private VLAN，專用虛擬局域網

④ SVI：Switch Virtual Interface，交換機虛擬接口