0、背景

随着以太网的快速发展，很多的运营商采用了LAN接入小区宽带。基于用户安全和管理计费等方面考虑，运营商一般要求用户相互隔离。VLAN一直是我们用来隔离局域网的手段，于是我们便采用VLAN进行对每一个用户进行局域网的隔离，但是根据IEEE802.1Q协议规定，设备最大可能支持的VLAN数量为4094个，对于运营商的设备来说，那么每个用户1个VLAN，4094个VLAN远远不够，而且每个只包含1个用户的VLAN配置第三层接口，将消耗大量的IP地址和部署成本。

1、Private VLAN产生背景

运营商小区宽带接入典型组网。采用LAN方式接入的小区宽带用户的主要应用是上互联网，用户之间产生隔离，每个用户1个VLAN ，用户数远远大于4094个VLAN，VLAN数量限制了更多用户的接入需求。

Privat VLAN产生原理—>VLAN ID上解决问题
VLAN ID主要消耗在接入层，对于运营商来说，如果既能够保证接入层用户之间相互隔离，又能将就接入层的VLAN ID屏蔽，只可见汇聚层的VLAN ID，则4096个V LAN是够用的。为了解决上述问题，Private VLAN技术应运而生。

Private VLAN 采用二层VLAN结构，它在同一台设备上设置Primary VLAN和Secondary VLAN 两类VLAN。功能如下：
1、 Primary VLAN用于上行连接，不同Secondary VLAN关联到同一个Primary VLAN。上行连接的设备只知道Primary VLAN，而不必关心Secondary VLAN，简化了网络的配置，节省VLAN资源。
2、Secondary VLAN用于连接用户，Secondary VLAN之间二层帧互相隔离。如果希望实现同一Primary VLAN下Secondary VLAN用户之间互通，可以通过配置上行设备的本地代理ARP功能来实现三层报文的互通。
3、一个Primary VLAN可以和多个Secondary VLAN映射，理论上每个Primary VLAN 可以包含4094个Secondary VLAN，所以相当于提供了Primary VLAN 和 Secondary VLAN相乘的4094*4094个VLAN ,Primary VLAN下面对应的Secondary VLAN 对上行设备不可见。

2、Private VLAN技术功能

通过一个简单的应用来描述 Private VLAN 的技术特点，SWA为三层交换机，是SWB的上行设备，SWB为支持Private VLAN 功能的交换机。在SWB上开启Private VLAN功能，并配置VLAN10 为primary VLAN ，配置VLAN 2、VLAN 3、 VLAN4为Secondry VLAN ，这些VLAN2、VLAN 3、VLAN 4 都映射到VLAN 10中。

在SWB上完成Private VLAN配置后，SWB上的VLAN 2、VLAN 3、VLAN 4都可以和SWA互通，对于上层设备SWA来说，只需识别下层交换机SWB的VLAN 10，而不必关心VLAN 10中包含的VLAN 2、VLAN 3、VLAN4 ，在SWB上的各个VLAN通过传统的VLAN 技术实现二层隔离，也可以在上行设备上SWA上配置本地代理ARP功能实现三层的互通。

3、Private VLAN技术原理

其实，Private VLAN 功能是利用了Hybrid 类型端口的灵活性以及VLAN间的MAC地址同步技术来实现的。
Hybrid 端口在转发数据时，可以按照需要进行多个VLAN数据流量发送和接收，可以根据需要决定发送数据帧时是否携带IEEE802.1Q标签。正因为这一灵活性，Hybrid端口可以用于交换机之间的连接，也可以用于连接用户计算机。

SWB所示，SWB上Port1、Port2和Port3这个端口都设为Hybrid 类型，Port1 允许VLAN 2 和VLAN 10的数据帧通过，Port2 允许VLAN 3和VLAN 10的数据帧通过，Port 3允许VLAN 2、VLAN 3、VLAN10的数据帧通过，所有发出去的数据帧都不携带IEEE802.1Q的标签。配置完成后，PCA可以和SWA互通，PCB可以和SWA互通，而PCA和PCB之间隔离。

交换机在转发时会存在一个较为严重的问题。按照需求，SWB的3个端口的PVID应该分别为VLAN 2、VLAN 3、VLAN 10。一开始PCA 发送ARP请求到Port 1，解析SWA （网关）的MAC 地址，PCA 的MAC地址被学习到SWB的VLAN 2中，在SWB没能收到SWA的MAC地址表项，只能在VLAN 2的广播域内广播，因Port 3允许VLAN 2的数据帧通过，所以此广播帧会从port 3 转发出去，SWA会收到请求。

当SWA返回ARP响应报文到达SWB的Prot 3时，（源MAC地址MAC_SWA，目的MAC地址MAC_PCA）,SWA的MAC地址将被学习到SWB的VLAN 10中，SWB会给报文添加Tag，VLAN ID为10 （默认端口的端口ID）,然后以"MAC_PCA+VLAN 10"为条件去查询MAC地址。由于找不到对应的表项，该报文会在VLAN 10内广播，并最终从Port1和Port 2中转发出去。

同理每次上行和下行的报文，都需要广播才能到达目的地。当Secondary VLAN 和Primary VLAN包含的端口较多时，这样的处理方式会占用大量的带宽资源，大大降低了交换机的转发性能，而且不安全（广播报文容易被截获和侦听）。通过MAC地址同步机制可以解决这个问题。

Primary VLAN的MAC 地址同步机制有如下两种：
1、Secondary VLAN到Primary VLAN的同步，即下行端口在Secondary VLAN内学习到的MAC地址都同步到Primary VLAN内，而出端口则保持不变。
2、Primary VLAN 到 Secondary VLAN内步，即上行端口在Primary VLAN学习到的MAC地址同步到所有的Secondary VLAN内，而出端口则保持不变。

缺点：
当Primary VLAN 下面配置了很多Secondary VLAN，MAC地址同步后，将导致MAC地址表过于庞大，进而影响设备的转发性能。同时考虑到用户的下行流量要远远大于上行流量，下行流量需要进行单播，上行流量可以进行广播。所以Secondary VLAN到primary VLAN的同步被所有产品均支持，而Primary VLAN到second VLAN的同步只被部分产品不支持。

转载，原文链接：https://blog.csdn.net/zhynet000001/article/details/105527438/

网络工程师——Private VLAN相关推荐

网络工程师——Super VLAN
网络工程师--Super VLAN 背景代理ARP 背景在大型局域网组网中,常采用接入层和核心层二层结构的组网方式,所有的网关都设在核心层设备上.由于每个VLAN都需要一个接口实现路由互通,这样问 ...
【新华三】网络工程师这不是普通的VLAN技术-Private VLAN
本期主要介绍Private VLAN技术,下期介绍Super VLAN技术随着以太网的快速发展,很多的运营商采用了LAN接入小区宽带.基于用户安全和管理计费等方面考虑,运营商一般要求用户相互隔离.V ...
思科ccnp认证网络工程师VLAN攻击概述你必须要知道
思科ccnp认证网络工程师VLAN攻击概述你必须要知道,VLAN(Virtual Local Area Network)的中文名为"虚拟局域网".虚拟局域网(VLAN)是一组逻辑上 ...
网络工程师实战系列视频课程【VLAN专题】-夏杰-专题视频课程
网络工程师实战系列视频课程[VLAN专题]-267人已学习课程介绍结合实际项目,为大家介绍二层交换机技术.VLAN技术以及不同VLAN互联互通,VLAN在实际项目中的运用. 课程收 ...
局域网ip冲突检测工具_软考网络工程师之局域网与城域网(无线局域网，网桥，VLAN)...
IEEE802项目体系结构使用相同的LLC,802.1定义了体系结构与传输介质无关的部分集中在LLC子层 MAC子层负责数据帧的封装与解封装.帧的校验 802.3和以太网 1.以太网工作原理以太 ...
网工必考：HCIP认证（华为认证ICT高级网络工程师）
华为HCIP课程介绍 HCIP认证概述 HCIP-R&S认证定位于中小型网络的构建和管理. HCIP-R&S认证包括但不限于:网络基础知识,交换机和路由器原理,TCP/IP协议簇,路由 ...
Linux、Windows网络工程师面试题精选
1．请你修改一下LINUX的视频驱动和声音驱动? 答: redhatlinux中用sndconfig来设置声卡,如果没有某个模块,就需要重新编译内核(编译最新发布的linux 内核),如果还不行,只好 ...
2022年下半年网络工程师上午综合知识真题答案解析
2022年下半年网络工程师上午综合知识真题答案解析 1.下列存储介质中,读写速度最快的是(). A.光盘 B.硬盘 C.内存 D.Cache [参考答案]D 2.使用DMA不可以实现数据(). A.从 ...
网络工程师成长日记373-李宁公司项目
网络工程师成长日记373-李宁公司项目这是我的第373篇原创文章,记录网络工程师行业的点点滴滴,结交IT行业有缘之人网络设备割接工程项目技术回忆录网络环境拓扑图如下: 图1 上面的2台为IBM的 ...

网络工程师——Private VLAN