私有VLAN
私有VLAN(英文:Private VLAN),也稱為專用VLAN,是一種電腦網絡技術,它包含被限制的交換機端口,使得它們只能與給定的「上行鏈路」(uplink)通信。受限(restricted)端口稱為「私有端口」。每個專用VLAN通常包含許多私有端口和單個上行鏈路。上行鏈路通常是連接到路由器、防火牆、伺服器、提供商網絡或類似中心資源的端口。
概述
私有VLAN將一個主要VLAN劃分為多個次要VLAN,並同時保留現有的IP子網和第三層配置。常規VLAN是單個廣播域,而私有VLAN將一個廣播域分成多個較小的廣播子域。
- 主要VLAN:原始的VLAN。這種類型的VLAN用於將數據幀下行轉發到所有次要VLAN。
- 次要VLAN:次要VLAN配置為以下類型之一:
私有VLAN主要有兩種類型的端口:混雜端口(P-Port)和主機端口。主機端口進一步分為兩種類型:隔離端口(I-Port)和公共端口(C-Port)。
- 混雜端口(P-Port):交換機端口連接到路由器,防火牆或其他網關設備。該端口可以與連接到主VLAN或任何輔助VLAN的任何其他端口進行通信。換句話說,它是允許從VLAN中任何其他端口發送和接收數據幀的一種類型的端口。
- 主機端口:
- 隔離端口(I-Port):連接到隔離VLAN上的常規主機。此端口只能與P-Port通信。
- 公共端口(C-Port):連接到公共VLAN上的常規主機。該端口能與同一個私有VLAN上的P-Port和C-Port端口進行通信。
示例:一台VLAN100的交換機,為其配置一個私有VLAN,一個端口為P-Port,兩個端口為隔離VLAN 101,四個端口為公共VLAN 102和公共VLAN 103。交換機有一個uplink-port(上行端口)(trunk),連接到另一個交換機。如右圖。
下表顯示了可以在這些端口之間通訊的流量。
I-Port | P-Port | C1-Port | C2-Port | 上鏈至交換器2 | |
---|---|---|---|---|---|
I-Port | 拒絕 | 允許 | 拒絕 | 拒絕 | 允許/拒絕 |
P-Port | 允許 | 允許 | 允許 | 允許 | 允許 |
C1-Port | 拒絕 | 允許 | 允許 | 拒絕 | 允許 |
C2-Port | 拒絕 | 允許 | 拒絕 | 允許 | 允許 |
上鏈至交換器2 | 允許/拒絕 | 允許 | 允許 | 允許 | 允許 |
流量從Uplink-port到隔離端口將會被拒絕。如果在主要VLAN中,將允許從uplink-port到隔離端口的流量。
無論VLAN ID或目的MAC地址如何,交換機將從專用端口接收的所有幀轉發到上行端口。從上行鏈路端口接收的幀以正常方式轉發(即,到承載目的地MAC地址的端口,或廣播幀的所有端口或未知目的地MAC地址)。結果,通過交換機的端對端流量會被交換機阻塞(blocked),並且任何這樣的通信必須經過上行鏈路。私有VLAN在數據鏈路層提供通訊間的隔離,但網絡設備的配置會導致客戶端仍然可能在高層進行通信。
應用
私有VLAN的典型應用是酒店或家庭以太網,每個房間或公寓都有一個可以上網的端口。在基於以太網的ADSL DSLAM中使用類似的端口隔離。允許客戶節點之間的直接數據鏈路層通信將使本地網絡暴露於諸如ARP Spoofing之類的各種安全攻擊,並增加由於配置錯誤而導致的損壞的可能性。
私有VLAN的另一個應用是簡化IP位址分配。屬於同一個IP子網時,端口在數據鏈路層可以彼此隔離(出於安全性,性能或其他原因)。在這種情況下,受保護端口上的IP主機之間的直接通信只能通過使用MAC-Forced Forwarding或類似的基於Proxy ARP的解決方案通過上行鏈路連接來實現。
相關RFC
參考資料
腳註
- ^ Configuring Private VLANs. Cisco Systems. [2014-08-28]. (原始內容存檔於2021-04-05).
其他
- Configuring Private VLANs. Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SEE. Cisco Systems. [2009-05-26]. (原始內容存檔於2012-08-24).
- CCNP BCMSN Official exam certification guide.By-David Hucaby, ISBN 978-1-58720-171-4,ISBN 1-58720-171-2