私有VLAN

前提条件：虚拟局域网（VLAN） 虚拟局域网的作用是将广播域划分为多个较小的区域，从而在第二层上进行通信。只有属于同一VLAN的主机才能相互之间进行通信，而与其他VLAN中的主机进行通信时则需要进行跨VLAN的路由处理。不过，在同一VLAN内，如果我们希望某些主机无法与同一VLAN内的其他主机在第二层上进行通信，那么就可以使用VLAN访问列表或私有VLAN的概念来实现这一目的。私有VLAN –私有VLAN的作用是将第2层的广播域划分为多个较小的子域。一个子域由一个主VLAN以及一个或多个次级VLAN组成。

VLAN的类型 – 

在私有VLAN中，有两种类型的VLAN：

1. 主VLAN –私有VLAN中的所有端口都属于同一个主VLAN。一个私有VLAN只能有一个主VLAN。在私有VLAN域内，所有的VLAN都共享同一个主VLAN。
2. 次级VLAN –私有VLAN可以包含一个或多个次级VLAN。它能够在属于同一私有VLAN域的端口之间实现隔离。这些次级VLAN有两种类型：
   1. 孤立的VLAN——属于隔离VLAN的主机只能与其关联的混杂端口进行通信，而无法直接与其他属于其他隔离或社区VLAN的宿主在二层层面上直接进行通信。通常情况下，一个端口会被分配给一个隔离VLAN，但实际上可以有多个端口与同一个隔离VLAN相关联。
   2. 社区VLANs –私有VLAN可以包含一个或多个社区VLAN。属于同一社区VLAN的主机可以相互通信，同时也可以与相关的混杂端口进行通信。但是，属于不同社区VLAN的宿主在二层层面是无法相互通信的。

端口的类型 –

在私有VLAN中，存在的端口类型有：

1. 混杂端口 –它属于主VLAN。这些端口可以与所有属于该混杂端口所在的主VLAN中的次级VLAN的接口进行通信。通常，这些端口被用于连接交换机、路由器以及防火墙等网络设备。
2. 孤立的港口——这些被隔离的端口属于次级隔离VLAN。这些端口上的流量会被转发到混杂端口。私有VLAN只允许来自其关联混杂端口的流量能够到达这些被隔离的端口。
3. 社区端口 –这个端口属于一个次级社区VLAN。这些主机端口可以与其他处于同一社区VLAN中的端口进行通信，同时也可以与其相关的混杂端口进行通信。这些端口完全独立于其他社区VLAN中的端口以及那些被隔离的端口。

注意：在配置私有VLAN时，VTP（VLAN Trunking Protocol）应处于透明模式或关闭状态。配置 – 

这是一个拓扑结构，其中Router1的IP地址为192.168.1.1/24，PC1的IP地址为192.168.1.10/24，PC2的IP地址为192.168.1.20/24，PC3的IP地址为192.168.1.30/24。这些设备都相互连接在一起，如图所示。在这个任务中，我们将把VLAN 10分配给fa0/1和fa0/2两个接口，而VLAN 20则分配给fa0/3和fa0/0两个接口，同时还将VLAN 100设置为主VLAN。最后，我们将把VLAN 10设置为社区VLAN，VLAN 20设置为隔离VLAN，而VLAN 100则设置为主VLAN。现在，我们已经在交换机上配置了私有VLAN了。

switch(config)#vlan 10switch(config-vlan)#private-vlan communityswitch(config-vlan)#exit

在这里，我们已经创建了 VLAN 10，并将其配置为社区 VLAN。现在，接下来就是配置隔离 VLAN 的步骤了。

switch(config)#vlan 20switch(config-vlan)#private-vlan isolatedswitch(config-vlan)#exit

现在，我们创建VLAN 100，并将其配置为主VLAN。同时，将VLAN 10和VLAN 20关联到该VLAN上。

switch(config)#vlan 100switch(config-vlan)#private-vlan primaryswitch(config-vlan)#private-vlan association 10, 20switch(config-vlan)#exit 

现在，需要将这些端口配置为私有VLAN的宿主端口，并将其与主VLAN和次级VLAN关联起来。首先，配置fa0/1和fa0/2这两个端口，然后将VLAN 10（次级VLAN）与其主VLAN（VLAN 100）关联起来。

switch(config)#int range fa0/1-2switch(config-vlan)#switchport mode private-vlan hostswitch(config-vlan)#switchport Private-vlan host-association 100 10

现在，配置fa0/3接口，并将VLAN 20（次级VLAN）与它的主VLAN（VLAN 100）关联起来。

switch(config)#int fa0/3switch(config-vlan)#switchport mode private-vlan hostswitch(config-vlan)#switchport Private-vlan host-association 100 20

现在，我们终于可以将接口fa0/0配置为“混杂模式”，并将该端口与主VLAN（VLAN 100）以及次级VLAN（VLAN 10、20）关联起来。

switch(config)#int fa0/0switch(config-vlan)#switchport mode private-vlan promiscuous switch(config-vlan)#switchport Private-vlan mapping 100 10, 20

我们可以通过命令来确认与次级VLAN相关的端口。

switch#show vlan private-vlan

如果您想要确认主VLAN和次级VLAN的状态（即它们是处于隔离模式还是社区模式），那么可以使用该命令来进行验证。

switch# show vlan private-vlan type 

优点：

• 安全性得到提升：PVLAN提供了额外的安全层，通过将同一VLAN内的设备隔离开来，从而防止它们与同一VLAN内的其他设备进行通信。
• 网络分段：PVLAN允许在比传统VLAN更精细的级别上进行网络分割，从而能够更精确地控制网络流量。
• 减少了广播流量：PVLAN能够通过将设备隔离在各自的VLAN中，从而减少广播流量。这样一来，同一VLAN内的设备之间就不会相互通信了。
• 具有成本效益：能够以合理的价格获得所需的产品或服务。PVLAN可以通过现有的VLAN基础设施来实现，这种方式比其他安全解决方案更为经济实惠。

缺点：

• 复杂的配置结构：PVLAN的配置和管理可能会比较复杂，尤其是在那些拥有大量VLAN和设备的大型网络中。
• 功能有限：与其他网络安全解决方案相比，PVLAN的功能较为有限，这可能会限制网络管理员可用的安全选项。
• 性能影响：PVLAN可能会对网络性能产生负面影响，尤其是在实施复杂的安全策略时。
• 单点故障：如果PVLAN基础设施出现故障，那么该VLAN中的所有设备都将受到影响，这可能会导致严重的网络中断。

私有VLAN的应用

1. 设备的隔离处理：私有VLAN可以被用来将同一VLAN内的设备彼此隔离。例如，在常见的网络环境中，可以使用私有VLAN来将虚拟服务器彼此隔离开来，从而避免它们直接相互通信。

2. 安全性：私有VLAN可以用来提升安全性，因为这样可以防止特定设备与同一VLAN内的其他设备进行通信。例如，可以使用私有VLAN来将包含敏感数据的部门与公司的其他部分隔离开来。

3. 简化管理层的组织结构：私有VLAN可以用于优化网络架构，从而减少所需的VLAN数量。与其为每个设备组创建单独的VLAN，不如使用单一的VLAN，同时允许多个私有VLAN存在于该VLAN中。

4. 合规性：私有VLAN可以帮助满足一致性要求，因为它们可以将包含敏感数据或关键系统的流量隔离出来。例如，信用卡行业的标准要求Visa信息必须与其他流量分离，而这一要求可以通过使用私有VLAN来实现。