【疑問解答】私有VLAN是什麼？它是如何工作的？

私有VLAN是什麼？

私有VLAN（即Private VLAN，簡稱PVLAN）也被稱為專用VLAN，其採用兩層VLAN隔離技術，可將一個VLAN的二層廣播域劃分成多個子域，從而達到在同一IP網段下實現VLAN內部通信隔離。在共享網絡環境中，私有VLAN的應用可有效簡化IP地址分配，節省IP地址，同時，提高了二層交換機端口的安全性。

私有VLAN專業術語簡介

1. 私有VLAN的VLAN類型

由上可知，私有VLAN可將一個VLAN劃分成多個子域，而每個劃分成的子域都是由一個私有VLAN對組成，一個私有VLAN對主要包含了主VLAN（Primary VLAN）和輔助VLAN（Secondary VLAN），其中輔助VLAN具備隔離VLAN（Isolated VLAN）和團體VLAN（Community VLAN）兩種類型。

主VLAN——指原始的VLAN，這種類型的VLAN可通過混雜端口將數據幀下行轉發到所有輔助VLAN。

隔離VLAN——作為一種輔助VLAN，只能支持隔離VLAN中的隔離端口將數據幀轉發到主VLAN中的混雜端口上，同屬於一個隔離VLAN中的端口是無法進行通信的。此外，一個私有域中只有一個隔離VLAN。

團體VLAN——作為一種輔助VLAN，同一個團體VLAN中的團體端口可相互通信，也可以與主VLAN的端口進行通信，但不能與其他團體VLAN中的端口進行通信。一個私有VLAN域中可以有多個團體VLAN。

2.私有VLAN的端口類型

私有VLAN具備三種VLAN端口類型，具體如下：

混雜端口——即Promiscuous port，也被稱為雜合端口。此類端口能夠與VLAN中的所有端口（包含團體端口和隔離端口）進行通信（發送和接收幀），通常可與第三層交換機端口、路由器端口、備份或共享服務器端口或VLAN接口連接。

隔離端口——即Isolated port，也被稱為孤立端口。此類端口存在於輔助VLAN中，可與主VLAN中的混雜端口通信。

團體端口——即Community port，也被稱為公共端口。此類端口存在於輔助VLAN中，可與同一個團體VLAN中的團體端口進行通信，也可以與所有混雜端口進行通信，不同團體VLAN中的端口不能通信。

私有VLAN是如何工作的？

通常情況下，私有VLAN工作需要進行如下四個階段：

第一，主VLAN通過混雜端口將下行的數據幀轉到所有映射的主機上；

第二，隔離VLAN將上行主機的數據幀轉發到混雜端口上；

第三，團體VLAN內的團體端口進行相互通信，同時將上行數據幀轉發到混雜端口上；

第四，交換機MAC地址的學習和轉發過程以及主/輔助VLAN內的廣播/組播/洪泛過程保持不變。

若想了解VLAN是什麼以及其工作原理，可訪問《【疑問解答】關於VLAN技術您了解多少？》。

關於私有VLAN的疑問解答

1. 如何配置私有VLAN？

飛速（FS） S5800-8TF12S/S5850-32S2Q/S5850-48S6Q/S5850-48S2Q4C/S5850-48T4Q/S8050-20Q4C交換機和N系列交換機都能支持私有VLAN，具體的配置思路如下：

①創建主VLAN和輔助VLAN，並將它們進行關聯；

②配置隔離端口和團體端口，並將它們與相應的輔助VLAN進行綁定；

③將接口配置為混雜端口，並將混雜端口映射到私有VLAN對上；

④若想實現VLAN間路由，則配置主交換機的SVI接口，並將輔助VLAN映射到主VLAN；

⑤驗證私有VLAN配置是否成功。

2. 飛速（FS）交換機如何配置端口隔離？

飛速（FS） S3900系列交換機、S5800/5900/8050系列以及N系列交換機都可支持端口隔離，具體的配置思路如下：

①配置交換機的VLAN、IP地址以及端口模式；

②對指定端口進行端口隔離配置；

③驗證配置是否成功建立。

欲知更多端口隔離的信息，可訪問《飛速（FS） S3900系列交換機端口隔離功能配置指南》。

3. VLAN與私有VLAN有什麼區別？

VLAN是一種安全隔離技術，可用於第二層和第三層，通常情況下，一個VLAN對應一個獨立的IP網段，不同的VLAN具備不同的IP網段，無法做到不同VLAN同屬一個IP網段；而私有VLAN用於第二層，它可使交換機的端口屬於不同VLAN，但同屬一個IP網段。