网络故障诊断与排除（H3C）（第2版）（微课版） 课件 3.3 1 Private VLAN的概念

PrivateVLAN的概念根据802.1q规定，交换机最多可以划分4094个VLAN，在某些情况下4094个VLAN并不够用。例如，很多运营商采用LAN接入小区宽带，基于用户安全和管理计费方面的考虑，运营商一般要求接入用户相互隔离，VLAN则是天然的隔离手段。对于运营商的设备来说，如果每个用户分配一个VLAN，4094个VLAN远远不够用，而且每个VLAN需要配置三层接口，将耗费大量的IP地址。如果有一种技术能够实现接入层用户相互隔离，又能将接入层的VLANID屏蔽掉，只可见汇聚层的VLANID，为了解决这个问题，PrivateVLAN技术产生了。PrivateVLAN的概念PrivateVLAN（私有VLAN）采用二层VLAN结构，它在同一台设备上配置PrimaryVLAN和SecondaryVLAN两类VLAN，即能够保证接入用户之间相互隔离，又能将接入的VLANID屏蔽掉，从而节省了VLAN资源。PrivateVLAN的概念PrimaryVLAN：用于连接上行设备，一个PrimaryVLAN可以和多个SecondaryVLAN相对应。上行连接的设备只需知道PrimaryVLAN，而不必关心SecondaryVLAN，PrimaryVLAN下面的SecondaryVLAN对上行设备不可见。SecondaryVLAN：用于连接用户，SecondaryVLAN之间二层报文互相隔离。如果希望实现同一PrimaryVLAN下SecondaryVLAN用户之间报文的互通，可以通过配置上行设备的本地代理ARP功能来实现三层报文的互通。PrivateVLAN的概念PrivateVLAN的功能利用了Hybrid的端口灵活性和VLAN间的MAC地址同步来实现。Hybrid类型的端口在转发数据时，可以根据需要进行多个VLAN数据流量的发送和接收，也可以根据需要决定发送数据帧时是否携带802.1q标签。因为Hybrid端口比较灵活，所以可以用于交换机之间的连接，也可以用于连接计算机。PrivateVLAN的基本原理如图所示，SW2的G0/10、G0/20和G0/24端口都为Hybrid端口类型，G0/10端口允许VLAN10和VLAN100的数据帧通过，G0/20端口允许VLAN20和VLAN100的数据帧通过，G0/24端口允许VLAN10、VLAN20和VLAN100的数据帧通过，配置完成后，PC1可以和SW1互通，PC2也可以和SW1互通，但是PC1和PC2之间不通。PrivateVLAN的基本原理这个例子存在一个较为严重的问题，若PC1发送ARP请求到G0/10端口解析SW1（网关）的MAC地址。首先，PC1的MAC地址被学习到SW2的VLAN10中，SW2没有SW1的MAC地址表项，只能在VLAN10中广播域内广播；其次，SW1的G0/24端口收到SW2的广播，返回ARP请求到达SW2的G0/24端口（源MAC：MAC_SW1，目的MAC：MAC_PC1），SW1的的MAC地址被学习到SW2的VLAN100中；最后，SW2会以“MAC_PC1+VLAN100”为条件去查找MAC地址表，由于找不到相应的表项，该报文会在VLAN100内广播，最终从G0/10和G0/20端口发送出去，PC1和PC2都收到了SW1的MAC地址。这种方式每次上行和下行转发报文都要通过广播才能到达目的地。当端口较多时，这种方式会占用大量的带宽资源，大大降低了交换机的转发性能，而且很不安全。PrivateVLAN的基本原理通过MAC地址同步可以解决这个问题，PrivateVLAN的MAC地址同步机制为：

SecondaryVLAN到PrimaryVLAN的同步，即下行端口在SecondaryVLAN内学习到MAC地址都同步到PrimaryVLAN内，而出端口则保持不变。

PrimaryVLAN到SecondaryVLAN的同步，即上行端口在PrimaryVLAN学习到的MAC地址同步到所有的SecondaryVLAN内，而出端口保持不变。当PrimaryVLAN下面配置了很多SecondaryVLAN，MA