私有VLAN(英文:Private VLAN),也称为专用VLAN,是一种电脑网络技术,它包含被限制的交换机端口,使得它们只能与给定的“上行链路”(uplink)通信。受限(restricted)端口称为“私有端口”。每个专用VLAN通常包含许多私有端口和单个上行链路。上行链路通常是连接到路由器、防火墙、服务器、提供商网络或类似中心资源的端口。
私有VLAN(英文:Private VLAN),也称为专用VLAN,是一种电脑网络技术,它包含被限制的交换机端口,使得它们只能与给定的“上行链路”(uplink)通信。受限(restricted)端口称为“私有端口”。每个专用VLAN通常包含许多私有端口和单个上行链路。上行链路通常是连接到路由器、防火墙、服务器、提供商网络或类似中心资源的端口。
无论VLAN ID或目的MAC地址如何,交换机将从专用端口接收的所有帧转发到上行端口。从上行链路端口接收的帧以正常方式转发(即,到承载目的地MAC地址的端口,或广播帧的所有端口或未知目的地MAC地址)。结果,通过交换机的端对端流量会被交换机阻塞(blocked),并且任何这样的通信必须经过上行链路。私有VLAN在数据链路层提供通讯间的隔离,但网络设备的配置会导致客户端仍然可能在高层进行通信。
私有VLAN的典型应用是酒店或家庭以太网,每个房间或公寓都有一个可以上网的端口。在基于以太网的ADSL DSLAM中使用类似的端口隔离。允许客户节点之间的直接数据链路层通信将使本地网络暴露于诸如ARP Spoofing之类的各种安全攻击,并增加由于配置错误而导致的损坏的可能性。
私有VLAN的另一个应用是简化IP地址分配。属于同一个IP子网时,端口在数据链路层可以彼此隔离(出于安全性,性能或其他原因)。在这种情况下,受保护端口上的IP主机之间的直接通信只能通过使用MAC-Forced Forwarding或类似的基于Proxy ARP的解决方案通过上行链路连接来实现。
私有VLAN将一个主要VLAN划分为多个次要VLAN,并同时保留现有的IP子网和第三层配置。常规VLAN是单个广播域,而私有VLAN将一个广播域分成多个较小的广播子域。
主要VLAN:原始的VLAN。这种类型的VLAN用于将数据帧下行转发到所有次要VLAN。次要VLAN:次要VLAN配置为以下类型之一:隔离(Isolated):与隔离VLAN相关联的任何端口都可以到达主要VLAN,但不能访问任何其他次要VLAN。此外,与同一个隔离VLAN关联的主机无法相互通讯。一个私有VLAN中可以有多个隔离VLAN(如果出于安全考虑,VLAN需要使用不同的路径,则可能会有用); 隔离VLAN的端口在每个VLAN内保持彼此隔离。公共(Community):与公共VLAN相关联的任何交换机端口都可以相互通信,并与主VLAN进行通信,但不能与任何其他辅助VLAN进行通信。一个私有VLAN内可以有多个不同的公共VLAN。私有VLAN主要有两种类型的端口:混杂端口(P-Port)和主机端口。主机端口进一步分为两种类型:隔离端口(I-Port)和公共端口(C-Port)。
混杂端口(P-Port):交换机端口连接到路由器,防火墙或其他网关设备。该端口可以与连接到主VLAN或任何辅助VLAN的任何其他端口进行通信。换句话说,它是允许从VLAN中任何其他端口发送和接收数据帧的一种类型的端口。
在以下情况下,专用VLAN用于网络隔离:
从平面网络转移到隔离网络,而不改变主机的IP地址。防火墙可以替换路由器,然后主机可以缓慢移动到其次要VLAN分配而不更改其IP地址。需要具有数十,数百甚至数千个接口的防火墙。使用专用VLAN,防火墙只能为所有隔离的网络提供一个接口。有必要保留IP地址。使用专用VLAN,所有Secondary VLAN可以共享相同的IP子网。克服每个防火墙支持的VLAN数量的许可证费用。需要超过4095个隔离网络。使用隔离VLAN,可以有无数的隔离网络。托管操作中的私有VLAN允许客户之间的隔离,具有以下好处:
不需要为每个客户分配IP子网。
隔离的VLAN可用于将VDI桌面彼此隔离,允许过滤和检查桌面到桌面的通信。使用非隔离VLAN需要为每个VDI桌面使用不同的VLAN和子网。
在备份网络上,不需要主机相互访问。主机只能到达其备份目的地。备份客户端可以放置在一个隔离VLAN中,备份服务器可以放在Primary VLAN上,这样主机就只能与备份服务器通信。
温馨提示:
