专用虚拟局域网PVLAN(Private VLAN):采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离,如果将交换机的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离
通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信
尽管各设备处于不同的PVLAN中,它们可以使用相同的网关。
*PVLANs允许在同一个VLAN内,将流量限制在某些端口之间。
*PVLAN实现在同一个VLAN内的端口隔离。
PVLAN的类型
主VLAN(primary VLAN)--实际的VLAN,关联网关的接口
子/辅助VLAN(Secondary VLAN)--虚拟出来的VLAN,关联服务器
*隔离VLAN(isolated VLAN)
*团体VLAN(community VLAN)
接口类型:混杂端口(Promiscuous Port)和主机端口(Host Port)
其中“混杂端口”是隶属于主VLAN;“主机端口”是隶属于辅助VLAN的。
因为辅助 VLAN具有两种属性的,那么处于辅助 VLAN当中的主机端口依辅助VLAN属性的不同而不同,也就是说“主机端口”会继承辅助 VLAN的属性;那么主机端口也分为两类—隔离端口isolated和团体端口community。
处于PVLAN中交换机上的一个物理端口要么是混杂端口,要么是隔离端口,要么就是团体端口。
通信限制规则
主VLAN:可以其他主VLAN和所有他所关联的隔离VLAN、团体VLAN通信(不限制)。
团体VLAN:可以同那些处于相同团体VLAN内的团体端口通信,也可以和主VLAN通信;可以与PVLAN中的混杂端口通信(不能访问其他子VLAN)
隔离 VLAN:不可以和处于相同隔离 VLAN内的其它隔离端口通信,可以和主VLAN通信,只可以与混杂端口通信(不能访问其他子VLAN)
PVLAN当中使用的一些规则:
1.一个主VLAN当中至少有1个辅助VLAN,最多8个。
2.一个主VLAN当中只能有1个隔离VLAN,可以有多个团体VLAN。
3.不同主 VLAN之间的任何端口都不能互相通信(二层连通性)。
4.隔离端口只能与混杂端口通信,除此之外不能与任何其他端口通信。
5.团体端口可以和混杂端口通信,也可以和同一团体 VLAN当中的其它物理端口进行通信,除此之外不能和其他端口通信。
6.交换机的VTP模式必须工作在透明模式。
7.PVLAN建议在同一个交换机上面进行部署。
交换机的接口保护特性switch protected:低端交换机不支持PVLAN时,将交换机的两个端口同时配置为保护端口,可以实现同一vlan内的端口隔离,为用户提供了更安全,更灵活的组网方案
每个端口都可以配置成保护端口,保护端口间不能通信,只能和非保护端口通信;switch protected只具有本地意义。
交换机的风暴控制storm control:如果在每秒之内发生的广播数据报流量过多,会导致交换机等网络设备的CPU利用率高,当利用率会达到100%从而导致网络中断
思科系列的交换机特别设计了广播抑制特性,交换机操作系统会自动监测经过其设备的网络流量,如果发现广播数据包比较多的话,这交换机会采取两个措施:要么是丢弃过量的广播数据包;要么就是禁用接收过量的流量端口。
第一个参数就是阀值threshold,也就是允许通过的广播数据包流量的最大值。
第二个参数是violation,即当交换机发现广播数据流量超过规定的最大值时,该采用何种措施来处理。
京公网安备 11010802035086号