网络工程师——Private VLAN

0、背景

随着以太网的快速发展，很多的运营商采用了LAN接入小区宽带。基于用户安全和管理计费等方面考虑，运营商一般要求用户相互隔离。VLAN一直是我们用来隔离局域网的手段，于是我们便采用VLAN进行对每一个用户进行局域网的隔离，但是根据IEEE802.1Q协议规定，设备最大可能支持的VLAN数量为4094个，对于运营商的设备来说，那么每个用户1个VLAN，4094个VLAN远远不够，而且每个只包含1个用户的VLAN配置第三层接口，将消耗大量的IP地址和部署成本。

1、Private VLAN产生背景

运营商小区宽带接入典型组网。采用LAN方式接入的小区宽带用户的主要应用是上互联网，用户之间产生隔离，每个用户1个VLAN ，用户数远远大于4094个VLAN，VLAN数量限制了更多用户的接入需求。

Privat VLAN产生原理—>VLAN ID上解决问题
VLAN ID主要消耗在接入层，对于运营商来说，如果既能够保证接入层用户之间相互隔离，又能将就接入层的VLAN ID屏蔽，只可见汇聚层的VLAN ID，则4096个V LAN是够用的。为了解决上述问题，Private VLAN技术应运而生。

Private VLAN 采用二层VLAN结构，它在同一台设备上设置Primary VLAN和Secondary VLAN 两类VLAN。功能如下：
1、 Primary VLAN用于上行连接，不同Secondary VLAN关联到同一个Primary VLAN。上行连接的设备只知道Primary VLAN，而不必关心Secondary VLAN，简化了网络的配置，节省VLAN资源。
2、Secondary VLAN用于连接用户，Secondary VLAN之间二层帧互相隔离。如果希望实现同一Primary VLAN下Secondary VLAN用户之间互通，可以通过配置上行设备的本地代理ARP功能来实现三层报文的互通。
3、一个Primary VLAN可以和多个Secondary VLAN映射，理论上每个Primary VLAN 可以包含4094个Secondary VLAN，所以相当于提供了Primary VLAN 和 Secondary VLAN相乘的4094*4094个VLAN ,Primary VLAN下面对应的Secondary VLAN 对上行设备不可见。

2、Private VLAN技术功能

通过一个简单的应用来描述 Private VLAN 的技术特点，SWA为三层交换机，是SWB的上行设备，SWB为支持Private VLAN 功能的交换机。在SWB上开启Private VLAN功能，并配置VLAN10 为primary VLAN ，配置VLAN 2、VLAN 3、 VLAN4为Secondry VLAN ，这些VLAN2、VLAN 3、VLAN 4 都映射到VLAN 10中。

在SWB上完成Private VLAN配置后，SWB上的VLAN 2、VLAN 3、VLAN 4都可以和SWA互通，对于上层设备SWA来说，只需识别下层交换机SWB的VLAN 10，而不必关心VLAN 10中包含的VLAN 2、VLAN 3、VLAN4 ，在SWB上的各个VLAN通过传统的VLAN 技术实现二层隔离，也可以在上行设备上SWA上配置本地代理ARP功能实现三层的互通。

3、Private VLAN技术原理

其实，Private VLAN 功能是利用了Hybrid 类型端口的灵活性以及VLAN间的MAC地址同步技术来实现的。
Hybrid 端口在转发数据时，可以按照需要进行多个VLAN数据流量发送和接收，可以根据需要决定发送数据帧时是否携带IEEE802.1Q标签。正因为这一灵活性，Hybrid端口可以用于交换机之间的连接，也可以用于连接用户计算机。

SWB所示，SWB上Port1、Port2和Port3这个端口都设为Hybrid 类型，Port1 允许VLAN 2 和VLAN 10的数据帧通过，Port2 允许VLAN 3和VLAN 10的数据帧通过，Port 3允许VLAN 2、VLAN 3、VLAN10的数据帧通过，所有发出去的数据帧都不携带IEEE802.1Q的标签。配置完成后，PCA可以和SWA互通，PCB可以和SWA互通，而PCA和PCB之间隔离。

交换机在转发时会存在一个较为严重的问题。按照需求，SWB的3个端口的PVID应该分别为VLAN 2、VLAN 3、VLAN 10。一开始PCA 发送ARP请求到Port 1，解析SWA （网关）的MAC 地址，PCA 的MAC地址被学习到SWB的VLAN 2中，在SWB没能收到SWA的MAC地址表项，只能在VLAN 2的广播域内广播，因Port 3允许VLAN 2的数据帧通过，所以此广播帧会从port 3 转发出去 ，SWA会收到请求。

当SWA返回ARP响应报文到达SWB的Prot 3时，（源MAC地址MAC_SWA，目的MAC地址MAC_PCA）,SWA的MAC地址将被学习到SWB的VLAN 10中，SWB会给报文添加Tag，VLAN ID为10 （默认端口的端口ID）,然后以"MAC_PCA+VLAN 10"为条件去查询MAC地址。由于找不到对应的表项，该报文会在VLAN 10内广播，并最终从Port1和Port 2中转发出去。

同理每次上行和下行的报文，都需要广播才能到达目的地。当Secondary VLAN 和Primary VLAN包含的端口较多时，这样的处理方式会占用大量的带宽资源，大大降低了交换机的转发性能，而且不安全（广播报文容易被截获和侦听）。通过MAC地址同步机制可以解决这个问题。

Primary VLAN的MAC 地址同步机制有如下两种：
1、Secondary VLAN到Primary VLAN的同步，即下行端口在Secondary VLAN内学习到的MAC地址都同步到Primary VLAN内，而出端口则保持不变。
2、Primary VLAN 到 Secondary VLAN内步，即上行端口在Primary VLAN学习到的MAC地址同步到所有的Secondary VLAN内，而出端口则保持不变。

缺点：
当Primary VLAN 下面配置了很多Secondary VLAN，MAC地址同步后，将导致MAC地址表过于庞大，进而影响设备的转发性能。同时考虑到用户的下行流量要远远大于上行流量，下行流量需要进行单播，上行流量可以进行广播。所以Secondary VLAN到primary VLAN的同步被所有产品均支持，而Primary VLAN到second VLAN的同步只被部分产品不支持。

转载，原文链接：https://blog.csdn.net/zhynet000001/article/details/105527438/