pvlan和super vlan

关于PVLAN和Super VLAN
PVLAN即私有VLAN（Private VLAN），PVLAN采用两层VLAN隔离技术，只有上层VLAN全局可见，下层VLAN相互隔离。

如果将交换机或IP DSLAM
设备的每个端口化为一个（下层）VLAN，则实现了所有端口的隔离。

pVLAN通常用于企业内部网，用来防止连接到某些接口或接口组的网络
设备之间的相互通信，但却允许与默认网关进行通信。

尽管各设备处于不同
的pVLAN中，它们可以使用相同的IP子网。

每个pVLAN 包含2种VLAN ：主VLAN（primary VLAN）和辅助VLAN （Secondary VLAN）。

辅助VLAN（Secondary VLAN）包含两种类型：隔离VLAN（isolated VLAN）和团体VLAN（community VLAN）。

pVLAN中的两种接口类型：处在pVLAN中的交换机物理端口，有两种接
口类型。

①混杂端口（Promiscuous Port）
②主机端口（Host Port）
其中“混杂端口”是隶属于“Primary VLAN”的；“主机端口”是隶属
于“Secondary VLAN”的。

因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。

那么由此可知，“主机端口”也分为两类——“isolated端口”和“community端口”。

处于pVLAN中交换机上的一个物理端口要么是“混杂端口”要么是“isolated”端口，要么就是“community”端口。

pVLAN通信范围：
primary VLAN:可以和所有他所关联的isolated VLAN，community VLAN通信。

community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。

（每个pVLAN可
以有多个community VLAN）
isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信，只可以与promiscuous端口通信。

（每个pVLAN中只能有一个isolated VLAN）
pVLAN当中使用的一些规则：
1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”，没有上限。

2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”，可以有多个“Community VLAN”。

3.不同“Primary VLAN”之间的任何端口都不能互相通信（这里“互相通信”是指二层连通性）。

4.“Isolated端口”只能与“混杂端口”通信，除此之外不能与任何其他端口通信。

5.“Community端口”可以和“混杂端口”通信，也可以和同一“Community VLAN”当中的其它物理端口进行通信，除此之外不能和其他端口通信。

交换机是网络的核心设备之一，其技术发展非常迅速，从10Mbit/s以太网、100Mbit/s快速以太网，进而发展到吉比特和10吉比特以太网。

交换机在通信领域和企业中的应用向纵深发展，网络管理人员对掌握专用虚拟局域网PVLAN技术的需求也越来越迫切。

本文通过实践经验对这方面的应用进行总结。

2 VLAN的局限性
随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。

然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。

这些局限主要有下述几方面。

(1)VLAN的限制：交换机固有的VLAN数目的限制；
(2)复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理；
(3)IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费；
(4)路由的限制：每个子网都需要相应的默认网关的配置。

3 PVLAN技术
现在有了一种新的VLAN机制，所有服务器在同一个子网中，但服务器只能与自己的默认网关通信。

这一新的VLAN特性就是专用VLAN(Private VLAN)。

在Private VLAN的概念中，交换机端口有三种类型：Isolated port，Community port, Promiscuous port；它们分别对应不同的VLAN类型：Isolated port属于Isolated PVLAN，Community port属于Community PVLAN，而代表一个Private VLAN整体的是Primary VLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuous port。

在Isolated PVLAN中，Isolated port只能和Promiscuous port通信，彼此不能交换流量；在Community PVLAN中，Community port不仅可以和Promiscuous port通信，而且彼此也可以交换流量。

Promiscuous port 与
路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。

PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN
和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。

PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。

这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。

目前很多厂商生产的交换机支持PVLAN技术，PVLAN技术在解决通信安全、防止广播风暴和浪费IP地址方面的优势是显而易见的，而且采用PVLAN技术有助于网络的优化，再加上PVLAN在交换机上的配置也相对简单，PVLAN 技术越来越得到网络管理人员的青睐。

Super VLAN
Super VLAN又称为VLAN聚合（VLAN Aggregation），其原理是一个Super VLAN包含多个Sub VLAN，每个Sub VLAN是一个广播域，不同Sub VLAN之间二层相互隔离。

Super VLAN可以配置三层接口，Sub VLAN不能配置三层接口。

当Sub VLAN内的用户需要进行三层通信时，将使用Super VLAN三层接口的IP地址作为网关地址，这样多个Sub VLAN共用一个IP网段，从而节省了IP地址资源。

同时，为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通，需要利用ARP代理功能。

通过ARP代理可以进行ARP请求和响应报文的转发与处理，从而实现了二层隔离端口间的三层互通。

super vlan 是节省IP地址的.可以让不同VLAN的网关使用同一个IP.而这个IP就是SUPER VLAN的IP,它是逻辑上的VLAN,它是不需要把端口加到这个VLAN里的,下面的不同的VLAN都可以看做是它的子VLAN,这些子VLAN是物理的,要加端口才能激活的.只要有一个子VLAN是激活的,那么SUPER VLAN就是激活的.
PVLAN 是节省VLAN数的.PVLAN把一个VLAN划分成若干个子VLAN,每个VLAN都是物理的,都是要加入实际的端口才能激活的.
两者是有区别的,应用在不同场合.当目前已经用的比较少了,因为有更先进的QinQ技术,可以给一个数据打2层的VLAN标记.
super vlan 可以实现同一个VLAN 内的端口间的隔离
当然，前提是交换机支持VLAN聚合。

现在一般的三层交换机都支持，
对用户作用也很大。

一旦我们使用VLAN聚合功能，就允许客户端在同一子
网里使用不同的广播域，但是这些客户端使用的还是同一个路由接口，从而
达到增强IP地址利用率的目的。

可以跟VLAN做比较，通常一个VLAN，一个子网，也即一个广播域，一个路由接口（本文中谈的都是三层VLAN），而VLAN聚合则把一个子网段分成地址段，即几个广播域，IP地址和路由接口
都不变，至于子网段之间的通讯与否，可以根据需要设置。

使用VLAN聚合时，超VLAN可以定义一个任意IP地址，但是没有自己
的成员端口，端口都是指定在子VLAN中。

子VLAN作为超VLAN的成员，并
没有自己的IP地址，而是使用超VLAN的IP地址作为自己的路由接口地址。

通常，客户端都是指定在子VLAN内，我们可以在子VLAN中有选择的分配给
一些地址段，前提是这些地址段必须在超VLAN的子网范围内，以便于我们
更好的管理IP地址。

当然，根据需要，我们可以控制各子VLAN之间是否需
要通讯。

我们平时使用时，子VLAN可以很小，但是必须要为今后网络的扩
容而且不重新定义子网的情况留下空间，
假如不使用VLAN聚合，即通常使用VLAN的情况，每个VLAN需要一个
路由接口地址，并且需要大的子网。

结果是不能有效的利用IP地址，造成
浪费。

VLAN聚合是VLAN的一项比较独特的功能，在使用中有如下特性：
●所有广播包和未知流量都局限在子VLAN内部，不会跨越子VLAN边界。

子VLAN内部的所有流量只在子VLAN内部交换，这样可以有效的隔离子VLAN 之间的流量。

●客户端即主机都放置在子VLAN内。

在超VLAN的路由接口地址范围内，每台主机可以任意设置一个IP地址。

在子VLAN内的每台主机的子网掩码都
是和超VLAN定义的子网掩码相同，并且他们的路由地址即网关就是超VLAN
的路由接口地址。

●子VLAN之间的所有流量都是通过超VLAN来路由的。

例如，在子VLAN 间不会有ICMP重定向产生，因为超VLAN为子VLAN进行了路由。

当一个子VLAN加入到超VLAN中时，在IP arp表中会自动加入一个arp表项，这就
使得IP单播包可以穿越子VLAN。

为安全起见，我们可以关闭掉这项功能。

●当超VLAN启用组播路由协议时，子VLAN间的IP组播流量将被路由。

当然，VLAN聚合也有它的局限性：
●子VLAN不能有其他的路由接口，它的路由只能在超VLAN上进行。

●子VLAN不能成为超VLAN。

●子VLAN不能指定IP地址，即路由接口地址。

●通常，超VLAN没有成员端口，除了一些特定场合。

●如果客户机从一个子VLAN移到另一个子VLAN，必须在客户机和交换机上清除IP arp缓存以继续通讯。

通常，我们还可以给每个子VLAN设置地址段，以避免地址段以外的非法客户端进入网络。

但是我们要注意，假如多个子VLAN定义了重复的地址段，交换机并不提供错误检查，从而在超VLAN和子VLAN的arp过程中带来错误。

这一点尤其要注意。

编辑本段实际环境中的应用例举
实质上不同的Sub VLAN仍保留各自独立的广播域，而一个或多个Sub VLAN同属于一个Super VLAN，并且都使用Super VLAN的接口地址为默认网关IP地址。

当不同Sub VLAN中的主机需要相互之间通讯时，需要在Super VLAN开启ARP代理。

VLAN聚合产生了一个更加有效地地址分配体系，这种模式也给网络工程师提供了一种规范的默认网关分配的机制。

VLAN Aggregation具有以下特点：
n 若干个小VLAN（Sub VLAN）同属于一个大VLAN（Super VLAN）。

n Super VLAN对应IPv4子网地址，所有该Super VLAN的Sub VLAN都属于该子网。

n Sub VLAN实现广播域隔离。

n 不同的Sub VLAN仍保留各自独立的广播域，实现同一子网中的广播的隔离，避免广播风暴的产生。

n 同一子网Super VLAN中的不同Sub VLAN互通需要Super VLAN开启arp-proxy。

n 做为Super VLAN的VLAN不能包含端口，做为Sub VLAN的VLAN不能配置ip地址。