SVLAN,CVLAN,PVLAN区别

在传统VLAN技术上发展出几种不一样的扩展技术---
PVLAN (Private VLAN）、SuperVLAN、SVLAN（Stack VLAN）
Primary vlan, Isolated PVLAN，Community PVLAN是属于PVLAN(Private VLAN)的观念
楼主谈的SVLAN,CVLAN,PVLAN是属于SVLAN(Stack VLAN)的观念
应该要从Q-in-Q工作原理来看：QinQ采用的是层次化VLAN技术区分用户和运营商的VLAN：C-VLAN和P-VLAN(S-VLAN)，数据在私网中传输时带一个私网的tag，定义为C －VLAN Tag (Customer VLAN tag=用户VLAN)，数据进入到服务商的骨干网后，在打上一层公网的VLAN tag，定义为P－VLAN Tag(Service Provider VLAN tag=S-VLAN=SPVLAN=服务商VLAN)。

到目的私网后再把P－VLAN Tag剥除，为用户提供了一种较为简单的二层VPN隧道。

SVLAN=Stack VLAN(就是所谓的QinQ)
CVLAN=Customer VLAN =用户VLAN
PVLAN =SVLAN=Service Provider VLAN =SPVLAN=服务商VLAN
VLAN:一个VLAN就是一个广播域,用一个标签来表示.(802.1q 标准定义,在以太网ethernetII/802.3的SA后加面增加4字节用来给这个以太网帧打标签和优先级值)
PVLAN:private vlan,VLAN的一种应用,是完全从实际应用角度而言的,用以实现一个VLAN 内的用户之间有些能通信,有些不能通信,但这个VLAN里的所有用户都能通过同一个端口出去或者访问服务器这样一个实际需求包含primary VLAN,isolated VLAN和communicate VLAN,其中isloate VLAN和communicate VLAN绑定在primary VLAN上,isolated PVLAN内的用户之间互相隔离,但可以和primary vlan内的Promiscuous port通信, communicate PVLAN 内的用户之间可以互相通信,也能与primary vlan内的Promiscuous port通信.
SVLAN和CVLAN: Service provider VLAN和customer VLAN,由802.1ad定义, QinQ,在一个VLAN里再增一层标签,成为双标签的VLAN,外层的就是SVLAN,内层的就是CVLAN
你提出的最后一个问题:"这三者SVLAN、PVLAN、CVLAN之间是否可以配合使用"
当一个交换机启用double tagging mode也即802.1q tunneling的时候,用户数据包自身携带VID的就是CVLAN,进入交换机后,会被再打上一层标签SVLAN,成为一个双标签的数据,如果用户是ungtagged的数据包,交换机可以打上两层标签,内层打上端口的PVID成为CVLAN,外层打上SPVLAN.还可以是直接接把PVID作为SPVLAN,成为单标签数据.交换机处理时可以根据内层标签也可以根据外层标签,交换机不同可以有不同的实现方式.
SVLAN和CVLAN是孪生兄弟，相对的概念，就是配合使用的，PVLAN是802.1q的应用方式，而VLAN和SLV AN能共存在，所以这三者完全可以配合使用。

要看交换机的实现功能。

svlan Setentry 指令
语句：
192.168.1.1 vlan1q] svlan setentry [vid] [port#] [ad_control] [tag_control]
这里:
[vid] = vlan id 合法参数= [1 – 4094].
[port#] = 桥接端口号合法参数范围= [1–9].
[ad_control] = 注册员管理控制标志合法参数= [fixed，forbidden，normal].
选择fixed在该[vid]下注册一个[port #]至静态vlan 表
选择normal 在该[vid]下确认一个[port #] 在静态vlan表中选择forbidden在该[vid]下取消[port #] 在vlan注册表里的注册
[tag_control] = 标记控制标志.合法参数= [tag, untag].
选择tag ，为外出帧做标记如果您不想为外出帧做标记，选择untag
这个指令增加或修改静态vlan表中的一个条目. 使用svlan list 指令显示您的配置.下面是一个配置的例子.
修改一个静态vlan表的例子
下面是一个如何修改静态vlan表的例子:
1. 19
2.168.1.1 vlan1q] svlan setentry 3 3 fixed untag
2. 192.168.1.1 vlan1q] svlan setentry 2 2 fixed untag
3. 192.168.1.1 vlan1q] svlan setentry 1 1 fixed tag
4. 192.168.1.1 vlan1q] svlan list
下图中的箭头指向表格中被上面指令修改的行:
图10.3 示例: svlan list 指令显示
传送过程示例:
交换机使用svlan 作帧传送决定.
首先交换机对照mac过滤数据库检查帧头的mac地址.
接下来检查标记帧的vlan id (vid) 或分配临时的vid给未标记帧(参阅pvid ).
然后交换机对照svlan表检查帧的标记.
交换机记下svlan表的说明（svlan 告诉交换机是否传送一个帧，如果传送，那么是否要为帧作标记）.
然后交换机应用端口过滤最后决定是否传送.也就是说即使svlan 说传送帧，它们仍有可能被丢弃.假如adsl cpe设备不接受标记帧，帧同样会被丢弃.
下图说明了一个广播帧作传送决定的流程:
图10.4 svlan 示例
从lan进入一个未标记帧.
交换机检查pvid 表并分配一个临时vid 1.
交换机忽视port# 1 （帧进入的lan端口），因为交换机不会将帧送到它进入的端口.
交换机看到port # 2, 3, 4, 6, 8和9 (adsl port1, 2, 3, 5, 7 和9) 都被设置成“fixed”和“untag”，这表示svlan 允许没有标记的帧传送到这些端口.
port # 5 是“forbidden”，因此帧不会被传送到adsl port # 4.
port # 7 (adsl port 6) 是“normal”，这意味着它是动态进入的，因此该帧当port # 7在dvlan 表中有注册时允许被传送至port # 7.
检查完svlan后，交换机看到端口过滤设置port 1（局域网端口）传送帧至所有adsl端口，因此交换机传送任何svlan允许的东西.
请注意交换机也将帧送至“cpu”（交换机本身），因为交换机是vlan的一个成员. 交换机一次只能成为一个vlan的成员
cisco的PVLAN意思是private vlan，而VLAN二层转发里面的PVLAN意思是primary vlan。

SVLAN：
通过在以太帧中堆叠两个802.1Q包头，有效地扩展了VLAN数目，使VLAN的数目最多可达4096x4096个。

同时，多个VLAN能够被复用到一个核心VLAN中。

MSP通常为每个客户建立一个VLAN模型，用通用属性注册协议/通用VLAN注册协议自动监控整个主干网络的VLAN，并通过扩展生成树协议来加快网络收敛速度，从而为网络提供弹性。

SVLAN技术作为初始的解决方案是不错的，但随着用户数量的增加，SVLAN模型也会带来可扩展性的问题。

因为有些用户可能希望在分支机构间进行数据传输时可以携带自己的VLAN ID，这就使采用SVLAN技术的MSP面临以下两个问题：第一，第一名客户的VLAN标识可能与其他客户冲突；第二，服务提供商将受到客户可使用标识数量的严重限制。

如果允许用户按他们自己的方式使用各自的VLAN ID空间，那么核心网络仍存在4096个VLAN的限制。

PVLAN：
所有服务器在同一个子网中，但服务器只能与自己的默认网关通信。

这一新的VLAN特性就是专用VLAN。

在Private VLAN的概念中，交换机端口有三种类型：Isolated port，Community port, Promisc-uous port；它们分别对应不同的VLAN类型：Isolated port属于Isolated PVLAN，Community port属于Community PVLAN，而代表一个Private VLAN整体的是Primary VLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuous port。

在Isolated PVLAN中，Isolated port只能和Promiscuous port通信，彼此不能交换流量；在Community PVLAN中，Community port不仅可以和Promiscuous port通信，而且彼此也可以交换流量。

Promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。

PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。

PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。

这样即使同一VLAN 中的用户，相互之间也不会受到广播的影响。

PVID:native vlan SVLAN:Selective VLAN
端口的PVID属性对入端口的报文起作用。

如果是untagged的报文，入端口后打PVID对应标签；如果是tagged报文，交换机根据报文tag指定vlan中转发或则路由；基于端口划分的VLAN中，每个端口都会有一个pvid
端口在某个VLAN中tagged/untageed属性，对出端口的报文起作用。

如果是端口属性为untagged，报文将被剥离标签后出端口；如果端口属性为tagged，报文将带标签从端口输出。

端口链接模式有：
1、访问链接Access Link 只能属于一个VLAN，必须是untagged，pvid就是所属的那个vlan；
2、汇聚链接Trunk link 可以属于多个vlan，端口必须为tagged（需要在各所属vlan中设置），pvid需要设置；
3、混合链接hybird 可以属于多个vlan，端口为tagged或者untagged（需要在各所属vlan 中设置），
但是一个vlan 不能同时在某个端口既设置成tagged 由设置成untagged
VLAN:一个VLAN就是一个广播域,用一个标签来表示.(802.1q 标准定义,在以太网ethernetII/802.3的SA后加面增加4字节用来给这个以太网帧打标签和优先级值) PVLAN:private
vlan,VLAN的一种应用,是完全从实际应用角度而言的,用以实现一个VLAN内的用户之间有些能通信,有些不能通信,但这个VLAN里的所有用户都
能通过同一个端口出去或者访问服务器这样一个实际需求包含primary VLAN,isolated VLAN和communicate
VLAN,其中isloate VLAN和communicate VLAN绑定在primary VLAN上,isolated
PVLAN内的用户之间互相隔离,但可以和primary vlan内的Promiscuous port通信, communicate
PVLAN内的用户之间可以互相通信,也能与primary vlan内的Promiscuous port通信. SVLAN和CVLAN: Service provider VLAN和customer VLAN,由802.1ad定义, QinQ,在一个VLAN里再增一层标签,成为双标签的VLAN,外层的就是SVLAN,内层的就是CVLAN
你提出的最后一个问题:"这三者SVLAN、PVLAN、CVLAN之间是否可以配合使用"
当一个交换机启用double tagging mode也即802.1q
tunneling的时候,用户数据包自身携带VID的就是CVLAN,进入交换机后,会被再打上一层标签SVLAN,成为一个双标签的数据,如果用户是
ungtagged的数据包,交换机可以打上两层标签,内层打上端口的PVID成为CVLAN,外层打上SPVLAN.还可以是直接接把PVID作为
SPVLAN,成为单标签数据.交换机处理时可以根据内层标签也可以根据外层标签,交换机不同可以有不同的实现方式.
SVLAN和CVLAN是孪生兄弟，相对的概念，就是配合使用的，PVLAN是802.1q的应用方式，而VLAN和SLV AN能共存在，所以这三者完全可以配合使用。

要看交换机的实现功能。