思科交换机 PVLAN 技术详解
为了隔离用户之间的报文,传统的办法是给每个用户分配一个 VLAN。
但缺点很多:
为每一个客户提供一个 VLAN,ISP 的设备必须有大量的接口。
随着用户的增多,生成树越来越复杂。
维护多个 VLAN 意味着也要维护多个 ACL,增加了网络配置的复杂度。
VLAN 的可用资源(1-4094)受到挑战,同时造成 IP 资源浪费。
而 PVLAN 可以有效地保障用户数据安全,抑制病毒泛滥,并节省 IP 资
源,有助于网络的优化,带给用户一个安全的网络。
尤其对于某些应用场景,如数据中心,一般虚机之间横向很少通信,主
要是纵向和网关的通信,所以要求每个虚机属于一个 VLAN 降低洪泛时
的广播流量。
这样它能将不同的用户放在隔离 VLAN 中实现客户的二层隔离,这样只
需要一个隔离 VLAN 就可以保证接入网络的数据通信的安全性,这节省
了 VLAN 的数目。
通过给主 VLAN 配置 SVI(在 cisco 交换机中,SVI 就是 VLAN 接口),
所以 PVLAN 共享主 VLAN 的 IP 地址,实现了所有用户与默认网关的连
接,而与 PVLAN 内的其他用户没有任何访问,这样就不用再划分子网
了,一个 FLAT 子网足够。
所 以 说 PVLAN 也 能 节 省 IP 地 址 , 一 个 PVLAN 也 只 能 有 一 个 主
评论0