在交换式以太网诞生之初。主机之间通过透明网桥在2层直接完成交换，过程简单且速度很快，但会引起广播风暴的问题。为限制广播风暴，可以通过路由器对网络进行分段，这在一定程度上改善了网络性能，然而随着网络规模的日益扩大，单纯地依靠增加路由器数量来优化网络的做法显得成本太高。VLAN的出现改善了这一局面，通过使用VLAN，主机之间从第2层隔被离开，通常的做法是给每个VLAN配置一个IP子网，VLAN间的通信可以通过3层交换机或路由器来完成，现在绝大多数的园区网都是这么规划和配置的。

    在网络安全问题越来越突出的形式下，主机或服务器经常需要在链路层完全隔离(对于链路层通信的独立性要求越来越高)，此时，VLAN和IP子网—对应的网络模型表现出了在可扩展方面的局限性，比如：VLAN数目的限制，IP地址的紧缺、路由的限制等。

    PVLAN(Private VLAN，即私有VLAN，也叫专有VLAN)可以很好地解决上述问题，它可以使交换机的端口属于不同VLAN，但使用同一网段的地址，从本质上来说，PVLAN是一种允许在一个IP子网下划分多个VLAN的技术，它隔断了主机在2层上的通信，却允许所有的主机与同一个网关进行3层上的通信。

一、PVLAN技术

 

    一个PVLAN可包含一个主VLAN(Primary VLAN)和多个从VLAN(Secondary VLAN)。处于主VLAN中的交换机端口叫做混杂端口(Promiscuous port)；从VLAN有两种类型：公共VLAN和孤立VLAN，处于公共VLAN中的交换机端口叫做公共端口(Community port)，处于孤立VLAN中的交换机端口叫做孤立端口(Isolated port)；从VLAN必须和主VLAN建立关联关系后才能正常工作，PVLAN实际上是指建立了关联关系后的一个主VLAN和多个从VLAN的组合体，通常情况下，一个PVLAN可以包含多个公共VLAN，但只能包含一个孤立VLAN，各种类型的端口之间的互访关系可以用图1来说明，

 

 

图1：三种类型的端口之间的互访联系

二、PVLAN在DCS-3926s交换机下的实现

    下面以神州数码的DCS-3926s交换机为例，介绍PVLAN的具体配置方法和配置过程。

    实验拓扑图如图2所示，共需交换机一台，PC机5台，5类UTP直通线5条。

 

 

图2：实验拓扑图

    实验中，将PCI划至混杂端口中，PC2和PC3划至公共端口中，PC4和PC5划至孤立端口中，通过两两执行Ping命令验证PVLAN对于数据通信的控制作用，具体的VLAN配置和PC配置情况参见图2和图3。

 

 

图4：PC配置

    配置过程的一些关键步骤如下：

    第一步：创建PVLAN的各种成员VLAN

    Switch(config) # vlan 100

    Switch(config-vlan 100) # private-vlan primary

    Switch(config-vlan100) # exit

    Switch(config) # vlan 200

    Switch(config-vlan 200) # private-vlan community

    Switch(config-vlan 200) # exit

    Switch(config) # vlan 300

    Switch(config-vlan 300) # private-vlan isolated

    Switch(config-vlan 300) # exit

    第二步：做VLAN之间的关联

    Switch(config) # vlan 100

    Switch(config-vlan 100) # private-vlan association  200；300

    Switch(config-vlan 100) # exit

    第三步：给VLAN添加端口

    Switch(config) # vlan 100

    Switch(config-vlan 100) # switchport interface ethernet 0/0/1/-8

    Switch(config-vlan 100) # vlan 200

    Switch(config-vlan 200) # switchport interface ethernet 0/0/9-16

    Switch(config-vlan 200) # vlan 300

    Switch(config—vlan300) # switchport interface etherne 0/O/17-24

    PVLAN是在VLAN发展过程中出现的一种新技术，它由Cisco最先提出，至今为止并没有被IEEE组织标准化，相应的功能也一般也只能在交换机上实现。

    目前很多厂商生产的交换机都支持PVLAN，它在解决通信安全，防止广播风暴，防止IP地址浪费、优化网络结构等方面的优势非常明显，而且PVLAN在交换机上的配置也相对简单，以上特性使得PVLAN技术可以应用在具有多个部门、多种安全级别的企业环境中。