了解专用 VLAN

在以下部署场景中，隔离单个 VLAN 的需求特别有用：

• 服务器场 - 典型的 Internet 服务提供商使用服务器场为众多客户提供 Web 托管服务。将各种服务器放置在单个服务器场中便于管理。如果所有服务器都在同一 VLAN 中，则会出现安全性问题，因为第 2 层广播会传输到 VLAN 中的所有服务器。

• 城域以太网网络 — 城域服务提供商为各式各样的住宅、租赁社区和企业提供第 2 层以太网访问。传统解决方案是每个客户部署一个 VLAN，不可扩展且难以管理，导致潜在的 IP 地址浪费。PVLAN 提供了更安全、更高效的解决方案。

PVLAN 可以在单个交换机上配置，也可以配置为跨多个交换机。域和端口的类型包括：

• 主 VLAN — PVLAN 的主 VLAN 使用完整 PVLAN 的 802.1Q 标记 （VLAN ID） 定义。主 PVLAN 可以包含多个辅助 VLAN（一个隔离 VLAN 和多个社区 VLAN）。

• 隔离 VLAN/隔离端口 — 一个主 VLAN 只能包含一个隔离 VLAN。隔离 VLAN 中的接口只能将数据包转发到混合端口或交换机间链路 （ISL） 端口。隔离接口不能将数据包转发到另一个隔离接口;隔离接口无法接收来自另一个隔离接口的数据包。如果客户设备 只需要 访问网关路由器，则必须将设备连接到隔离的中继端口。

• 社区 VLAN/社区端口 — 您可以在单个 PVLAN 中配置多个社区 VLAN。特定社区 VLAN 内的接口可与属于同一社区 VLAN 的任何其他接口建立第 2 层通信。社区 VLAN 中的接口也可以与混合端口或 ISL 端口进行通信。例如，如果您有两台客户设备，需要与其他客户设备隔离，但必须能够相互通信，请使用公共端口。

• 混合端口 — 混合端口与 PVLAN 中的所有接口进行第 2 层通信，无论接口属于隔离 VLAN 还是社区 VLAN。混合端口是主 VLAN 的成员，但不包含在任何辅助子域中。第 3 层网关、DHCP 服务器和其他需要与端点设备通信的可信设备通常连接到混合端口。

• 交换机间链路 （ISL） — ISL 是连接 PVLAN 中的多台交换机并包含两个或多个 VLAN 的中继端口。仅当 PVLAN 跨越多台交换机时才需要。

配置的 PVLAN 是 主 域（主 VLAN）。在 PVLAN 中，您可以配置 辅助 VLAN，这些 VLAN 将成为嵌套在主域中的子域。PVLAN 可以在单个交换机上配置，也可以配置为跨多个交换机。 图 1 中所示的 PVLAN 包括两台交换机，一个是主 PVLAN 域，另一个是多个子域。

如 图 3 所示，PVLAN 只有一个主域和多个辅助域。域的类型包括：

• 主 VLAN — 用于将帧下游转发到隔离和社区 VLAN。PVLAN 的主 VLAN 是使用用于完整 PVLAN 的 802.1Q 标记 （VLAN ID） 定义的。主 PVLAN 可以包含多个辅助 VLAN（一个隔离 VLAN 和多个社区 VLAN）。

• 辅助隔离 VLAN — 仅从主 VLAN 接收数据包并将帧上游转发至主 VLAN。隔离 VLAN 是嵌套在主 VLAN 内的辅助 VLAN。一个主 VLAN 只能包含一个隔离的 VLAN。隔离 VLAN（隔离接口）中的接口只能将数据包转发到混合端口或 PVLAN 中继端口。隔离接口不能将数据包转发到另一个隔离接口;隔离的接口也不能从另一个隔离接口接收数据包。如果客户设备 只需要 访问路由器，则必须将设备连接到隔离的中继端口。

• 辅助交换机间隔离 VLAN — 用于通过 PVLAN 中继端口将隔离 VLAN 流量从一台交换机转发到另一台交换机的 VLAN。交换机间隔离 VLAN 需要 802.1Q 标记，因为 IEEE 802.1Q 使用内部标记机制，中继设备通过该机制将 4 字节 VLAN 帧识别选项卡插入数据包标头。交换机间隔离 VLAN 是嵌套在主 VLAN 内的辅助 VLAN。

• 辅助社区 VLAN — 用于在社区成员（VLAN 内的用户子集）之间传输帧，以及将帧上游转发到主 VLAN。社区 VLAN 是嵌套在主 VLAN 内的辅助 VLAN。您可以在单个 PVLAN 中配置多个社区 VLAN。特定社区 VLAN 内的接口可与属于同一社区 VLAN 的任何其他接口建立第 2 层通信。社区 VLAN 中的接口还可以与混合端口或 PVLAN 中继端口进行通信。

图 2 显示了跨多个交换机的 PVLAN，其中主 VLAN （100） 包含两个社区域和 (300 400） 和一个交换机间隔离域。

注意：

主 VLAN 和辅助 VLAN 计数在 QFX 系列上支持的 4089 个 VLAN 上限中。例如， 图 2 中的每个 VLAN 都计入此限制。

配置的 PVLAN 成为主域，辅助 VLAN 成为嵌套在主域内的子域。可以在单个路由器上创建 PVLAN。 图 3 所示的 PVLAN 包括一个路由器，带有一个主 PVLAN 域和多个辅助子域。

域的类型包括：

• 主 VLAN — 用于将帧下游转发到隔离和社区 VLAN。

• 辅助隔离 VLAN — 仅从主 VLAN 接收数据包并将帧上游转发至主 VLAN。

• 辅助交换机间隔离 VLAN — 用于通过 PVLAN 中继端口将隔离 VLAN 流量从一台路由器转发到另一台路由器的 VLAN。

• 辅助社区 VLAN — 用于在社区成员（VLAN 中的用户子集）之间传输帧，以及将帧上游转发到主 VLAN 的 VLAN。

注意：

MX80 路由器、增强型 LAN 模式中带有 DPC 的 MX240、MX480 和 MX960 路由器以及具有 MPC1、MPC2 和自适应服务 PIC 的 MX 系列 路由器支持 PVLAN。

注意：

PVLAN 的主 VLAN 是使用用于完整 PVLAN 的 802.1Q 标记 （VLAN ID） 定义的。在 EX9200 交换机上，还必须使用自己单独的 VLAN ID 来定义每个辅助 VLAN。

图 4 显示了单个交换机上的 PVLAN，其中主 VLAN （VLAN 100） 包含两个社区 VLAN（VLAN 300 和 VLAN 400）和一个隔离 VLAN （VLAN 50）。

图 5 显示了跨多个交换机的 PVLAN，其中主 VLAN （VLAN 100） 包含两个社区 VLAN（VLAN 300 和 VLAN 400）和一个隔离 VLAN （VLAN 200）。它还显示交换机 1 和 2 通过交换机间链路（PVLAN 中继链路）连接。

此外， 图 4 和 图 5 所示的 PVLAN 使用连接到路由器的混合端口，作为在社区和隔离 VLAN 之间路由第 3 层流量的方法。您可以在 图 4 中的交换机或 图 5 中的其中一台交换机上配置 RVI（在某些 EX 交换机上），而不是使用连接到路由器的混合端口。

要在隔离 VLAN 和社区 VLAN 之间路由第 3 层流量，您必须将路由器连接到混合端口（如 图 4 和 图 5 所示），或者配置 RVI。

如果选择 RVI 选项，则必须为 PVLAN 域中的主 VLAN 配置一个 RVI。无论域是否包含一台或多台交换机，此 RVI 为整个 PVLAN 域提供服务。配置 RVI 后，辅助 VLAN 接口接收的第 3 层 数据包将映射到 RVI 并由 RVI 路由。

设置 RVI 时，还必须启用代理地址解析协议 （ARP），以便 RVI 可以处理辅助 VLAN 接口接收的 ARP 请求。

有关在单个交换机和多个交换机上配置 PVLAN 的信息，请参阅 在单个 EX 系列交换机上创建专用 VLAN （CLI 过程）。有关配置 RVI 的信息，请参阅 在 EX 系列交换机上的专用 VLAN 中配置路由 VLAN 接口。

要在隔离 VLAN 和社区 VLAN 之间路由第 3 层流量，必须将外部路由器或交换机连接到主 VLAN 的中继端口。主 VLAN 的中继端口是 混合 端口;因此， 它可以与 PVLAN 中的所有端口进行通信。

当数据包标有客户特定的 802.1Q 标记时，该标记将标识网络中所有交换机或路由器的数据包所有权。有时，PVLAN 中需要 802.1Q 标记来跟踪来自不同子域的数据包。 表 1 显示了主 VLAN 或辅助 VLAN 何时需要 VLAN 802.1Q 标记。

表 1：PVLAN 中的 VLAN 何时需要 802.1Q 标记

	在一台交换机上	在多台交换机上
主 VLAN	通过设置 VLAN ID 指定 802.1Q 标记。	通过设置 VLAN ID 指定 802.1Q 标记。
辅助 VLAN	VLAN 上无需标记。	VLAN 需要 802.1Q 标记： 通过设置 VLAN ID，为每个社区 VLAN 指定一个 802.1Q 标记。 通过设置隔离 ID 为隔离 VLAN ID 指定 802.1Q 标记。

PVLAN 提供 IP 地址保护和 IP 地址的高效分配。在典型网络中，VLAN 通常对应于单个 IP 子网。在 PVLAN 中，所有辅助 VLAN 中的主机都属于同一个 IP 子网，因为子网已分配给主 VLAN。系统会根据与主 VLAN 关联的 IP 子网，为辅助 VLAN 中的主机分配 IP 地址，其 IP 子网屏蔽信息会反映主 VLAN 子网的信息。但是，每个辅助 VLAN 都是一个单独的广播域。

PVLAN 最多可使用六种不同的端口类型。图 2 中所示的网络使用混合端口将信息传输到路由器，使用社区端口将财务和人力资源社区连接到各自的交换机，使用隔离端口连接服务器，以及使用PVLAN中继端口连接两台交换机。PVLAN 端口有不同的限制：

• 混合中继端口 — 混合端口与 PVLAN 中的所有接口进行第 2 层通信，无论该接口属于隔离 VLAN 还是社区 VLAN。混合端口是主 VLAN 的成员，但不包含在其中一个辅助子域中。第 3 层网关、DHCP 服务器和其他需要与端点设备通信的可信设备通常连接到混合端口。

• PVLAN 中继链路 — 仅当 PVLAN 配置为跨越多台交换机时，才需要 PVLAN 中继链路（也称为交换机间链路）。PVLAN 中继链路连接组成 PVLAN 的多台交换机。

• PVLAN 中继端口 — 在多交换机 PVLAN 配置中，需要一个 PVLAN 中继端口来跨越交换机。PVLAN 中继端口是 PVLAN 内所有 VLAN（即主 VLAN、社区 VLAN 和交换机间隔离 VLAN）中的成员，它传输来自主 VLAN 和所有辅助 VLAN 的流量。它可以与隔离端口以外的所有端口通信。

  PVLAN 中继端口与隔离端口之间的通信通常是单向的。PVLAN 中继端口在交换机间隔离 VLAN 中的成员资格仅用于出口，这意味着隔离端口可以将数据包转发到 PVLAN 中继端口，但 PVLAN 中继端口不会将数据包转发到隔离端口（除非数据包通过混合访问端口进入，因此被转发到与混合端口相同的主 VLAN 中的所有辅助 VLAN）。

• 辅助 VLAN 中继端口（未显示）— 辅助中继端口承载辅助 VLAN 流量。对于给定的专用 VLAN，一个备用 VLAN 中继端口只能承载一个备用 VLAN 的流量。但是，只要每个辅助 VLAN 都是不同主 VLAN 的成员，辅助 VLAN 中继端口就可以承载多个辅助 VLAN 的流量。例如，辅助 VLAN 中继端口可以为作为主 VLAN pvlan100 一部分的社区 VLAN 传输流量，也可以为作为主 VLAN pvlan400 一部分的隔离 VLAN 传输流量。

• 社区端口 - 社区端口之间以及与其混合端口进行通信。社区端口仅为一组选定的用户提供服务。这些接口在第 2 层与其他社区中的所有其他接口或其 PVLAN 中的隔离端口分离。

• 隔离接入端口 — 隔离端口仅与混合端口和 PVLAN 中继端口具有第 2 层连接 — 即使这两个端口是同一个隔离 VLAN（或交换机间隔离 VLAN）域的成员，隔离端口也无法与其他隔离端口通信。通常，服务器（如邮件服务器或备份服务器）连接在隔离端口上。在酒店中，每个房间通常都通过一个隔离的端口进行连接，这意味着无法进行房间到房间之间的通信，但每个房间都可以通过混合端口访问互联网。

• 混合访问端口（未显示） — 这些端口传输未标记的流量。进入混合访问端口的流量将被转发至设备上的所有辅助 VLAN 端口。如果流量通过启用 VLAN 的端口进入设备，并通过混合接入端口发出，则流量在出口时不带标记。如果标记的流量进入混合接入端口，则该流量将被丢弃。

• 交换机间链路端口 — 交换机间链路 （ISL） 端口是当 PVLAN 跨越两台路由器时连接两台路由器的中继端口。ISL 端口是 PVLAN 内所有 VLAN 中的成员（即，主 VLAN、社区 VLAN 和隔离 VLAN）。

  ISL 端口和隔离端口之间的通信是单向的。交换机间隔离 VLAN 中的 ISL 端口成员资格仅用于出口，这意味着 ISL 端口上的传入流量永远不会分配给隔离 VLAN。隔离端口可以将数据包转发到 PVLAN 中继端口，但 PVLAN 中继端口不能将数据包转发到隔离端口。 表 3 总结了不同类型的端口之间是否存在第 2 层连接。

表 2 总结了支持 ELS 的 EX 系列交换机上 PVLAN 内不同类型端口之间的第 2 层连接。

表 2：支持 ELS 的 EX 系列交换机上的 PVLAN 端口和第 2 层转发

从端口类型	隔离端口？	到混合端口？	社区港口？	切换至交换机间链路端口？
隔离	拒绝	允许	拒绝	允许
混合	允许	允许	允许	允许
社区 1	拒绝	允许	允许	允许

表 3：PVLAN 端口和第 2 层连接

端口类型	混合中继	PVLAN 中继	辅助中继	社区	隔离访问	混合访问
混合中继	是	是	是	是	是	是
PVLAN 中继	是	是	是	是——仅限同一个社区	是	是
辅助中继	是	是	否	是	否	是
社区	是	是	是	是——仅限同一个社区	否	是
隔离访问	是	是 — 仅限单向	否	否	否	是
混合访问	是	是	是	是	是	否

表 4 总结了 PVLAN 内不同类型的端口之间是否存在第 2 层连接。

表 4：不支持 ELS 的 EX 系列交换机上的 PVLAN 端口和第 2 层连接

端口类型 收件人：→ 发件人：↓	混合	社区	隔离	PVLAN 中继	RVI
混合	是	是	是	是	是
社区	是	是——仅限同一个社区	否	是	是
隔离	是	否	否	是 注意： 这种通信是单向的。	是
PVLAN 中继	是	是——仅限同一个社区	是 注意： 这种通信是单向的。	是	是
RVI	是	是	是	是	是

如 表 4 所示，隔离端口与 PVLAN 中继端口之间的第 2 层 通信是单向的。也就是说，隔离端口只能向 PVLAN 中继端口发送数据包，PVLAN 中继端口只能从隔离端口接收数据包。相反，PVLAN 中继端口无法向隔离端口发送数据包，并且隔离端口无法从 PVLAN 中继端口接收数据包。

注意：

如果在主 VLAN 上启用 no-mac-learning ，则 PVLAN 中的所有隔离 VLAN（或交换机间隔离 VLAN）都将继承该设置。但是，如果想要在任何社区 VLAN 上禁用 MAC 地址学习，则必须在每个 VLAN 上进行配置 no-mac-learning 。

图 6 所示的流程图让您大致了解创建 PVLAN 的过程。如果按所示顺序完成配置步骤，则不会违反这些 PVLAN 规则。（在 PVLAN 规则中，配置 PVLAN 中继端口仅适用于跨多个路由器的 PVLAN。）

• 主 VLAN 必须是带标记的 VLAN。

• 如果要配置公共组 VLAN ID，则必须先配置主 VLAN。

• 如果要配置隔离 VLAN ID，则必须先配置主 VLAN。

注意：

不支持在 PVLAN 接口上配置 IP 语音 （VoIP） VLAN。

在单个路由器上配置 VLAN 相对简单，如 图 6 所示。

配置主 VLAN 包含以下步骤：

1. 配置主 VLAN 名称和 802.1Q 标记。

2. 在主 VLAN 上设置无本地交换。

3. 配置混合中继端口和接入端口。

4. 将混合中继端口和接入端口设为主 VLAN 的成员。

在主 VLAN 中，您可以配置辅助社区 VLAN 或辅助隔离 VLAN，或同时配置两者。配置辅助社区 VLAN 包含以下步骤：

1. 使用常规流程配置 VLAN。

2. 为 VLAN 配置接入接口。

3. 将主 VLAN 分配给社区 VLAN，

当隔离 VLAN 具有接入接口作为成员，并且在主 VLAN 上启用了无 本地交换 选项时，系统会在内部创建隔离 VLAN。

交换机间隔离 VLAN 需要 802.1Q 标记，因为 IEEE 802.1Q 使用内部标记机制，中继设备通过该机制将 4 字节 VLAN 帧识别选项卡插入数据包标头。

中继端口仅适用于多路由器 PVLAN 配置 — 中继端口传输来自主 VLAN 和所有辅助 VLAN 的流量。

• 一个接入接口只能属于一个 PVLAN 域，也就是说，它不能加入两个不同的主 VLAN。

• 只要辅助 VLAN 在两个 不同的 主 VLAN 中，中继接口就可以是两个辅助 VLAN 的成员。中继接口不能是 同一 主 VLAN 中的两个辅助 VLAN 的成员。

• 必须在 PVLAN 中包含的所有 VLAN 上配置单个区域的多生成树协议 （MSTP）。

• 不支持 VLAN 生成树协议 （VSTP）。

• 专用 VLAN 不支持 IGMP 侦听。

• 专用 VLAN 不支持路由 VLAN 接口

• 不支持在同一主 VLAN 中的辅助 VLAN 之间进行路由。

• 某些配置语句不能在辅助 VLAN 上指定。您只能在主 PVLAN 上在层次结构级别配置 [edit vlans vlan-name switch-options]以下语句。

• 如果要将主 VLAN 更改为辅助 VLAN，则必须先将其更改为普通 VLAN 并提交更改。例如，您可以按照以下过程操作：

  1. 将主 VLAN 更改为普通 VLAN。

  2. 提交配置。

  3. 将普通 VLAN 更改为辅助 VLAN。

  4. 提交配置。

  如果要将辅助 VLAN 更改为主 VLAN，请遵循相同的提交顺序。也就是说，将辅助 VLAN 设为普通 VLAN 并提交该更改，然后将普通 VLAN 更改为主 VLAN。

在支持 ELS 配置样式的 Junos OS 交换机上的 PVLAN 上 ，不 支持以下功能：

• 出口 VLAN 防火墙过滤器

• 以太网环保护 （ERP）

• 灵活的 VLAN 标记

• 全局 MAC 统计信息

• 多机箱链路聚合组 （MC-LAG）

• 端口镜像

• Q-in-Q 隧道

• VLAN 生成树协议 （VSTP）

• IP 语音 （VoIP）

您只能在主 PVLAN 上的层次结构级别配置 [edit vlans vlan-name switch-options] 以下语句：

• MAC 表大小

• 无 MAC 学习

• MAC 统计信息

• 接口 MAC 限制