Discuz! Board

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 33|回复: 0

常识RG-S8600系列交换机PVLAN技术解析

[复制链接]

20万

主题

0

回帖

61万

积分

超级版主

Rank: 8Rank: 8

积分
614312
发表于 2024-12-13 22:21:32 | 显示全部楼层 |阅读模式

随着以太技术的不断成熟,LAN①接入方式逐步被运营商所接受,从而成为一种重要的宽带接入解决方案,逐渐在接入(如园区,宽带小区,企业接入和主机托管业务等)中得到普及。现在的许多接入采用普通的VLAN②技术来解决接入络的安全性问题,通过给每个客户分配一个VLAN和相关的IP子,将每个客户从第2层隔离开,来防止计算机病、以太信息探听、黑客入侵等恶意行为。然而,由于交换机固有的VLAN数目的限制以及IP子的划分势必造成一些IP地址的浪费,这种分配每个客户单一VLAN和IP子的模型存在很大的局限。

PVLAN③的应用通过将不同的客户放在隔离VLAN中现了客户的二层隔离,只需要一个隔离VLAN就可以保证了接入络的数据通信的安全性,节省了VLAN的资源;通过给主VLAN配置S④,所有PVLAN共享主VLAN的IP地址,现了所有用户与默认关的连接,而与PVLAN内的其他用户没有任何访问,避免了IP子的划分。通过应用PVLAN技术能够在节省VLAN与IP地址资源的情况下很好地解决接入络的安全性问题。

PrivateVLAN专用虚拟局域,是一种从际应用出发提出的VLAN划分方式。PVLAN采用两层VLAN隔离技术,上层PrimaryVLAN全局可见,下层SecondaryVLAN相互隔离。SecondaryVLAN不仅提供不同端口间隔离的VLAN,同时提供同一个VLAN中端口间的隔离。所有接入PVLAN的用户通过PrimaryVLAN出去或者访问服务器,现了不同VLAN的端口可以使用相同段的地址。从本质上来说PVLAN就是一种允许在一个IP子下划分多个VLAN的技术,它隔断了主机在2层上的通信,却允许所有的主机与同一个关进行3层上的通信。因此PVLAN真正现了不需要多个VLAN和IP子就能够提供具备二层数据通信安全性的连接。

PVLAN将一个VLAN的二层广播域划分成多个子域,每个子域都由一个私有VLAN对组成:主VLAN(PrimaryVLAN)和辅助VLAN(SecondaryVLAN)。


图1PVLAN域

一个私有VLAN域可以有多个私有VLAN对,每一个私有VLAN对代表一个子域。在一个私有VLAN域中所有的私有VLAN对共享同一个主VLAN。每个子域的辅助VLANID不同。

一个私有VLAN域中只有一个主VLAN,辅助VLAN现同一个私有VLAN域中的二层隔离,有两种类型的辅助VLAN:

隔离VLAN(IsolatedVLAN):同一个隔离VLAN中的端口不能互相进行二层通信。一个私有VLAN域中只有一个隔离VLAN。
群体VLAN(CommunityVLAN):同一个群体VLAN中的端口可以互相进行二层通信,但不能与其它群体VLAN中的端口进行二层通信。一个私有VLAN域中可以有多个群体VLAN。
当接入有大量不同用户时,为了保证各个用户的络安全,一般使用VLAN技术对用户的二层报文进行隔离,以防止以太信息嗅探,黑客攻击,病传播等恶意行为,但由于VLAN的资源有限,比较大数目为4094个,此时就可以通过PVLAN的方式来现。例如,在电信的主机托管业务中,将不同企业的服务器放在隔离VLAN中,服务器只能与自己的默认关通信,不同企业的服务器之间相互隔离,若企业使用多台服务器则将这些服务器放在群体VLAN中,即可现与其他VLAN的服务器的隔离,同VLAN服务器之间的相互通信以及与自己的默认关通信。

图2二层PVLAN应用

如图2所示,用户1与用户2同属于企业A,用户3属于企业B,用户4属于企业C。由于同属于同一企业的用户1与用户2需要进行相互通信,所以将他们放在群体VLAN(VLAN1001)中即可现两者的相互通信,由于与用户3、用户4不属于同一VLAN,所以现了相互隔离;用户3与用户4属于不同的企业,彼此之间不需要相互通信,所以将他作放在隔离VLAN(VLAN1002)中,这样就可以将他们相互隔离开来;关设备与主VLAN相连,即可现所有的辅助VLAN与外部的通信。由于所有的辅助VLAN共享同一个主VLAN(VLAN100),对于关设备而言,由于只需要识别主VLAN而不需要识别辅助VLAN,因此节约的VLAN的资源。

结束语:锐捷络核心交换机RG-S8600系列全面支持PVLAN技术,可以有效地保障用户数据安全,抑制病泛滥,保护通信安全,并节省IP地址资源,有助于络的化,带给用户一个安全的络。

①LAN:LocalAreaNetwork,虚拟局域

②VLAN:VirtualLocalAreaNetwork,虚拟局域

③PVLAN:PrivateVLAN,专用虚拟局域

④S:SwitchVirtualInterface,交换机虚拟接口




在某种程度上,网络交换机的发展已超越了很多的同行业务,但其从未停止脚步一直砥砺前行着。锐捷路由器产品系列包括,核心路由器、汇聚路由器、接入路由器、移动路由器、中小网络企业级路由器以及一系列路由器应用软件产品,如需进行路由器选购或想要了解更多详细的路由器方案、路由器推荐信息,欢迎咨询锐捷网络。https://www.ruijie.com.cn/cp/jh/

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|蒙自县垩摄冷光源有限公司-首页

GMT+8, 2024-12-28 03:42 , Processed in 0.059687 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表