专用VLAN

在交换以太网环境中，有一个VLAN被用于给NALN中的所有主机提供任意到任意的连接。因为交换以太网环境中的托管要求分开，因此建立了更多的VLAN。L3设备提供了VLAN之间的内部连接，即路由器或多层交换机之间的内部连接。因为每个VLAN终接在一个L3设备上，从IP的角度看，每个VLAN也被分配了它自己的网络子网。不管一个交换机中是存在一个还是多个VLAN，L3设备都是用来连接VLAN的。

VLAN的一种常见应用是用于安全用途。例如：如果一个共享网络环境中有不同的客户，要求将哪些属于单一客户的哪些站分类到他们自己的VLAN和IP子网上。图4 给出了这种配置中的VLAN和IP子网。因为每个客户的网络用户可能分散在大楼内，各VLAN可能会在不同楼层上。

这一移动模型会产生很多复杂性。随着给网络增加更多的客户和用户，这些复杂性将继续提高。随着时间的推移而增加更多的客户，属于公共客户的用户能相互离开很近的可能性就越小。

从L2的角度看，添加到这一网络的每个客户都需要一个新的VLAN以便进行配置和管理。随着给这一拓扑增加更多的VLAN，生成树将变得更复杂。除了优先地管理这一环境中的带宽外，你还必须一致地跟踪每一个VLAN中继，来确保它只传输必需的VLAN。随着给这种拓扑增加新客户、或者现有客户扩展到新的交换机上，生成树也变得稍微更复杂一点。

从L3的角度看，情况更加复杂。因为每个客户有其自己的VLAN，它必须有其自己的IP子网。在这种方案中，可能存在两个不同的出口点，即L3交换机。因此，对于增加到网络上的每个客户，必须给它分配一个单独的IP子网。在每个分配的子网中，广播地址要使用2个地址。与HSRP有关的地址要使用3个地址。因为需要精确地估计未来地址空间要求，以便使得能够分配某一初始IP子网来满足预期发展，因此其复杂性更大。因为客户的大小可变，这种设计方案中的路由选择表可以用大量可变长度的子网组成集群。

这类网络要求最常见的例子是在Web托管服务中。Web托管服务包括大量LAN基础设施，这些基础设施能够容纳很多客户以及与他们有关的Web服务器。图5给出了一个具有4个客户的普通Web托管网络。为了确保Web托管服务客户之间的安全，给每个客户分配了其自己的VLAN和IP子网。每个客户可以有不等数量的服务器，并可能需要不同规模的子网。

这种部署的一个明显的限制是生成树的可扩展性。在一个能提供Web托管服务的现代数据中心中，10000台服务器也是很常见的。然而，在典型模型中，每个客户不论其大小只给它分配了它自己的VLAN。大型交换机环境中，这种做法导致了生成树可扩展性和性能会提出一些限制。

典型托管环境还导致过渡浪费IP地址空间。

Web托管设计等环境的共同特点是：从主机自身通过缺省网关到互联网的接续要求比较特殊。在很多情况下，服务器之间的接续并不是一个要求。为属于同一客户的服务器之间的通信提供便利条件的一种常用方法是建立一个单独的“后端”网络，因此，给某一客户分配单独的VLAN的唯一目的是防止属于不同客户的服务器之间发生通信，并允许所有服务器和到互联网路径上的所有缺省网关进行通信。

为了减轻与部署和管理环境（诸如典型托管环境等）有关的很多困难，Cisco开发一种叫做专用VLAN的特性。

专用VLAN介绍

专用VLAN是一个并不陌生的L2网络基础设施，它是普通VLAN的一种扩展。在一个专用VLAN中有3个单独的端口指配，每个端口有其自己唯一的规则集，这些规则管辖所连接的端点与连接到专用VLAN内的端口上的其他端点进行通信的能力。3个端口指配是混合（Promiscuous）、隔离和团体。

一个连接到混合端口的端点能与专用VLAN中的任何端点通信。可以在一个专用VLAN中定义多个混合端口。在前面提到的托管环境中，L3交换机缺省网关通常连接到混合端口上。

隔离端口通常用于只需要接入到有限数量端点的那些端点。连接到一个隔离端口的端点只能与连接到混合端口的那些端点通信。连接到相邻隔离端口的端点不能通信。在一个Web托管环境中，隔离端口保留用于只需要访问缺省网关的主机。

在某些情况下，需要在属于同一客户的端点之间进行通信。“前端内容”复制、高混合性NIC、服务器集群等都要求某些形式的前端复制。在这种情况下，专用VLAN的团体特性是非常有用的。专用VLAN团体是属于一个客户的一组隔离的端口。在团体以内，端点能相互通信，并能与定义的混合端口通信。属于一个团体的端点不能与不同团体的端点通信。

不管在一个专用VLAN中如何组合使用隔离、团体和混合端口，它仍然是一个L2结构，因此只需要一个IP子网。现在，寻址模型发生了变化，不是给每个客户分配一个自己的子网，而是从1个～2个公共大型IP网络分配一段地址。通过从一个或2个公共大型IP网络分配地址，有效减少了地址浪费。

专用VLAN的所有限制功能都在硬件中实现，因此不需要依靠软件学习机制进行设置。硬件实现确保了最高的端口安全性，并且使得专用VLAN的特性不会受到可能的软件缺陷的影响。另外，专用VLAN和普通VLAN能同时共存在一个机箱中。如果需要的话，您也可以在一个交换机中定义多个专用VLAN。

专用VLAN的应用

专用VLAN提供了两个主要好处：即优化IP地址管理和减少多客户机环境里的VLAN的消耗。因为整个专用VLAN结构被认为是一个L2域，它可以用一个大地址范围来寻址。从而不需要为多客户机环境中的每个客户机估算未来地址要求和相应地给每个客户机分配可变长度的子网。利用专用VLAN，当给服务增加属于现有客户将新的客户机或新的服务器时，他们从公共连续网络分配得到响应的地址。尽管给某一客户机的总的地址范围可以分段，但所有地址都象是属于一个网络一样地传输。在专用VLAN系统中，地址空间片段可以忽略。其主要目标是在相邻服务器之间提供L2隔离和访问公共服务，如：缺省网关、备份服务器等。在每个客户机有一个VLAN的老型号中，当一个客户的服务器数量超过了分配的子网所能寻址的范围以后，地址空间片段也是很常见的。

在服务器前端，部署了一个专用VLAN。每个服务器连接到选用VLAN的一个隔离端口上。整个基础设施只使用了一个IP网络和2个VLAN（一个主VALN和一个辅助VLAN）或隔离VLAN。

图. 专用VLAN的应用

Catalyst 6500系列多层交换机上的专用VLAN特性大大减少了部署大型多客户机交换环境的复杂性。因为给新的服务器分配了公共地址池中的附近的连续地址，IP寻址管理更简单了。客户机不是有一个专门的IP子网，而是能有一段连续或不连续的IP地址。前端L3交换机只需要传输到一个IP网络