Le mécanisme de VLAN privé (PVLAN) vous permet de diviser un VLAN standard en sous-VLAN pour isoler le trafic réseau. Le mécanisme PVLAN est défini dans RFC 5517. Généralement, un VLAN standard est un domaine de diffusion unique, mais quand il est configuré avec les propriétés PVLAN, le domaine de diffusion unique est divisé en sous-domaines de diffusion plus petits, tout en conservant la configuration de couche 3 existante. Lorsque vous configurez un PVLAN, le VLAN standard est appelé VLAN principal et les sous-VLAN sont appelés VLAN secondaires.
Lorsque deux réseaux virtuels utilisent le même ID de VLAN sur une liaison physique, l'ensemble du trafic de diffusion est transmis entre les deux réseaux virtuels. Toutefois, lorsque vous créez des réseaux virtuels qui utilisent les propriétés PVLAN, le comportement de transfert de paquets peut ne pas s'appliquer dans tous les cas.
Le tableau suivant répertorie les règles de transfert de paquets de diffusion pour les PVLAN isolés et communautaires.
|
Par exemple, lorsque les deux réseaux virtuels vnet0 et vnet1sont isolés sur le réseau net0, net0 ne transmet pas de trafic entre deux réseaux virtuels. Toutefois, lorsque le réseau net0 reçoit le trafic d'un VLAN isolé, le trafic n'est pas transmis aux ports isolés liés au VLAN. Cette situation se produit parce que le réseau virtuel isolé n'accepte que le trafic du VLAN principal.
La fonction inter-vnet-link prend en charge les restrictions de communication des PVLAN isolés et communautaires. La fonction inter-vnet-link est désactivée pour les PVLAN isolés et activée uniquement pour les réseaux virtuels qui se trouvent dans la même communauté que les PVLAN communautaires. La redirection du trafic à partir d'autres réseaux virtuels en dehors de la communauté n'est pas autorisée.