El mecanismo de VLAN privadas (PVLAN) le permite dividir una VLAN normal en VLAN secundarias a fin de aislar el tráfico de red. El mecanismo de PVLAN se define en RFC 5517. Por lo general, una VLAN normal es un dominio de difusión único, pero cuando se configura con propiedades PVLAN, el dominio de difusión único se particiona en subdominios de difusión más pequeños, a la vez que se mantiene la configuración existente de capa 3. Cuando configura una PVLAN, la VLAN normal se denomina VLAN principal y las demás VLAN se denominan VLAN secundarias.
Cuando dos redes virtuales usan el mismo ID de VLAN en un enlace físico, todo el tráfico de difusión se transmite entre las dos redes virtuales. Sin embargo, cuando crea redes virtuales que usan propiedades PVLAN, el comportamiento de reenvío de paquete puede no aplicarse a todas las situaciones.
La siguiente tabla muestra las reglas de reenvío de paquete de difusión para PVLAN aisladas y en comunidad.
|
Por ejemplo, cuando las redes virtuales vnet0 y vnet1 están aisladas en la red net0, net0 no transfiere el tráfico de difusión entre las dos redes virtuales. Sin embargo, cuando la red net0 recibe tráfico de una VLAN aislada, el tráfico no se transfiere a los puertos aislados que están relacionados con la VLAN. Esta situación se produce porque la red virtual aislada solo acepta tráfico de la base de la VLAN primaria.
La característica inter-vnet-links admite las restricciones de comunicación de las PVLAN aisladas y en comunidad. Los Inter-vnet-links están desactivados para PVLAN aisladas y solo se activan para las redes virtuales que están en la misma comunidad para las PVLAN en comunidad. No se permite el tráfico directo desde otras redes virtuales fuera de la comunidad.