PVLAN(전용 VLAN) 방식을 통해 일반 VLAN을 하위 VLAN으로 분할하여 네트워크 트래픽을 격리할 수 있습니다. PVLAN 방식은 RFC 5517에 정의되어 있습니다. 대개 일반 VLAN은 단일 브로드캐스트 도메인이지만, PVLAN 등록 정보로 구성된 경우 기존 계층 3 구성을 유지하면서 단일 브로드캐스트 도메인이 보다 작은 브로드캐스트 하위 도메인으로 분할됩니다. PVLAN을 구성하는 경우 일반 VLAN을 주 VLAN이라고 하며 하위 VLAN을 보조 VLAN이라고 합니다.
2개의 가상 네트워크가 물리적 링크에서 동일한 VLAN ID를 사용하는 경우 2개의 가상 네트워크 간에 모든 브로드캐스트 트래픽이 전달됩니다. 하지만 PVLAN 등록 정보를 사용하는 가상 네트워크를 만드는 경우 특정 상황에서는 패킷 전달 동작이 적용되지 않을 수도 있습니다.
다음 표에서는 격리된 PVLAN 및 커뮤니티 PVLAN에 대한 브로드캐스트 패킷 전달 규칙을 보여줍니다.
|
예를 들어, vnet0 및 vnet1 가상 네트워크가 모두 net0 네트워크에 격리된 경우 net0은 두 가상 네트워크 간에 브로드캐스트 트래픽을 전달하지 않습니다. 그러나 net0 네트워크가 격리된 VLAN에서 트래픽을 수신하면 VLAN과 관련된 격리된 포트로 트래픽이 전달되지 않습니다. 이 상황은 격리된 가상 네트워크가 주 VLAN의 트래픽만 수용하기 때문에 발생합니다.
inter-vnet-link 기능은 격리된 PVLAN 및 커뮤니티 PVLAN의 통신 제한을 지원합니다. Inter-vnet-link는 격리된 PVLAN에 대해서는 사용 안함으로 설정되고 커뮤니티 PVLAN의 동일한 커뮤니티에 있는 가상 네트워크에 대해서만 사용으로 설정됩니다. 커뮤니티 외부의 다른 가상 네트워크에서 들어오는 직접 트래픽은 허용되지 않습니다.