私有 VLAN (PVLAN) 机制可用于将某个常规 VLAN 划分成多个子 VLAN 以隔离网络通信。PVLAN 机制在 RFC 5517 中定义。通常,一个常规 VLAN 是一个单广播域,但当配置了 PVLAN 属性时,该单广播域会被分区为更小的广播子域,同时保留现有的第 3 层配置。在配置 PVLAN 时,常规 VLAN 称为主要 VLAN,而子 VLAN 则称为辅助 VLAN。
当两个虚拟网络在某个物理链路上使用同一个 VLAN ID 时,则将在这两个虚拟网络之间传递所有广播通信。但是,在创建使用 PVLAN 属性的虚拟网络时,包转发行为可能不适用于所有情况。
下表展示了隔离的 PVLAN 和社区 PVLAN 的广播包转发规则。
|
例如,当在 net0 上隔离 vnet0 和 vnet1 虚拟网络时,net0 不在两个虚拟网络之间传递广播通信。但是,当 net0 网络收到来自隔离的 VLAN 的通信时,该通信不会传递到与该 VLAN 相关的隔离端口。出现这种情况的原因在于隔离的虚拟网络仅接受主要 VLAN 的通信。
inter-vnet-links 功能支持对隔离的 PVALN 和社区 PVLAN 的通信限制。已为隔离的 PVLAN 禁用 inter-vnet-links,仅为在社区 PVLAN 的同一个社区中的虚拟网络启用 inter-vnet-links。不允许来自社区外部的其他虚拟网络的直接通信。