在多租户交换机环境中,标准做法是通过 VLAN 来分隔租户。如果这些租户出于某种原因需要位于同一地址空间,则实施 PVLAN 来增加租户之间的隔离,同时允许他们全部访问某些资源(例如路由器)。
我的问题是,当 PVLAN 中的流量离开启用 PVLAN 的交换机时会发生什么情况?如果您有一个中继端口将核心 PVLAN 感知交换机连接到非 PVLAN 感知交换机,会发生什么情况。
以下是几个可行的场景示例:
服务式建筑中的核心交换机具有 VLAN 10,其中 PVLANS 为 101、102、103。路由器作为社区成员位于 VLAN10 中。端口提供给具有 PVLANS 102、102、103 的租户。如果租户将非 PVLAN 感知交换机连接到 103,它会起作用吗?
多个 VMWare ESX 主机,运行分布式交换机 (vDS)。vDS 配置了一个 VLAN,用于公共地址的 DMZ,然后在其中为每个服务器配置 PVLAN。路由器位于 DMZ VLAN 上,主机可以与其通信。路由器和 ESX 主机之间的交换机支持 VLAN,但不支持 PVLAN,那么 ESX 主机之间的流量会发生什么?
我们工作的环境混合了 Cisco 39xx 交换机和 Dell 63xx 交换机。
答案1
私有 VLAN 仅存在于支持它们的交换机上。如果您网络上的交换机不支持 PVLAN,那么该交换机上的设备将正常工作,但可以自由地相互通信。一些 Cisco 交换机支持 PVLAN 中继,因此您可以连接不支持 PVLAN 的交换机,并且它只能访问 Cisco 交换机上的混杂或社区端口。请注意,PVLAN 仅在第 2 层保护,并且您的路由器还需要配置为阻止子网内通信。