VLAN技术白皮书

Quidway VLAN技术白皮书

VLAN技术白皮书

华为技术有限公司

北京市上地信息产业基地信息中路3号华为大厦 100085

二ＯＯ三年三月

Quidway VLAN技术白皮书

摘要

本文基于华为技术有限公司Quidway 系列以太网交换产品详细介绍了目前以太网平台上的主流VLAN技术以及华为公司在VLAN技术方面的扩展，其中包括基于端口的VLAN划分、PVLAN，动态VLAN注册协议，如GVRP和VTP等等。本文全面地总结了当前的VLAN技术发展，并逐步探讨了Quidway 系列以太网交换产品在VLAN技术方面的通用特性和部分独有特性，并结合每个主题，简要的介绍了系列VLAN技术在实际组网中的应用方式。

关键词

VLAN，PVLAN，

GVRP，VTP Quidway VLAN技术白皮书

1 VLAN概述

VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了

VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

VLAN在交换机上的实现方法，可以大致划分为4类:

1、 基于端口划分的VLAN

这种划分VLAN的方法是根据以太网交换机的端口来划分，比如Quidway S3526的1~4端口为VLAN 10，5~17为VLAN 20，18~24为VLAN 30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。

这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。

2、基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。尤其是用户的MAC地址用变换的时候就要重新配置。基于MAC地址划分VLAN所付出的管理成本比较高。

3、基于网络层划分VLAN

Quidway VLAN技术白皮书

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

4、根据IP组播划分VLAN

IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

鉴于当前业界VLAN发展的趋势，考虑到各种VLAN划分方式的优缺点，为了最大程度上地满足用户在具体使用过程中需求，减轻用户在VLAN的具体使用和维护中的工作量，Quidway S系列交换机采用根据端口来划分VLAN的方法。 2.IEEE 802.1Q

IEEE于1999年正式签发了802.1Q标准，即Virtual Bridged Local Area Networks协议，规定了VLAN的国际标准实现，从而使得不同厂商之间的VLAN互通成为可能。 802.1Q协议规定了一段新的以太网祯字段，如图1所示。与标准的以太网祯头相比，VLAN报文格式在源地址后增加了一个4字节的802.1Q标签。 4个字节的802.1Q标签中，包含了2个字节的标签协议标识（TPID--Tag Protocol Identifier，它的值是8100），和两个字节的标签控制信息（TCI--Tag Control Information），TPID是IEEE定义的新的类型，表明这是一个加了802.1Q标签的报文。

图1 带有802.1Q标签的以太网祯

图2显示了802.1Q标签头的详细内容， 该标签头中的信息解释如下：

Quidway VLAN技术白皮书

图2 802.1Q标签头

? ? ?

VLAN Identified( VLAN ID ): 这是一个12位的域，指明VLAN的ID，一共4096个，每个支

持802.1Q协议的主机发送出来的数据包都会包含这个域，以指明自己所属的VLAN。

Canonical Format Indicator( CFI )：这一位主要用于总线型的以太网与FDDI、令牌环网交

换数据时的祯格式。

Priority：这3 位指明祯的优先级。一共有8种优先级，主要用于当交换机阻塞时，优先发

送优先级高的数据包。

目前使用的大多数计算机并不支持802.1Q，即计算机发送出去的数据包的以太网祯头还不包含这4个字节，同时也无法识别这4个字节，将来会有软件和硬件支持802.1Q协议的。 在交换机中，直接与主机相连的端口是无法识别802.1Q报文的，那么这种端口称为 Access端口；对于交换机相连的端口，可以识别和发送802.1Q报文，那么这种端口称为Tag Aware 端口 。在目前的大多数交换机产品中，用户可以直接规定交换机的端口的类型，来确定端口相连的设备是否能够识别802.1Q报文。

在交换机中的报文转发过程中，802.1Q报文标识了报文所属的VLAN，在跨越交换机

的报文中，带有VLAN标签信息的报文尤其显得重要。例如，定义交换机中的1端口属于VLAN 2，且该端口类型为Acess，当 1 端口接收到一个数据报文后，交换机会查看该报文中没有802.1Q标签，那么，交换机根据1端口所属的VLAN 2，自动给该数据包添加一个VLAN 2的标签头，然后再将数据包交给数据库查询模块，数据库查询模块会根据数据包的目的地址和所属的VLAN进行查找，之后交给转发模块，转发模块看到这是一个包含标签头的数据包，根据报文的出端口的性质来决定是否保留还是去掉标签头。如果端口是Tag Aware端口，则保留标签，否则则删除标签头。一般情况下，两个交换机互连的端口一般都是Tag Aware端口， 交换机和交换机之间交换数据包时是没有必要去掉标签的。

虚拟局域网是将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。VLAN与传统的LAN相比，具有以下优势：

? 减少移动和改变的代价，即所说的动态管理网络，也就是当一个用户从一个位置移动到另一

个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者

Quidway VLAN技术白皮书

和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的VLAN定义方法都能做到这一点。

? 虚拟工作组，使用VLAN的最终目标就是建立虚拟工作组模型，例如，在企业网中，同一

个部门的就好象在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点，而他仍然在该部门，那么，该用户的配置无须改变；同时，如果一个人虽然办公地点没有变，但他更换了部门，那么，只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个理想的目标，要实现它，还需要一些其他方面的支持。

? 限制广播包，按照802.1D透明网桥的算法，如果一个数据包找不到路由，那么交换机就会

将该数据包向除接收端口以外的其他所有端口发送，这就是桥的广播方式的转发，这样的结果，毫无疑问极大的浪费了带宽，如果配置了VLAN，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。

? 安全性，由于配置了VLAN后，一个VLAN的数据包不会发送到另一个VLAN，这样，其他

VLAN的用户的网络上是收不到任何该VLAN的数据包，这样就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的保密。

3 与VLAN密切相关的协议标准

提到IEEE 802.1Q VLAN，就不得不提到以下一些主流的动态VLAN管理协议：

? GVRP协议 ? VTP协议

用户可以根据自己的实际需要，以及本身的网络环境来选择使用。需要说明的是，在Quidway S系列交换机上，VLAN分为静态VLAN和动态VLAN两种，静态VLAN是指用户手工配置的VLAN，而动态VLAN则指那些通过动态VLAN协议学习到的VLAN。

3.1 GVRP协议

3.1.1 GARP协议介绍

GARP( Generic Attribute Registration Protocol) 是一种通用的属性Attribute 注册协议，它为处于同一个交换网内的交换成员之间提供了动态分发传播注册某种属性信息的一种手段。这里的属性可以是VLAN， 组播MAC 地址和端口过滤模式等特征信息。GARP 协议实际上可以承载多种交换机需要传播的属性特性，所以GARP协议在交换机中存在的意义就是通过各种GARP 应用协议体现出

Quidway VLAN技术白皮书

来。目前定义了GMRP (GARP Multicast Registration Protocol) 和GVRP (GARP VLAN Registration Protocol )两个协议，以后会根据网络发展的需要定义其它的特性。

在GARP协议中，每个运行GARP协议的实体，被称为GARP Participant，在具体的应用中，Participant可以是交换机每个启动GARP协议的端口。在图3中，显示了GARP的结构。

GARP Participant 1 GARP Participant 2GARP ApplicationGIDGIPGARP ApplicationGIDLLC (recieve port) LLC (transmit port)

图3 GARP体系结构

在GARP Participant中，GARP Application组件负责属性值的管理，GARP协议报文的接收和发送。 GARP Application组件利用GID组件和操作时的状态机，以及GIP组件控制协议实体之间的消息交互。

GID组件(GARP Information Declaration)是GARP协议的核心组件，一个GID实例如图6所示包含了当前所有属性值的状态。每个属性的状态由该属性的状态机决定。每个属性的状态机有两个：Applicant和Registrar，其中Registrar状态机负责属性的注册，注销等，并决定协议内部定时器的启动和停止。Applicant状态机负责决定协议报文的发送。

图4 GID组件模型

GID的具体操作由以下情况决定：

a）Applicant状态迁移表（表略，见具体协议802.1d） b）Registrar状态迁移表（表略，见具体协议802.1d）

c）记录Applicant的每一个属性的当前声明状态的Applicant状态机和Registrar状态机

Quidway VLAN技术白皮书

d）GID服务原语

有二种服务原语可以使得GID通过指定的端口进行属性声明或撤销声明： （1）GID_JOIN.request（attribute_type，attribute_value） （2）GID_LEAVE.request （attribute_type，attribute_value） 有二种服务原语可以要求GID在指定的端口上进行属性注册和撤销： （1）GID_JOIN. indication（attribute_type，attribute_value） （2）GID_LEAVE. indication （attribute_type，attribute_value）

GIP组件（GARP Information Propagation )负责将属性信息从一个Participant传播到其他Participant，实质上，是将属性信息在Participant的GID组件之间传递。GIP组件从一个Participant接收到GID_JOIN.indication，就产生GID_JOIN.request到其他Participant上。同样，GIP组件从一个Participant接收到GID_LEAVE.indication，产生一个GID_LEAVE.request到其他Participant上。

在协议中，GARP 定义了以太网交换机之间交换各种属性信息的方法，包括如何发送和接收协议消息，如何处理接收到的不同的协议消息，如何维护协议状态机之间的跃迁等等。通过GARP 的协议机制，一个GARP 成员所知道的配置信息会迅速传播到整个交换网。GARP 成员可以是终端工作站或交换机。

GARP 成员通过注册消息或注销消息通知其他的GARP 成员注册或注销自己的属性信息，并根据其他GARP 成员的注册消息或注销消息注册或注销对方的属性信息。 不同的GARP 成员之间的协议消息就是这些注册消息或注销消息的具体形式。GARP 的协议消息类型有六种分别为JoinIn，JoinEmpty， Leave Empty，Leave In，Empty， 和LeaveAll。 当一个GARP 成员希望注册某属性信息时将对外发送Join 消息，当一个GARP 应用实体希望注销某属性信息时将对外发送Leave 消息。每个GARP 成员启动后将同时启动LeaveAll 定时器，当LeaveAll 定时器超时后将对外发送LeaveAll 消息，JoinEmpty 消息与Leave 消息配合确保属性信息的注销或重新注册。通过这五种消息交互，所有待注册或待注销的属性信息得以动态地反映到交换网中的所有交换机。

GARP 应用协议的协议数据报文都有特定的目的MAC 地址，在支持GARP 特性的交换机中接收到GARP 应用协议的报文时，根据MAC 地址加以区分后交由不同的应用协议模块处理，如GVRP 或GMRP。

图5是GARP报文协议内容的结构，在GARP报文中，包含有多个Message，Message由属性类型和属性列表两部分组成，属性列表是多个属性的集合，每个属性通过长度，类型，属性值等值来定义。在GARP不同的应用中，通过设置属性的内容，就可以注册和传播不同的属性信息。GVRP协议

GARP报文结构Message结构Attribut list结构Attribut结构Quidway VLAN技术白皮书

中，属性为VLAN信息，GMRP协议中，属性则为多播地址信息。以GVRP为例，每个属性值是VLAN ID，类型则取决于协议的状态机。 图5 GARP报文结构

3.1.2 GVRP协议

GVRP （GARP VLAN Registration Protocol）， GARP VLAN 注册协议是GARP 所定义的一种应用协议，它基于GARP 的协议机制动态维护交换机中的VLAN 信息。所有支持GVRP 特性的交换机能够接收来自其他交换机的VLAN 注册信息，并动态更新本地的VLAN 注册信息，其中包括交换机上当前的VLAN，以及 这些VLAN 包含了哪些端口等，而且所有支持GVRP 特性的交换机能够将本地的VLAN 注册信息向其他交换机传播，以便根据需要使同一交换网内所有支持GVRP 特性的设备的VLAN 配置在互通性上达成一致。通过GVRP 传播的VLAN 注册信息既包括本地手工配置的静态VLAN 信息，也包括来自其他交换机中的动态VLAN 信息。

对GVRP 特性的支持使得不同的交换机上的VLAN 信息可以由协议动态维护和更新，用户只需要对少数交换机进行VLAN 配置即可应用到整个交换网络，无需耗费大量时间进行拓朴分析和配置管理，协议会自动根据网络中VLAN的配置情况，动态地传播VLAN信息并配置在相应的端口上。 3.1.3 GVRP协议组网方案

图6是一个典型Quidway S GVRP 应用组网图，其配置步骤如下：

核心交换机A33核心交换机B11211211接入交换机C接入交换机D接入交换机E接入交换机F

图6 Quidway S 以太网交换机GVRP 应用组网图

（1）将所有与其它交换机相连的端口均设置为Trunk 端口，并设置允许添加所有的VLAN 到这些Trunk 端口。

（2）在各个接入交换机上手工创建了如表3所示的静态VLAN：

表1 启动GVRP前交换机VLAN配置情况

交换机 接入交换机C 接入交换机D 交换机上的VLAN 10-20 20-30 Trunk端口1上的VLAN 10-20 20-30 Trunk端口2上的VLAN NULL NULL Trunk端口3上的VLAN NULL NULL Quidway VLAN技术白皮书

20-40 20-40 NULL NULL 接入交换机E 30-40 30-40 NULL NULL 接入交换机F NULL NULL NULL NULL 核心交换机A NULL NULL NULL NULL 接入交换机B （3）在各个交换机中全局启动GVRP，并分别启动各个相连Trunk端口的GVRP， 设置各个端口的GVRP 注册类型为缺省值Normal 。

那么启动GVRP后，所有启动GVRP的Trunk 端口将会根据协议学习到配置在其它交换机上的VLAN，并将这些VLAN配置到相应的Trunk 端口上，那么整个网络中的VLAN配置情况如表4所示，其中除了各Trunk 端口所在的交换机本身配置的静态VLAN 外其它VLAN 都是通过GVRP 协议学习到的动态VLAN：

表2 启动GVRP后交换机VLAN配置情况

交换机 接入交换机C 接入交换机D 接入交换机E 接入交换机F 核心交换机A 接入交换机B

交换机上的VLAN 10-40 10-40 10-40 10-40 10-40 10-40 Trunk端口1上的VLAN 10-40 10-40 10-40 10-40 10-20 30-40 Trunk端口2上的VLAN NULL NULL NULL NULL 20-30 20-40 Trunk端口3上的VLAN NULL NULL NULL NULL 20-40 10-30 3.2 VTP协议

3.2.1 VTP协议技术简介

VLAN 干道协议(VLAN Trunk Protocal)，作为VLAN动态协议的一种，提供了在交换网络中传播VLAN配置信息的功能，自动地在整个网络中保证了VLAN配置的连续性，一致性。VTP减少了跨越网络设置VLAN需要的管理任务，减少了配置的不连续性，从而提高其设备组网简易性。VTP是一个交换机到交换机，交换机到路由器VLAN管理协议，它可以交换所有对网络作出的VLAN配置改变。

VTP协议可以负责管理在交换网络中的VLAN的增加，删除和重命名等等，而无需在每个交换机进行人工干预。协议保持对这些改变的跟踪，并且在网络中将这些改变通知所有交换机。当一个新的交换机加入到网络中时，增加的设备收到来自VTP的修改信息，并且对网络中现有VLAN进行自动配置。

VTP为设置和配置VLAN提供了园区范围的解决方案。这个协议转移了VLAN的管理，使之从在每个交换机上管理VLAN，到可以集中进行改变的网络范围，并且可以自动传送到网络中的所有交换机，减少与设置VLAN有关的许多管理任务。VLAN的设置和跨越网络的通信都自动地由VTP进行可靠的配置。

在VTP模式下，交换机有三种模式：Server，Client 和Transparent。Server模式保存域中所有的VLAN信息，并且可以添加，删除和重命名VLAN。Client模式也保存域中所有的VLAN信息，但不

Quidway VLAN技术白皮书

能添加，删除和重命名VLAN，它通过VTP协议获得VLAN信息。Transparent模式不参与VTP协议，转发所有的VTP报文。

在VTP中引入了域的概念，在交换网络环境中，多个交换机构成了一个域。每个域都有一个域名，每个域中保存相同的VTP信息。并且只有具有相同域名的交换机之间才能进行VTP报文的交流。

VTP中主要有三种报文：Summary Advert，Subset Advert和Advert Request。每个交换机每隔一定的时间，通过每个trunk口发送摘要报文（Summary Advert），其中带有该交换机的域名，版本号，MD5 Digest等信息。相同域中的其它交换机接收到后，比较自己的版本号是否与接收到报文相同，如果相同，则说明本交换机的VLAN信息与发送摘要报文的交换机的信息相同。如果版本号高于摘要报文中的，则不处理该报文，否则，需要获得详细信息，如果Summary中的跟随Subset报文的数量不为零，则等待详细报文的到来。否则发送请求（Advert Request）报文，获得详细（Subset Advert）报文。交换机获得详细报文后，将其中的所有的VLAN信息下载到本交换机。 这样实现了交换机间VLAN信息的同步。在Server交换机上增加，删除和重命名VLAN信息时，交换机都会主动发出Summary报文和Subset报文，向其他交换机通告这种变化，其他交换机接收到报文后，会根据报文中的信息更新本交换机上的VLAN配置。 3.2.2 VTP工作原理

VTP使用与GVRP相同的组网图，其配置步骤如下：

（1）将所有与其它交换机相连的端口均设为Trunk 端口，并设置允许添加所有的VLAN 到这些Trunk 端口

（2）在各个交换机中全局启动VTP，并配置相同的VTP域名和密码，将两个核心交换机设置为Client模式，将其他接入交换机设置为Server模式。

（3）通过手工配置，在各交换机上分别创建了如表5所示的静态VLAN：

表5 启动VTP前交换机VLAN配置情况

交换机上的Trunk端口1上Trunk端口2上Trunk端口3上VLAN 的VLAN 的VLAN 的VLAN 10-20 10-20 NULL NULL 接入交换机C 20-30 20-30 NULL NULL 接入交换机D 20-40 20-40 NULL NULL 接入交换机E 30-40 30-40 NULL NULL 接入交换机F NULL NULL NULL NULL 核心交换机A NULL NULL NULL NULL 接入交换机B 在配置完成后，所有启动的Trunk 端口将会根据协议学习到配置在其它交换机上的VLAN，并将这些VLAN配置到相应的Trunk 端口上，那么整个网络中的VLAN配置情况如表6所示，其中除了各Trunk 端口所在的交换机本身配置的静态VLAN 外其它VLAN 都是通过VTP 协议学习到的动态VLAN：

表6 启动VTP后交换机VLAN配置情况

交换机 交换机 交换机上的VLAN Trunk端口1上的VLAN Trunk端口2上的VLAN Trunk端口3上的VLAN Quidway VLAN技术白皮书

接入交换机C 接入交换机D 接入交换机E 接入交换机F 核心交换机A 接入交换机B 10-40 10-40 10-40 10-40 10-40 10-40 10-40 10-40 10-40 10-40 10-40 10-40 NULL NULL NULL NULL 10-40 10-40 NULL NULL NULL NULL 10-40 10-40 3.3 GVRP与VTP协议

从实现原理上来看，GVRP是基于IEEE的国际标准。Quidway S系列交换机的GVRP协议，严格遵守协议，吸取标准中的精华，结合Quidway 交换机自身VLAN的设计思想，形成了一套精确稳定的在交换网络中传播并配置VLAN信息的机制。结合在前面所提到的VTP和GVRP在相同组网方案下得到的不同的VLAN配置结果，可以清楚地看到，GVRP并不是简单地将VLAN信息传播到每个交换机，并将其添加到所有允许通过的Trunk口上，而是利用“单向注册”原理，实现了哪里有VLAN需求，哪里就配置该VLAN的目标，更好地执行了VLAN隔离广播报文的初衷。

4 Quidway S系列产品扩展的 VLAN特性

4.1 PVLAN技术

4.1.1 PVLAN介绍

PVLAN，Primary-VLAN特性的简称，是华为公司Quidway S产品扩展支持的VLAN特性之一。 PVLAN主要为了在园区网或企业网接入中，通过将用户划入不同的VLAN，实现用户之间二层报文的隔离。为客户提供了更多的解决方案。

在PVLAN的设计中采用了多个Secondary VLAN包含在一个Primary VLAN中的方式，给用户提供了灵活的配置方式。如果用户希望实现二层报文的隔离，可以采用了为每个用户分配一个Secondary vlan的方式，每个VLAN中只包含用户连接的端口和Uplink port；如果希望实现用户之间二层报文的互通，可以将用户连接的端口划入同一个VLAN中；同时创建Primary VLAN，该VLAN包含所有Secondary VLAN中包含的端口和Uplink端口，这样对上层交换机来说，可以认为下层交换机中只有一个Primary VLAN，用来标识设备，而不必关心Primary VLAN中的端口实际所属的VLAN，简化了配置，节省了VLAN资源。

Primary VLAN中的所有端口都不是802.1Q的Trunk端口，包括与其它交换机相连的Uplink口。每个端口的PVID就是它所属Secsondary VLAN的ID，Uplink端口的PVID是Primary VLAN的ID。在

图3中，在交换机可以实现端口同时属于多个VLAN，其中端口1为Uplink端口，属于Primary VLAN

Quidway VLAN技术白皮书

1，端口2，3，4为接入端口，分别属于Secsondary VLAN 2，3，4。这样，从PVLAN的端口接收到的报文，可以被所有Secsondary VLAN接收到，而每个Secondary之间，则由于VLAN的隔离作用，而不能互通报文。

1. 2.

图3 Primary VLAN 端口示意图

VLAN 1：包含端口：1，2，3，4 VLAN 2：包含端口：1，2 VLAN 3：包含端口：1，3 VLAN 4：包含端口：1，4

4.1.2 PVLAN组网方案

图4 PVLAN在组网中的应用

在本组网方案中，两台交换机S2403和S3526如图4所示连接。二层交换机通过PVLAN的Uplink端口与三层交换机连接。在S2403上配置PVLAN。引入PVLAN这样的组网方式，实现了接入用户二层报文的隔离，保证了安全性。同时上层交换机下发的报文可以被每一个用户接收到，简化了配置，并且由于PVLAN对于三层交换机来说是不可见的，节省了交换网络中的VLAN资源。

具体配置如下：

（1）在S3526上，创建VLAN 5，包括端口7。创建VLAN6，包含端口8。(L2和L3之间通过非TRUNK链路连接，PVLAN的uplink端口就是VLAN 5的一个普通（Untagged）端口，因此PVLAN的Primary VLAN可以与L3上的相连VLAN不一致)

（2）在S2403上进行PVLAN的有关配置，以S2403-1为例，创建VLAN2，包含端口2。创建VLAN3，包含端口3。创建VLAN5，包含端口5。

（3）设置S2403-1的PVLAN中Primary VLAN和Secondary VLAN的映射关系，指定VLAN5为Primary VLAN，将VLAN2，VLAN3映射为Secondary VLAN。S2403-2的配置与S2403-1类似。

Quidway VLAN技术白皮书

5 结束语

Quidway S系列交换机在VLAN技术方面，采用业界流行的基于端口划分VLAN的方式，并从用户的角度出发，提供了PVLAN特性，满足了用户不同的需求。在VLAN的配置管理方面，实现了GVRP和VTP协议，解决了VLAN的动态管理问题，减轻了用户的管理负担。

VLAN技术正在蓬勃地发展，不断地有新技术涌现，Quidway S交换机会以客户的需求为己任，在VLAN技术领域开拓创新，为客户实现梦想！

本文来源：https://www.bwwdw.com/article/2ppa.html