几种VLAN扩展技术简介

为了解决传统VLAN的局限性，更大程度地保证网络通信的安全，近年来出现了多种在传统VLAN技术上发展的扩展VLAN技术，本文主要介绍PVLAN、SuperVLAN、SVLAN等几种典型的扩展VLAN技术。

　　1 PVLAN技术(Private VLAN）

　　PVLAN将VLAN中的端口分为两类：与用户相连的端口为隔离端口（Isolate Port），每个隔离端口可划分到不同的Private Vlan，上行与上级交换机或网关设备相连的端口为混合端口（Promiscuous Port）, 混合端口划分到Primary Vlan。隔离端口只能与混合端口通信，相互之间不能通信。一个primary vlan 可以包含多个Private Vlan 中包含的端口和上行端口，这样对于上层交换机来说，可以认为下层交换机中只有几个Primary Vlan，而不必关心Primary Vlan 中的端口实际所属的VLAN，简化了配置，节省了VLAN 资源，一个Primary Vlan 中包含的所有Private Vlan 处于同一个子网中，节省了子网数目和IP 地址资源。这样就将同一个VLAN下的端口隔离开来，用户只能与自己的默认网关通信，网络的安全性得到保障。

　　2 SuperVLAN技术(SuperVLAN)

　　传统的网络给每个VLAN被分配一个IP子网，每分配一个子网，就有三个IP地址被占用，分别作为子网的网络号、广播地址和缺省网关。如果一些用户的子网中有大量未分配的IP地址，也无法给其他用户使用。因此这种方法会造成IP地址的浪费。SuperVLAN有效的解决了这个问题，它把多个VLAN（称为子VLAN）聚合成一个SuperVLAN，这些子VLAN使用同一个IP子网和缺省网关。

　　利用SuperVLAN技术，只需为SuperVLAN分配一个IP子网，并为每个用户或子网建立一个子VLAN，所有子VLAN可以灵活分配SuperVLAN子网中的IP地址，使用SuperVLAN的缺省网关。每个子VLAN都是一个独立的广播域，保证不同用户之间的隔离，子VLAN之间的通信通过SuperVLAN进行路由。由于各个子网（Sub VLAN）不需要真正的子网网段，有效地提高了IP的利用率。这样的子网可以分配足够小，而且可以方便扩展，无需重新定义子网的大小。出于安全目的，可以阻止子网间的相互直接访问，要相互通信需通过路由。

　　3 SVLAN技术（Stack VLAN）

　　SVLAN又被称为QinQ，是对基于IEEE 802.1Q封装的隧道协议的形象称呼， SVLAN技术是在原有VLAN标签（内层标签）之外再增加一个VLAN标签（外层标签），外层标签可以将内层标签屏蔽起来。其基本原理是将用户私网VLAN tag(虚拟局域网网络标签)封装到公网VLAN tag 内，其中，一层标识客户系统网络，一层标识网络运营网络，报文带着两层tag 穿越服务商的骨干网络，到达用户另外一端网络后再解除公网的VLAN外层标签，还原出VLAN内层标签便于用户进行下一步的通讯，从而为客户提供一种较为简单的二层VPN 隧道。

　　QinQ 技术通过对VLAN进行扩展，可以支持达到4096×4096 个VLAN ID，通过它可以实现简单的L2VPN（二层虚拟专用网），特别适合以三层交换机为骨干的局域网。