私有Vlan是什麼？

   最近有遇到問私有Vlan,查了點資料整理：打個比方5000個主機連在運營商交換機上，運營商把這些主機放在同一個VLAN裡，有一個非常大的安全隱患：其中任意一臺主機冒充閘道器，其它主機出網流量就被假冒閘道器劫持了。

       運營商把每個主機放在一個獨一無二的VLAN裡，可以杜絕ARP欺騙，但是卻沒有那麼多VLAN，畢竟VLAN最大值也不過4096其實，使用者主機只要能ARP廣播發現閘道器的MAC地址，進而和閘道器通訊，就可以與整個Internet通訊，對嗎？因為閘道器是連在Internet上的

那怎樣的解決方案，可以讓主機只能ARP廣播發現閘道器的MAC地址，從而杜絕ARP欺騙攻擊？同時又最大程度減少VLAN的使用數量？這個解決方案的名字叫"私有VLAN"

私有VLAN（Private VLAN）

主機們被分配在同一個Secondary VLAN（101）裡，可是它們卻不在一個廣播域裡，所以它們無法透過ARP廣播發現彼此的MAC地址。ARP欺騙攻擊很顯然無法一展身手。

閘道器被分配在Primary VLAN（100）裡。神奇的一幕發生了，位於VLAN 100裡的閘道器卻與每-

個位於VLAN 101的主機在一個廣播域。既然在一個廣播域，主機們就可以ARP廣播發現閘道器的MAC地址，進而可以與Internet主機通訊。

為什麼同屬於VLAN 101的主機，卻不在一個廣播域？

而閘道器和主機不在一個VLAN裡，卻能工作在一個廣播域？3002089150

其實，這些奇巧淫技沒有什麼稀奇，不過是技術上一點小技巧。交換機的內部交換矩陣，按照配置的指令，將Primary VLAN（100）與每一個主機VLAN（101）橋接（Bridging）在一起，但不是完全橋接，因為主機之間卻無法橋接。