Este artigo fornece uma visão geral do conceito de Private VLAN (PVLAN).

A definição de uma Private VLAN é:

• Virtual LAN (VLAN) é um mecanismo para dividir um domínio de broadcast em vários domínios de broadcast lógicos.
• Private VLANé uma extensão do padrão VLAN, já disponível em vários switches físicos (mais recentes). Ela adiciona uma nova segmentação do domínio de broadcast lógico, para criar grupos "Particulares".
• Privatesignifica que os hosts na mesma PVLAN não são capazes de serem vistos pelos outros, exceto os selecionados na PVLAN promíscua.
• Standard 802.1Q Tagging indica que não há encapsulamento de uma PVLAN dentro de uma VLAN, tudo é feito com uma tag por pacote.
• No Double Encapsulation indica que os pacotes são marcados de acordo com a configuração da porta do switch (EST mode), ou eles já chegam marcados se a porta é um tronco (VST mode).
• O software de switch decide as portas para encaminhar o quadro, baseando-se no tag e nas tabelas PVLAN.

Uma Private VLAN é ainda dividida em grupos:

• Primary PVLAN– A VLAN original que está sendo dividida em grupos menores é chamada Primary, e todas as PVLANs secundárias existem apenas no interior da primária.
• Secondary PVLANs– As PVLANs secundárias só existem no interior da primária. Cada Secondary PVLAN tem uma VLAN ID específica associada a ela, e cada pacote viajando através dela é marcado com uma identificação, como se fosse uma VLAN normal, e o switch físico associa o comportamento (Isolated, Community ou Promiscuous), dependendo da VLAN ID encontrada em cada pacote.
  
  
  Observação: Dependendo do tipo de grupos envolvidos, os hosts não são capazes de se comunicar uns com os outros, mesmo se eles pertencem ao mesmo grupo.

Três tipos de Secondary PVLANs:

• Promiscuous – Um nó conectado a uma porta em uma PVLAN secundária promíscua pode enviar e receber pacotes a qualquer nó em qualquer VLAN secundária associada à mesma primária. Os roteadores geralmente são conectados às portas promíscuas.
• Isolated – Um nó conectado a uma porta em uma PVLAN secundária isolada só pode enviar e receber pacotes de uma PVLAN promíscua.
• Community – Um nó conectado a uma porta em uma comunidade PVLAN secundária pode enviar e receber pacotes de outras portas na mesma PVLAN secundária, bem como enviar e receber pacotes da PVLAN promíscua.

Observações:

• PVLANs promíscuas têm o mesmo VLAN ID, para Primary e Secondary VLANs.
• Níveis de tráfego PVLAN de comunidade e isolados marcados como a associada Secondary PVLAN.
• Tráfego dentro de PVLANs não é encapsulado (não existe Secondary PVLAN encapsulado dentro de um Primary PVLAN Packet).
• Tráfego entre as máquinas virtuais na mesma PVLAN, mas em diferentes hosts ESX passam pelo Physical Switch. Portanto, o Physical Switch deve ser consciente da PVLAN e configurado apropriadamente,para permitir que as PVLANs secundárias alcancem o destino.
• Switches descobrem endereços MAC pela VLAN. Isso pode ser um problema para PVLANs porque cada máquina virtual aparece ao switch físico como estando em mais de uma VLAN, ou pelo menos, parece que não há nenhuma resposta ao pedido, porque a resposta volta em uma VLAN diferente. Por esta razão, é um requisito que cada switch físico, onde ESX com PVLANs estão ligados, esteja ciente da PVLAN.