大學(xué)宿舍網(wǎng)絡(luò)的管理可以評定為“最難管理的網(wǎng)絡(luò)”之一。有些用戶安裝ARP防火墻，開啟主動防御，且設(shè)置了較大的值，這樣網(wǎng)絡(luò)被大量的無用ARP數(shù)據(jù)包占據(jù)。另外一個現(xiàn)象，很多用戶沒有安裝殺毒軟件或者沒有及時升級，計算機被病毒感染后，向網(wǎng)絡(luò)發(fā)送大量的病毒包。在交換機性能不變的情況下，數(shù)據(jù)包轉(zhuǎn)發(fā)量恒定，ARP包和病毒包多了，有效數(shù)據(jù)包就少了，所以網(wǎng)絡(luò)的傳輸速度就明顯慢了下來，且過多的無用數(shù)據(jù)包還會導(dǎo)致交換機性能的下降。

啟示：傳統(tǒng)VLAN無法應(yīng)對大學(xué)宿舍

傳統(tǒng)的解決方法是給每個客戶分配一個VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Ethernet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的可擴展方面的局限。這些局限主要有下述幾方面：

*VLAN的限制：交換機固有的VLAN數(shù)目的限制；

*復(fù)雜的STP：對于每個VLAN，每個相關(guān)的SpanningTree的拓撲都需要管理；

*IP地址的緊缺：IP子網(wǎng)的劃分勢必造成一些IP地址的浪費；

*路由的限制：每個子網(wǎng)都需要相應(yīng)的默認網(wǎng)關(guān)的配置，如果使用HSRP，每個子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置

很多廠商的交換機中引入了一種新的VLAN機制，主要作用是將客戶端只能與自己的缺省網(wǎng)關(guān)通信。這一新的VLAN特性就是專用VLAN（PrivateVLAN，PVLAN）。這種特性是不但適合大學(xué)校園，也很適用于IDC。

IDC環(huán)境是一個典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個托管客戶從一個公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供Web服務(wù)，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān)重要。一個專用VLAN不需要多個VLAN和IP子網(wǎng)就提供了這樣的安全連接。在這一模型中，所有的服務(wù)器都接入專用VLAN，從而實現(xiàn)了所有服務(wù)器與缺省網(wǎng)關(guān)的連接，而與專用VLAN內(nèi)的其他服務(wù)器沒有任何訪問。