Превключвател - Конфигуриране на частна VLAN [Преглед]

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

[Самостоятелна] Частна VLAN: За да осигурим сигурна среда за всеки потребител в една и съща VLAN, блокираме трафика между потребителите в същата VLAN. Тази статия обяснява как да конфигурираме Private VLAN в нашите L2+ / Layer 3 комутатори. Частните VLAN се използват за блокиране на трафика между портовете в една и съща VLAN.

Фон

При използване на 802.1Q VLAN, базирани на етикети, не можем да блокираме комуникацията между клиентите в една и съща VLAN

mceclip0.png

Разгледайте този сценарий. Той блокира трафика от порт 3/4/5, за да се постигне мрежова среда за сигурност за малка бизнес единица.

Заобикаляне на проблема

Изолиране на портове (изолация L2)

  • Портове 3-5 не могат да комуникират помежду си
  • Port 3-5 може да комуникира с uplink port 24

Можем да активираме изолирането на портове на порт 3/4/5. изолираните портове (3-5) не могат да комуникират помежду си. Но те могат да комуникират с uplink порт 24 за достъп до интернет.

mceclip1.png

Проблем с изолирането на портове: Ако порт 3-4 от нова VLAN 200 иска да комуникира помежду си, изолацията на порта не може да направи това.

Решение Частна VLAN:

Предимствата на частната VLAN са да осигури нов метод за блокиране на трафика между портовете в една и съща VLAN. Не е необходимо потребителите да активират изолирането на портовете, за да постигнат целта, която е да се защити мрежата в обекта.

Потребителите могат да определят кои портове в една и съща VLAN да не бъдат изолирани, като ги добавят към списъка с промискуитетни портове.

Комутаторът автоматично добавя други портове в тази VLAN като изолирани портове и блокира трафика между изолираните портове.

Промискуитетните портове могат да комуникират с всички портове в същата VLAN.

Изолираните портове обаче могат да комуникират само с промискуитетните портове.

Затова има две правила за портове:

  • Promiscuous Port = може да комуникира с всички портове в същата VLAN
  • Изолиран порт = може да комуникира само с промискуитетен порт в същата VLAN

mceclip2.png

Как работи частната VLAN

  • Конфигуриране на промискуитетен порт

mceclip3.png

Погледнете примера; порт 3/4/5/24 е конфигуриран да бъде член на VLAN 100.

Порт 24 е избран като промискуитетен порт в частна VLAN ID: 100.

Комутаторът автоматично добавя порт 3/4/5 от VLAN100 като изолирани портове и блокира трафика между тях.

1) Конфигуриране на Private VLAN

Навигирайте до:

Старият графичен интерфейс:

Advanced Application > Private VLAN

mceclip4.png

Нов графичен интерфейс: 

SWITCHING > Private VLAN

2) Режими на частни VLAN

Нормален: Това са портове в статична VLAN. Това не е частна VLAN

Promiscuous (промискуитетен): Портовете в основната VLAN са промискуитетни. Те могат да комуникират с всички портове в основната VLAN и свързаните с нея Community и Isolated VLAN. Те не могат да комуникират с Promiscuous портове в различни първични VLAN.

Изолирани: Портовете в изолирана VLAN могат да комуникират само с Promiscuous портове в асоциирана първична VLAN. Те не могат да комуникират с други изолирани портове в същата изолирана VLAN, с неасоциирани първични VLAN Promiscuous портове, нито с каквито и да било общностни портове.

Общност: Портовете във ВЛВМ на общността могат да комуникират с промискуитетни портове в асоциирана първична ВЛВМ и с други портове на общността в същата ВЛВМ на общността. Те не могат да комуникират с портове в изолирана VLAN, неасоциирани портове Promiscuous в Primary VLAN, нито с портове на Общността в различни VLAN на Общността.

Потребителите конфигурират промискуитетен порт за конкретна VLAN. Така останалите портове от същата VLAN ще станат изолирани портове.

3) Конфигуриране на асоциирана VLAN

Тук въведете идентификатора на VLAN на предварително създадена VLAN.

Забележка! Избраните тук VLAN ID и Mode (Режим) трябва да са същите като VLAN ID и VLAN Type (Тип на VLAN), създадени в 

SWITCHING > VLAN > VLAN Setup > Static VLAN

Основна конфигурация на VLAN (виртуална локална мрежа):

Как да конфигурирате VLAN на комутатора Zyxel [GS/XGS-Series]

GS1900: Как да конфигурирате VLAN на комутатора Zyxel

Ако искате да научите/знаете повече за нашия дизайн на VLAN, моля, погледнете тук:

VLANs - Tagged VLANs vs. PVID (пример за настройка на Untagged/Tagged VLAN на комутатор GS22XX)

VLANs - по-задълбочен поглед върху работата им

Помощ при конфигурирането, търсите помощ при конфигурирането от нашия екип за професионални услуги? Моля, проверете тук: Zyxel ConfigService Switch

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
0 от 1 считат материала за полезен
Споделяне

Коментари

0 коментара

Статията е затворена за коментари.