Přepínač - Konfigurace privátní sítě VLAN [Přehled]

Vytvořeno 23.12. 2021 12:38 - Aktualizováno 23.08. 2023 09:49

Serhii Boiarynov

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte původní článek zde: Originální verze

[Samostatná] Privátní VLAN: Abychom zajistili bezpečné prostředí pro každého uživatele ve stejné VLAN, blokujeme provoz mezi uživateli ve stejné VLAN. Tento článek vysvětluje, jak nakonfigurovat privátní VLAN v našich přepínačích L2+ / Layer 3. Privátní VLAN slouží k blokování provozu mezi porty ve stejné VLAN.

Pozadí

Při použití VLAN založených na značkách 802.1Q nemůžeme blokovat vzájemnou komunikaci klientů ve stejné VLAN.

Podívejte se na tento scénář. Blokuje provoz z portu 3/4/5, aby bylo dosaženo bezpečnostního síťového prostředí pro malou obchodní jednotku.

Řešení

Izolace portů (izolace L2)

Porty 3-5 spolu nemohou komunikovat
Port 3-5 může komunikovat s portem uplink 24

Můžeme povolit izolaci portů na portu 3/4/5. Izolované porty (3-5) spolu nemohou komunikovat. Mohou však komunikovat s uplink portem 24 a přistupovat k internetu.

Problém s izolací portů: Pokud by porty 3-4 nové VLAN 200 chtěly komunikovat mezi sebou, izolace portů to neumožní.

Řešení Privátní VLAN:

Výhody privátní VLAN spočívají v tom, že poskytuje novou metodu blokování provozu mezi porty ve stejné VLAN. Uživatelé nemusí povolovat izolaci portů, aby dosáhli cíle, kterým je zabezpečení sítě v místě.

Uživatelé mohou určit, které porty ve stejné VLAN nemají být izolovány, a to přidáním do seznamu promiskuitních portů.

Přepínač automaticky přidá ostatní porty v této VLAN mezi izolované porty a zablokuje přenosy mezi izolovanými porty.

Porty promiskuitní sítě mohou komunikovat s libovolnými porty ve stejné VLAN.

Izolované porty však mohou komunikovat pouze s porty promiskuitními.

Proto pro ně existují dvě pravidla pro porty:

Promiskuitní port = může komunikovat s libovolnými porty ve stejné VLAN.
Izolovaný port = může komunikovat pouze s promiskuitním portem ve stejné VLAN.

Jak funguje privátní VLAN

Konfigurace promiskuitního portu

Podívejte se na příklad; port 3/4/5/24 je nakonfigurován jako člen VLAN 100.

Port 24 je vybrán jako promiskuitní port v privátní VLAN ID: 100.

Přepínač automaticky přidá port 3/4/5 VLAN100 mezi izolované porty a zablokuje provoz mezi nimi.

1) Konfigurace privátní VLAN

Přejděte na stránku:

Přejděte do starého grafického rozhraní:

dyn_repppp_0

Nové grafické rozhraní:

SWITCHING > Private VLAN

2) Soukromé režimy VLAN

Normální : Jedná se o porty ve statické VLAN. Nejedná se o privátní VLAN

Promiskuitní : Porty v primární VLAN jsou promiskuitní. Mohou komunikovat se všemi porty v primární VLAN a přidružených komunitních a izolovaných VLAN. Nemohou komunikovat s porty Promiscuous v různých primárních VLAN.

Izolované: Porty v izolované VLAN mohou komunikovat pouze s porty Promiscuous v přidružené primární VLAN. Nemohou komunikovat s jinými izolovanými porty ve stejné izolované VLAN, s nepřiřazenými porty Promiscuous v primární VLAN ani s žádnými porty komunity.

Komunita: Porty v komunitní VLAN mohou komunikovat s porty Promiscuous v asociované primární VLAN a s ostatními komunitními porty ve stejné komunitní VLAN. Nemohou komunikovat s porty v izolované VLAN, nepropojenými porty primární VLAN Promiscuous ani s porty komunity v různých VLAN komunity.

Uživatelé konfigurují promiskuitní port pro konkrétní VLAN. Ostatní porty stejné VLAN se tak stanou izolovanými porty.