[Samostatný] Private VLAN: Abychom poskytli bezpečné prostředí pro každého uživatele ve stejné VLAN, blokujeme provoz mezi uživateli ve stejné VLAN. Tento článek vysvětluje, jak nakonfigurovat Private VLAN v našich L2+ / Layer 3 switchích. Private VLAN se používají k blokování provozu mezi porty ve stejné VLAN.
Pozadí
Použitím VLAN založených na označování 802.1Q nemůžeme zabránit klientům ve stejné VLAN, aby spolu komunikovali.
Podívejme se na tento scénář. Blokuje provoz z portů 3/4/5, aby dosáhl bezpečného síťového prostředí pro malou podnikatelskou jednotku.
Řešení
Izolace portu (L2 izolace)
- Porty 3-5 nemohou mezi sebou komunikovat
- Porty 3-5 mohou komunikovat s uplink portem 24
Můžeme povolit izolaci portu na portech 3/4/5. Izolované porty (3-5) nemohou mezi sebou komunikovat. Ale mohou komunikovat s uplink portem 24 pro přístup na internet.
Problém s izolací portů: Pokud by porty 3-4 v nové VLAN 200 chtěly mezi sebou komunikovat, izolace portů to neumožní.
Řešení Private VLAN:
Výhody Private VLAN spočívají v poskytnutí nové metody blokování provozu mezi porty ve stejné VLAN. Uživatelé nemusí povolovat izolaci portů, aby dosáhli cíle zabezpečení sítě na místě.
Uživatelé mohou specifikovat, které porty ve stejné VLAN nebudou izolovány, přidáním těchto portů do seznamu promiscuous portů.
Switch automaticky přidá ostatní porty v této VLAN jako izolované porty a blokuje provoz mezi izolovanými porty.
Promiscuous porty mohou komunikovat s jakýmikoli porty ve stejné VLAN.
Izolované porty však mohou komunikovat pouze s promiscuous porty.
Takže existují dvě pravidla pro porty:
- Promiscuous port = Může komunikovat s jakýmikoli porty ve stejné VLAN
- Izolovaný port = Může komunikovat pouze s promiscuous portem ve stejné VLAN
Jak funguje Private VLAN
- Konfigurace promiscuous portu
Příklad: porty 3/4/5/24 jsou nakonfigurovány jako členové VLAN 100.
Port 24 je vybrán jako promiscuous port v Private VLAN ID: 100.
Switch automaticky přidá porty 3/4/5 VLAN 100 jako izolované porty a blokuje provoz mezi nimi.
1) Konfigurace Private VLAN
Jděte na:
Staré GUI:
Advanced Application > Private VLANNové GUI:
SWITCHING > Private VLAN2) Režimy Private VLAN
Normální: Tyto porty jsou ve statické VLAN. Není to private VLAN.
Promiscuous: Porty v primární VLAN jsou promiscuous. Mohou komunikovat se všemi porty v primární VLAN a přidružených Community a Isolated VLANách. Nemohou komunikovat s promiscuous porty v jiných primárních VLANách.
Izolované: Porty v izolované VLAN mohou komunikovat pouze s promiscuous porty v přidružené primární VLAN. Nemohou komunikovat s ostatními izolovanými porty ve stejné izolované VLAN, s nepřidruženými primárními VLAN promiscuous porty ani s žádnými community porty.
Community: Porty v community VLAN mohou komunikovat s promiscuous porty v přidružené primární VLAN a s ostatními community porty ve stejné community VLAN. Nemohou komunikovat s porty v izolované VLAN, s nepřidruženými primárními VLAN promiscuous porty ani s community porty v jiných community VLANách.
Uživatelé konfigurují promiscuous port pro specifickou VLAN. Ostatní porty ve stejné VLAN se stanou izolovanými porty.
3) Konfigurace přidružené VLAN
Zadejte zde ID VLAN dříve vytvořené VLAN.
Poznámka! ID VLAN a vybraný režim zde musí být stejný jako ID VLAN a typ VLAN vytvořený v
SWITCHING > VLAN > VLAN Setup > Static VLANZákladní konfigurace VLAN (Virtual Local Area Network):
Jak konfigurovat VLAN na Zyxel Switch [GS/XGS-Series]
Pokud chcete vědět více o našem návrhu VLAN, podívejte se zde:
VLANs - Tagged VLANs vs. PVID (Příklad nastavení Untagged/Tagged VLAN na GS22XX-Switch)
VLANs - Podrobnější pohled na jejich fungování

Komentáře
0 komentářůK článku není možné přidávat komentáře.