[Stand-alone] Private VLAN: For at skabe et sikkert miljø for hver bruger i samme VLAN blokerer vi trafikken mellem brugere i samme VLAN. Denne artikel forklarer, hvordan man konfigurerer et Private VLAN i vores L2+ / Layer 3 switches. Private VLAN'er bruges til at blokere trafik mellem porte i samme VLAN.
Baggrund
Ved brug af 802.1Q tagged-baseret VLAN kan vi ikke blokere, at klienter i samme VLAN kommunikerer med hinanden
Se på dette scenarie. Det blokerer trafik fra port 3/4/5 for at opnå et sikkert netværksmiljø for en lille forretningsenhed.
Løsning
Port isolation (L2 isolation)
- Port 3-5 kan ikke kommunikere med hinanden
- Port 3-5 kan kommunikere med uplink port 24
Vi kan aktivere port isolation på port 3/4/5. Isolerede porte (3-5) kan ikke kommunikere med hinanden. Men de kan kommunikere med uplink port 24 for at få adgang til internettet.
Problem med Port Isolation: Hvis port 3-4 i et nyt VLAN 200 ønsker at kommunikere med hinanden, kan port isolation ikke opnå dette.
Løsning Private VLAN:
Fordelene ved et Private VLAN er, at det giver en ny metode til at blokere trafik mellem porte i samme VLAN. Brugere behøver ikke at aktivere port isolation for at opnå målet, som er at sikre netværket på stedet.
Brugere kan specificere, hvilke porte i samme VLAN der ikke skal isoleres ved at tilføje dem til listen over promiscuøse porte.
Switchen tilføjer automatisk de andre porte i dette VLAN som isolerede porte og blokerer trafik mellem de isolerede porte.
De promiscuøse porte kan kommunikere med alle porte i samme VLAN.
Isolerede porte kan dog kun kommunikere med de promiscuøse porte.
Der er altså to Port Regler for det:
- Promiscuous Port = Kan kommunikere med alle porte i samme VLAN
- Isolated Port = Kan kun kommunikere med promiscuøse porte i samme VLAN
Hvordan virker Private VLAN
- Konfigurer promiscuøs port
Se på eksemplet; port 3/4/5/24 er konfigureret som medlemmer af VLAN 100.
Port 24 er valgt som en promiscuøs port i Private VLAN ID: 100.
Switchen tilføjer automatisk port 3/4/5 i VLAN100 som isolerede porte og blokerer trafik mellem dem.
1) Konfigurer Private VLAN
Gå til:
Gammel GUI:
Advanced Application > Private VLANNy GUI:
SWITCHING > Private VLAN2) Private VLAN-tilstande
Normal: Disse er porte i et statisk VLAN. Dette er ikke et privat VLAN
Promiscuous: Porte i et primært VLAN er promiscuøse. De kan kommunikere med alle porte i det primære VLAN og tilknyttede Community og Isolerede VLAN'er. De kan ikke kommunikere med Promiscuous porte i forskellige primære VLAN'er.
Isoleret: Porte i et Isoleret VLAN kan kun kommunikere med Promiscuous porte i et tilknyttet Primært VLAN. De kan ikke kommunikere med andre Isolerede porte i samme Isolerede VLAN, ikke-tilknyttede Primære VLAN Promiscuous porte eller nogen Community porte.
Community: Porte i et Community VLAN kan kommunikere med Promiscuous porte i et tilknyttet Primært VLAN og andre community-porte i samme Community VLAN. De kan ikke kommunikere med porte i et Isoleret VLAN, ikke-tilknyttede Primære VLAN Promiscuous porte eller Community porte i forskellige Community VLAN'er.
Brugere konfigurerer en promiscuøs port for et specifikt VLAN. Så vil de øvrige porte i samme VLAN blive isolerede porte.
3) Konfigurer tilknyttet VLAN
Indtast VLAN ID for et tidligere oprettet VLAN her.
Bemærk! VLAN ID og den valgte tilstand her skal være den samme som VLAN ID og VLAN-type oprettet i
SWITCHING > VLAN > VLAN Setup > Static VLANGrundlæggende VLAN-konfiguration (Virtual Local Area Network):
Sådan konfigureres VLAN på Zyxel Switch [GS/XGS-Serie]
Hvis du ønsker at lære/mere om vores VLAN-design, kan du se her:
VLANs - Tagged VLANs vs. PVID (Opsætningseksempel på Untagged/Tagged VLAN på en GS22XX-Switch)
VLANs - Et dybere kig på, hvordan de fungerer

Kommentarer
0 kommentarerArtiklen er lukket for kommentarer.