Switch – Übersicht zur Konfiguration von Private VLAN

[Einzelgerät] Private VLAN: Um eine sichere Umgebung für jeden Benutzer im selben VLAN zu schaffen, blockieren wir den Datenverkehr zwischen Benutzern im selben VLAN. Dieser Artikel erklärt, wie man ein Private VLAN auf unseren L2+ / Layer 3 Switches konfiguriert. Private VLANs werden verwendet, um den Datenverkehr zwischen Ports im selben VLAN zu blockieren.

Hintergrund

Mit 802.1Q getaggten VLANs können wir nicht verhindern, dass Clients im selben VLAN miteinander kommunizieren.

mceclip0.png

Betrachten Sie dieses Szenario. Es blockiert den Datenverkehr von Port 3/4/5, um eine sichere Netzwerkumgebung für eine kleine Geschäftseinheit zu erreichen.

Workaround

Port-Isolation (L2-Isolation)

  • Ports 3-5 können nicht miteinander kommunizieren
  • Ports 3-5 können mit dem Uplink-Port 24 kommunizieren

Wir können die Port-Isolation auf den Ports 3/4/5 aktivieren. Isolierte Ports (3-5) können nicht miteinander kommunizieren. Sie können jedoch mit dem Uplink-Port 24 kommunizieren, um auf das Internet zuzugreifen.

mceclip1.png

Problem bei der Port-Isolation: Wenn Port 3-4 eines neuen VLAN 200 miteinander kommunizieren möchten, kann die Port-Isolation dies nicht ermöglichen.

Lösung Private VLAN:

Der Vorteil eines Private VLANs besteht darin, eine neue Methode bereitzustellen, um den Datenverkehr zwischen Ports im selben VLAN zu blockieren. Benutzer müssen keine Port-Isolation aktivieren, um dieses Ziel zu erreichen, was die Netzwerksicherheit vor Ort verbessert.

Benutzer können angeben, welche Ports im selben VLAN nicht isoliert werden sollen, indem sie diese zur Liste der promiscuous Ports hinzufügen.

Der Switch fügt automatisch die anderen Ports in diesem VLAN als isolierte Ports hinzu und blockiert den Datenverkehr zwischen den isolierten Ports.

Die promiscuous Ports können mit allen Ports im selben VLAN kommunizieren.

Isolierte Ports können jedoch nur mit den promiscuous Ports kommunizieren.

Es gibt also zwei Port-Regeln dafür:

  • Promiscuous Port = Kann mit allen Ports im selben VLAN kommunizieren
  • Isolierter Port = Kann nur mit promiscuous Ports im selben VLAN kommunizieren

mceclip2.png

Wie funktioniert Private VLAN

  • Konfiguration des promiscuous Ports

mceclip3.png

Betrachten Sie folgendes Beispiel: Die Ports 3/4/5/24 sind als Mitglieder des VLAN 100 konfiguriert.

Port 24 ist als promiscuous Port im Private VLAN mit der ID 100 ausgewählt.

Der Switch fügt automatisch die Ports 3/4/5 des VLAN 100 als isolierte Ports hinzu und blockiert den Datenverkehr zwischen ihnen.

1) Private VLAN konfigurieren

Navigieren Sie zu:

Alte GUI:

Advanced Application > Private VLAN

mceclip4.png

Neue GUI:

SWITCHING > Private VLAN

Private VLAN

2) Private VLAN Modi

Normal: Dies sind Ports in einem statischen VLAN. Dies ist kein Private VLAN.

Promiscuous: Ports in einem primären VLAN sind promiscuous. Sie können mit allen Ports im primären VLAN sowie den zugehörigen Community und Isolierten VLANs kommunizieren. Sie können nicht mit promiscuous Ports in anderen primären VLANs kommunizieren.

Isoliert: Ports in einem isolierten VLAN können nur mit promiscuous Ports in einem zugehörigen primären VLAN kommunizieren. Sie können nicht mit anderen isolierten Ports im selben isolierten VLAN, nicht zugehörigen primären VLAN promiscuous Ports noch mit Community Ports kommunizieren.

Community: Ports in einem Community VLAN können mit promiscuous Ports in einem zugehörigen primären VLAN und anderen Community Ports im selben Community VLAN kommunizieren. Sie können nicht mit Ports in einem isolierten VLAN, nicht zugehörigen primären VLAN promiscuous Ports oder Community Ports in anderen Community VLANs kommunizieren.

Benutzer konfigurieren einen promiscuous Port für ein bestimmtes VLAN. Die übrigen Ports desselben VLANs werden dann isolierte Ports.

3) Zugehöriges VLAN konfigurieren

Geben Sie hier die VLAN-ID eines zuvor erstellten VLANs ein.

Hinweis! Die hier ausgewählte VLAN-ID und der Modus müssen mit der VLAN-ID und dem VLAN-Typ übereinstimmen, die unter

SWITCHING > VLAN > VLAN Setup > Static VLAN

erstellt wurden.

Grundkonfiguration VLAN (Virtual Local Area Network):

Wie man VLAN auf Zyxel Switch [GS/XGS-Serie] konfiguriert

Wenn Sie mehr über unser VLAN-Design erfahren möchten, schauen Sie bitte hier:

VLANs – Tagged VLANs vs. PVID (Beispiel zur Einrichtung von Untagged/Tagged VLAN auf einem GS22XX-Switch)

VLANs – Ein tieferer Einblick in deren Funktionsweise

 

Beiträge in diesem Abschnitt

War dieser Beitrag hilfreich?
0 von 1 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Zu diesem Beitrag können keine Kommentare hinterlassen werden.