[Einzelgerät] Private VLAN: Um eine sichere Umgebung für jeden Benutzer im selben VLAN zu schaffen, blockieren wir den Datenverkehr zwischen Benutzern im selben VLAN. Dieser Artikel erklärt, wie man ein Private VLAN auf unseren L2+ / Layer 3 Switches konfiguriert. Private VLANs werden verwendet, um den Datenverkehr zwischen Ports im selben VLAN zu blockieren.
Hintergrund
Mit 802.1Q getaggten VLANs können wir nicht verhindern, dass Clients im selben VLAN miteinander kommunizieren.
Betrachten Sie dieses Szenario. Es blockiert den Datenverkehr von Port 3/4/5, um eine sichere Netzwerkumgebung für eine kleine Geschäftseinheit zu erreichen.
Workaround
Port-Isolation (L2-Isolation)
- Ports 3-5 können nicht miteinander kommunizieren
- Ports 3-5 können mit dem Uplink-Port 24 kommunizieren
Wir können die Port-Isolation auf den Ports 3/4/5 aktivieren. Isolierte Ports (3-5) können nicht miteinander kommunizieren. Sie können jedoch mit dem Uplink-Port 24 kommunizieren, um auf das Internet zuzugreifen.
Problem bei der Port-Isolation: Wenn Port 3-4 eines neuen VLAN 200 miteinander kommunizieren möchten, kann die Port-Isolation dies nicht ermöglichen.
Lösung Private VLAN:
Der Vorteil eines Private VLANs besteht darin, eine neue Methode bereitzustellen, um den Datenverkehr zwischen Ports im selben VLAN zu blockieren. Benutzer müssen keine Port-Isolation aktivieren, um dieses Ziel zu erreichen, was die Netzwerksicherheit vor Ort verbessert.
Benutzer können angeben, welche Ports im selben VLAN nicht isoliert werden sollen, indem sie diese zur Liste der promiscuous Ports hinzufügen.
Der Switch fügt automatisch die anderen Ports in diesem VLAN als isolierte Ports hinzu und blockiert den Datenverkehr zwischen den isolierten Ports.
Die promiscuous Ports können mit allen Ports im selben VLAN kommunizieren.
Isolierte Ports können jedoch nur mit den promiscuous Ports kommunizieren.
Es gibt also zwei Port-Regeln dafür:
- Promiscuous Port = Kann mit allen Ports im selben VLAN kommunizieren
- Isolierter Port = Kann nur mit promiscuous Ports im selben VLAN kommunizieren
Wie funktioniert Private VLAN
- Konfiguration des promiscuous Ports
Betrachten Sie folgendes Beispiel: Die Ports 3/4/5/24 sind als Mitglieder des VLAN 100 konfiguriert.
Port 24 ist als promiscuous Port im Private VLAN mit der ID 100 ausgewählt.
Der Switch fügt automatisch die Ports 3/4/5 des VLAN 100 als isolierte Ports hinzu und blockiert den Datenverkehr zwischen ihnen.
1) Private VLAN konfigurieren
Navigieren Sie zu:
Alte GUI:
Advanced Application > Private VLANNeue GUI:
SWITCHING > Private VLAN2) Private VLAN Modi
Normal: Dies sind Ports in einem statischen VLAN. Dies ist kein Private VLAN.
Promiscuous: Ports in einem primären VLAN sind promiscuous. Sie können mit allen Ports im primären VLAN sowie den zugehörigen Community und Isolierten VLANs kommunizieren. Sie können nicht mit promiscuous Ports in anderen primären VLANs kommunizieren.
Isoliert: Ports in einem isolierten VLAN können nur mit promiscuous Ports in einem zugehörigen primären VLAN kommunizieren. Sie können nicht mit anderen isolierten Ports im selben isolierten VLAN, nicht zugehörigen primären VLAN promiscuous Ports noch mit Community Ports kommunizieren.
Community: Ports in einem Community VLAN können mit promiscuous Ports in einem zugehörigen primären VLAN und anderen Community Ports im selben Community VLAN kommunizieren. Sie können nicht mit Ports in einem isolierten VLAN, nicht zugehörigen primären VLAN promiscuous Ports oder Community Ports in anderen Community VLANs kommunizieren.
Benutzer konfigurieren einen promiscuous Port für ein bestimmtes VLAN. Die übrigen Ports desselben VLANs werden dann isolierte Ports.
3) Zugehöriges VLAN konfigurieren
Geben Sie hier die VLAN-ID eines zuvor erstellten VLANs ein.
Hinweis! Die hier ausgewählte VLAN-ID und der Modus müssen mit der VLAN-ID und dem VLAN-Typ übereinstimmen, die unter
SWITCHING > VLAN > VLAN Setup > Static VLANerstellt wurden.
Grundkonfiguration VLAN (Virtual Local Area Network):
Wie man VLAN auf Zyxel Switch [GS/XGS-Serie] konfiguriert
Wenn Sie mehr über unser VLAN-Design erfahren möchten, schauen Sie bitte hier:
VLANs – Ein tieferer Einblick in deren Funktionsweise

Kommentare
0 KommentareZu diesem Beitrag können keine Kommentare hinterlassen werden.