[Itsenäinen] Yksityinen VLAN: Tarjotaksemme turvallisen ympäristön jokaiselle käyttäjälle samassa VLAN:ssa, estämme liikenteen käyttäjien välillä samassa VLAN:ssa. Tässä artikkelissa selitetään, miten konfiguroidaan yksityinen VLAN L2+ / Layer 3 -kytkimissämme. Yksityisiä VLAN:eja käytetään estämään liikennettä porttien välillä samassa VLAN:ssa.
Tausta
802.1Q-tunnistepohjaisen VLAN:n käytöllä emme voi estää saman VLAN:n asiakkaiden välistä kommunikointia.
Tarkastellaan tätä skenaariota. Se estää liikenteen porteista 3/4/5 saavuttaakseen turvallisen verkkoympäristön pienelle liiketoimintayksikölle.
Kierrätysratkaisu
Porttien eristäminen (L2-eristys)
- Portit 3-5 eivät voi kommunikoida keskenään
- Portit 3-5 voivat kommunikoida ylösvetävän portin 24 kanssa
Voimme ottaa porttien eristyksen käyttöön porteilla 3/4/5. Eristetyt portit (3-5) eivät voi kommunikoida keskenään, mutta ne voivat kommunikoida ylösvetävän portin 24 kanssa päästäkseen internetiin.
Ongelma porttien eristyksessä: Jos uuden VLAN 200 portit 3-4 haluavat kommunikoida keskenään, porttien eristäminen ei mahdollista tätä.
Ratkaisu: Yksityinen VLAN:
Yksityisen VLAN:n etuna on tarjota uusi tapa estää liikennettä porttien välillä samassa VLAN:ssa. Käyttäjien ei tarvitse ottaa porttien eristystä käyttöön tavoitteen saavuttamiseksi, joka on verkon suojaaminen kohteessa.
Käyttäjät voivat määrittää, mitkä portit samassa VLAN:ssa eivät ole eristettyjä lisäämällä ne promiscuous-porttilistalle.
Kytkin lisää automaattisesti muut tämän VLAN:n portit eristetyiksi porteiksi ja estää liikenteen eristettyjen porttien välillä.
Promiscuous-portit voivat kommunikoida minkä tahansa saman VLAN:n portin kanssa.
Kuitenkin eristetyt portit voivat kommunikoida vain promiscuous-porttien kanssa.
Joten on olemassa kaksi porttisääntöä:
- Promiscuous-portti = Voi kommunikoida minkä tahansa saman VLAN:n portin kanssa
- Eristetty portti = Voi kommunikoida vain saman VLAN:n promiscuous-portin kanssa
Kuinka yksityinen VLAN toimii
- Konfiguroi promiscuous-portti
Esimerkissä portit 3/4/5/24 on määritetty VLAN 100:n jäseniksi.
Portti 24 on valittu promiscuous-portiksi yksityisessä VLAN ID:ssä 100.
Kytkin lisää automaattisesti portit 3/4/5 VLAN100:ssa eristetyiksi porteiksi ja estää liikenteen niiden välillä.
1) Konfiguroi yksityinen VLAN
Siirry kohtaan:
Vanha käyttöliittymä:
Advanced Application > Private VLANUusi käyttöliittymä:
SWITCHING > Private VLAN2) Yksityisen VLAN:n tilat
Normaali: Nämä ovat portteja staattisessa VLAN:ssa. Tämä ei ole yksityinen VLAN.
Promiscuous: Portit ensisijaisessa VLAN:ssa ovat promiscuous-portteja. Ne voivat kommunikoida kaikkien ensisijaisen VLAN:n ja siihen liittyvien Community- ja Isolated-VLAN:ien porttien kanssa. Ne eivät voi kommunikoida promiscuous-porttien kanssa eri ensisijaisissa VLAN:eissa.
Eristetty: Eristetyssä VLAN:ssa olevat portit voivat kommunikoida vain Promiscuous-porttien kanssa liittyvässä Ensisijaisessa VLAN:ssa. Ne eivät voi kommunikoida muiden saman Eristetyn VLAN:n eristettyjen porttien, liittymättömien Ensisijaisten VLAN:ien promiscuous-porttien tai minkään Community-portin kanssa.
Community: Community-VLAN:n portit voivat kommunikoida Promiscuous-porttien kanssa liittyvässä Ensisijaisessa VLAN:ssa ja muiden saman Community-VLAN:n porttien kanssa. Ne eivät voi kommunikoida Eristettyjen VLAN:ien porttien, liittymättömien Ensisijaisten VLAN:ien promiscuous-porttien tai eri Community-VLAN:ien porttien kanssa.
Käyttäjät konfiguroivat promiscuous-portin tietylle VLAN:lle. Jäljelle jäävät saman VLAN:n portit muuttuvat eristetyiksi porteiksi.
3) Konfiguroi liittyvä VLAN
Syötä tähän aiemmin luodun VLAN:n tunnusnumero.
Huom! Tässä valittu VLAN ID ja tila on oltava sama kuin VLAN ID ja VLAN-tyyppi, jotka on luotu kohdassa
SWITCHING > VLAN > VLAN Setup > Static VLANVLAN (Virtual Local Area Network) peruskonfiguraatio:
Kuinka konfiguroida VLAN Zyxel-kytkimessä [GS/XGS-sarja]
Jos haluat oppia tai tietää lisää VLAN-suunnittelustamme, katso täältä:
VLAN:t - Syvällisempi katsaus niiden toimintaan

Kommentit
0 kommenttiaKommentointi on poistettu käytöstä.