Switch - Yksityisen VLAN:n yleiskatsaus

[Itsenäinen] Yksityinen VLAN: Tarjotaksemme turvallisen ympäristön jokaiselle käyttäjälle samassa VLAN:ssa, estämme liikenteen käyttäjien välillä samassa VLAN:ssa. Tässä artikkelissa selitetään, miten konfiguroidaan yksityinen VLAN L2+ / Layer 3 -kytkimissämme. Yksityisiä VLAN:eja käytetään estämään liikennettä porttien välillä samassa VLAN:ssa.

Tausta

802.1Q-tunnistepohjaisen VLAN:n käytöllä emme voi estää saman VLAN:n asiakkaiden välistä kommunikointia.

mceclip0.png

Tarkastellaan tätä skenaariota. Se estää liikenteen porteista 3/4/5 saavuttaakseen turvallisen verkkoympäristön pienelle liiketoimintayksikölle.

Kierrätysratkaisu

Porttien eristäminen (L2-eristys)

  • Portit 3-5 eivät voi kommunikoida keskenään
  • Portit 3-5 voivat kommunikoida ylösvetävän portin 24 kanssa

Voimme ottaa porttien eristyksen käyttöön porteilla 3/4/5. Eristetyt portit (3-5) eivät voi kommunikoida keskenään, mutta ne voivat kommunikoida ylösvetävän portin 24 kanssa päästäkseen internetiin.

mceclip1.png

Ongelma porttien eristyksessä: Jos uuden VLAN 200 portit 3-4 haluavat kommunikoida keskenään, porttien eristäminen ei mahdollista tätä.

Ratkaisu: Yksityinen VLAN:

Yksityisen VLAN:n etuna on tarjota uusi tapa estää liikennettä porttien välillä samassa VLAN:ssa. Käyttäjien ei tarvitse ottaa porttien eristystä käyttöön tavoitteen saavuttamiseksi, joka on verkon suojaaminen kohteessa.

Käyttäjät voivat määrittää, mitkä portit samassa VLAN:ssa eivät ole eristettyjä lisäämällä ne promiscuous-porttilistalle.

Kytkin lisää automaattisesti muut tämän VLAN:n portit eristetyiksi porteiksi ja estää liikenteen eristettyjen porttien välillä.

Promiscuous-portit voivat kommunikoida minkä tahansa saman VLAN:n portin kanssa.

Kuitenkin eristetyt portit voivat kommunikoida vain promiscuous-porttien kanssa.

Joten on olemassa kaksi porttisääntöä:

  • Promiscuous-portti = Voi kommunikoida minkä tahansa saman VLAN:n portin kanssa
  • Eristetty portti = Voi kommunikoida vain saman VLAN:n promiscuous-portin kanssa

mceclip2.png

Kuinka yksityinen VLAN toimii

  • Konfiguroi promiscuous-portti

mceclip3.png

Esimerkissä portit 3/4/5/24 on määritetty VLAN 100:n jäseniksi.

Portti 24 on valittu promiscuous-portiksi yksityisessä VLAN ID:ssä 100.

Kytkin lisää automaattisesti portit 3/4/5 VLAN100:ssa eristetyiksi porteiksi ja estää liikenteen niiden välillä.

1) Konfiguroi yksityinen VLAN

Siirry kohtaan:

Vanha käyttöliittymä:

Advanced Application > Private VLAN

mceclip4.png

Uusi käyttöliittymä:

SWITCHING > Private VLAN

Private VLAN

2) Yksityisen VLAN:n tilat

Normaali: Nämä ovat portteja staattisessa VLAN:ssa. Tämä ei ole yksityinen VLAN.

Promiscuous: Portit ensisijaisessa VLAN:ssa ovat promiscuous-portteja. Ne voivat kommunikoida kaikkien ensisijaisen VLAN:n ja siihen liittyvien Community- ja Isolated-VLAN:ien porttien kanssa. Ne eivät voi kommunikoida promiscuous-porttien kanssa eri ensisijaisissa VLAN:eissa.

Eristetty: Eristetyssä VLAN:ssa olevat portit voivat kommunikoida vain Promiscuous-porttien kanssa liittyvässä Ensisijaisessa VLAN:ssa. Ne eivät voi kommunikoida muiden saman Eristetyn VLAN:n eristettyjen porttien, liittymättömien Ensisijaisten VLAN:ien promiscuous-porttien tai minkään Community-portin kanssa.

Community: Community-VLAN:n portit voivat kommunikoida Promiscuous-porttien kanssa liittyvässä Ensisijaisessa VLAN:ssa ja muiden saman Community-VLAN:n porttien kanssa. Ne eivät voi kommunikoida Eristettyjen VLAN:ien porttien, liittymättömien Ensisijaisten VLAN:ien promiscuous-porttien tai eri Community-VLAN:ien porttien kanssa.

Käyttäjät konfiguroivat promiscuous-portin tietylle VLAN:lle. Jäljelle jäävät saman VLAN:n portit muuttuvat eristetyiksi porteiksi.

3) Konfiguroi liittyvä VLAN

Syötä tähän aiemmin luodun VLAN:n tunnusnumero.

Huom! Tässä valittu VLAN ID ja tila on oltava sama kuin VLAN ID ja VLAN-tyyppi, jotka on luotu kohdassa

SWITCHING > VLAN > VLAN Setup > Static VLAN

VLAN (Virtual Local Area Network) peruskonfiguraatio:

Kuinka konfiguroida VLAN Zyxel-kytkimessä [GS/XGS-sarja]

Jos haluat oppia tai tietää lisää VLAN-suunnittelustamme, katso täältä:

VLAN:t - Tunnistetut VLAN:t vs. PVID (Esimerkki konfiguraatiosta ilman tunnistetta / tunnistetulla VLAN:lla GS22XX-kytkimessä)

VLAN:t - Syvällisempi katsaus niiden toimintaan

 

Tämän osion artikkelit

Oliko tämä artikkeli hyödyllinen?
0/1 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kommentointi on poistettu käytöstä.