Vaihde - Määritä yksityinen VLAN [Yleiskatsaus]

Luotu 23. jouluk. 2021, 12.38 - Päivitetty 23. elok. 2023, 09.49

Serhii Boiarynov

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

[Stand-alone] Yksityinen VLAN: Tarjotaksemme turvallisen ympäristön jokaiselle samaan VLAN:iin kuuluvalle käyttäjälle, estämme saman VLAN:n käyttäjien välisen liikenteen. Tässä artikkelissa kerrotaan, miten yksityinen VLAN määritetään L2+ / Layer 3 -kytkimissämme. Yksityisiä VLANeja käytetään estämään samassa VLANissa olevien porttien välinen liikenne.

Taustaa

Käyttämällä 802.1Q-merkittyyn VLAN:iin perustuvaa VLAN:ia emme voi estää samaan VLAN:iin kuuluvien asiakkaiden yhteydenpitoa toistensa kanssa.

Katso tätä skenaariota. Se estää liikenteen portista 3/4/5, jotta saavutetaan turvaverkkoympäristö pienyrityksen yksikölle.

Ratkaisu

Portin eristäminen (L2-eristäminen)

Portit 3-5 eivät voi kommunikoida keskenään
Portti 3-5 voi kommunikoida uplink-portin 24 kanssa

Voimme ottaa porttieristyksen käyttöön portissa 3/4/5. Eristetyt portit (3-5) eivät voi kommunikoida keskenään. Mutta ne voivat kommunikoida uplink-portin 24 kanssa ja käyttää Internetiä.

Ongelma porttien eristämisessä: Jos uuden VLAN 200:n portit 3-4 haluaisivat kommunikoida keskenään, porttien eristäminen ei onnistu.

Ratkaisu Yksityinen VLAN:

Yksityisen VLAN:n edut ovat, että se tarjoaa uuden menetelmän estää liikenteen samassa VLAN:ssa olevien porttien välillä. Käyttäjien ei tarvitse ottaa käyttöön porttien eristämistä tavoitteen saavuttamiseksi, joka on verkon suojaaminen paikan päällä.

Käyttäjät voivat määrittää, mitä samassa VLAN:ssa olevia portteja ei saa eristää lisäämällä ne promiscuous-porttiluetteloon.

Kytkin lisää automaattisesti tämän VLAN:n muut portit eristetyiksi porteiksi ja estää eristettyjen porttien välisen liikenteen.

Vapaat portit voivat kommunikoida minkä tahansa samassa VLANissa olevan portin kanssa.

Eristetyt portit voivat kuitenkin kommunikoida vain promiscuous-porttien kanssa.

Joten sitä varten on kaksi porttisääntöä:

voi kommunikoida minkä tahansa saman VLANin portin kanssa.
Isolated Port = Voi kommunikoida vain saman VLAN:n promiscuous-porttien kanssa.

Miten yksityinen VLAN toimii

Määritä promiscuous-portti

Katso esimerkkiä; portit 3/4/5/24 on määritetty VLAN 100:n jäseniksi.

Portti 24 on valittu promiscuous-portiksi Private VLAN ID: 100.

Kytkin lisää automaattisesti VLAN100:n portit 3/4/5 eristetyiksi porteiksi ja estää niiden välisen liikenteen.

1) Määritä yksityinen VLAN

Siirry osoitteeseen:

Vanha graafinen käyttöliittymä:

dyn_repppppppp_0

Uusi graafinen käyttöliittymä:

dyn_repppppppp_1

2) Yksityiset VLAN-tilat

Normaali: Nämä ovat staattisen VLANin portteja. Tämä ei ole yksityinen VLAN

Promiscuous: Ensisijaisen VLANin portit ovat promiscuous. Ne voivat kommunikoida kaikkien ensisijaisen VLAN:n ja siihen liittyvien yhteisön ja eristettyjen VLAN:ien porttien kanssa. Ne eivät voi kommunikoida eri ensisijaisten VLANien Promiscuous-porttien kanssa.

Eristetty: Eristetyn VLAN:n portit voivat kommunikoida vain siihen liittyvän ensisijaisen VLAN:n Promiscuous-porttien kanssa. Ne eivät voi olla yhteydessä muihin eristettyihin portteihin samassa eristetyssä VLAN:ssa, ei-assosioituneisiin ensisijaisen VLAN:n Promiscuous-portteihin eivätkä yhteisön portteihin.

Yhteisö: Yhteisön VLAN:n portit voivat kommunikoida siihen liittyvän ensisijaisen VLAN:n Promiscuous-porttien ja muiden samassa yhteisön VLAN:ssa olevien yhteisön porttien kanssa. Ne eivät voi kommunikoida Isolated VLAN:n porttien, ei-assosioituneiden Primary VLAN:n Promiscuous-porttien eivätkä eri Community VLAN:ien Community-porttien kanssa.

Käyttäjät määrittävät promiscuous-portin tiettyä VLANia varten. Näin saman VLANin muista porteista tulee eristettyjä portteja.