Switch - Panoramica Configurazione Private VLAN

[Stand-alone] Private VLAN: Per fornire un ambiente sicuro per ogni utente nella stessa VLAN, blocchiamo il traffico tra gli utenti nella stessa VLAN. Questo articolo spiega come configurare una Private VLAN nei nostri switch L2+ / Layer 3. Le Private VLAN vengono utilizzate per bloccare il traffico tra le porte nella stessa VLAN.

Background

Utilizzando VLAN basate su tag 802.1Q, non possiamo bloccare la comunicazione tra client nella stessa VLAN

mceclip0.png

Osserviamo questo scenario. Blocca il traffico dalle porte 3/4/5 per ottenere un ambiente di rete sicuro per una piccola unità aziendale.

Soluzione alternativa

Isolamento porte (isolamento L2)

  • Le porte 3-5 non possono comunicare tra loro
  • Le porte 3-5 possono comunicare con la porta uplink 24

Possiamo abilitare l'isolamento porte sulle porte 3/4/5. Le porte isolate (3-5) non possono comunicare tra loro. Ma possono comunicare con la porta uplink 24 per accedere a Internet.

mceclip1.png

Problema con l'isolamento porte: Se le porte 3-4 di una nuova VLAN 200 desiderano comunicare tra loro, l'isolamento porte non lo permette.

Soluzione Private VLAN:

I vantaggi di una Private VLAN sono fornire un nuovo metodo per bloccare il traffico tra porte nella stessa VLAN. Gli utenti non devono abilitare l'isolamento porte per raggiungere l'obiettivo, che è garantire la sicurezza della rete sul sito.

Gli utenti possono specificare quali porte nella stessa VLAN non devono essere isolate aggiungendole alla lista delle porte promiscuous.

Lo switch aggiunge automaticamente le altre porte in questa VLAN come porte isolate e blocca il traffico tra le porte isolate.

Le porte promiscuous possono comunicare con qualsiasi porta nella stessa VLAN.

Tuttavia, le porte isolate possono comunicare solo con le porte promiscuous.

Quindi ci sono due Regole per le Porte:

  • Porta Promiscuous = Può comunicare con qualsiasi porta nella stessa VLAN
  • Porta Isolata = Può comunicare solo con porte promiscuous nella stessa VLAN

mceclip2.png

Come funziona la Private VLAN

  • Configurare la porta promiscuous

mceclip3.png

Consideriamo un esempio; le porte 3/4/5/24 sono configurate come membri della VLAN 100.

La porta 24 è selezionata come porta promiscuous nella Private VLAN ID: 100.

Lo switch aggiunge automaticamente le porte 3/4/5 della VLAN100 come porte isolate e blocca il traffico tra di esse.

1) Configurare la Private VLAN

Procedere a:

Vecchia GUI:

Advanced Application > Private VLAN

mceclip4.png

Nuova GUI:

SWITCHING > Private VLAN

Private VLAN

2) Modalità Private VLAN

Normale: Queste sono porte in una VLAN statica. Non è una private VLAN.

Promiscuous: Le porte in una VLAN primaria sono promiscuous. Possono comunicare con tutte le porte nella VLAN primaria e con le VLAN Community e Isolate associate. Non possono comunicare con porte Promiscuous in diverse VLAN primarie.

Isolata: Le porte in una VLAN Isolata possono comunicare solo con porte Promiscuous in una VLAN Primaria associata. Non possono comunicare con altre porte Isolate nella stessa VLAN Isolata, porte Promiscuous in VLAN Primarie non associate né con porte Community.

Community: Le porte in una VLAN Community possono comunicare con porte Promiscuous in una VLAN Primaria associata e con altre porte community nella stessa VLAN Community. Non possono comunicare con porte in VLAN Isolate, porte Promiscuous in VLAN Primarie non associate né con porte Community in VLAN Community differenti.

Gli utenti configurano una porta promiscuous per una VLAN specifica. Quindi le altre porte della stessa VLAN diventeranno porte isolate.

3) Configurare VLAN associate

Inserire qui l'ID VLAN di una VLAN precedentemente creata.

Nota! L'ID VLAN e la modalità selezionata qui devono essere gli stessi dell'ID VLAN e del tipo VLAN creati in

SWITCHING > VLAN > VLAN Setup > Static VLAN

Configurazione base VLAN (Virtual Local Area Network):

Come configurare VLAN su Zyxel Switch [Serie GS/XGS]

Se vuoi imparare / conoscere di più sul nostro design VLAN, dai un'occhiata qui:

VLAN - VLAN Taggate vs. PVID (Esempio di configurazione VLAN Untagged/Tagged su uno Switch GS22XX)

VLAN - Uno sguardo più approfondito su come funzionano

 

Articoli in questa sezione

Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 0 su 1
Condividi

Commenti

0 commenti

Questo articolo è chiuso ai commenti.