Viktig merknad: |
[Frittstående] Privat VLAN: For å skape et sikkert miljø for alle brukere i samme VLAN blokkerer vi trafikk mellom brukere i samme VLAN. Denne artikkelen forklarer hvordan du konfigurerer et privat VLAN i våre L2+ / Layer 3-svitsjer. Private VLAN brukes til å blokkere trafikk mellom porter i samme VLAN.
Bakgrunn
Ved bruk av 802.1Q-taggebasert VLAN kan vi ikke hindre at klienter i samme VLAN kommuniserer med hverandre.
Ta en titt på dette scenariet. Det blokkerer trafikk fra port 3/4/5 for å oppnå et sikkert nettverksmiljø for en liten bedriftsenhet.
Løsning
Portisolasjon (L2-isolasjon)
- Port 3-5 kan ikke kommunisere med hverandre
- Port 3-5 kan kommunisere med uplink-port 24
Vi kan aktivere portisolasjon på port 3/4/5. De isolerte portene (3-5) kan ikke kommunisere med hverandre. Men de kan kommunisere med uplink-port 24 for å få tilgang til Internett.
Problem med portisolasjon: Hvis port 3-4 i et nytt VLAN 200 ønsker å kommunisere med hverandre, kan ikke portisolasjon gjøre dette.
Løsning Privat VLAN:
Fordelene med et privat VLAN er at det gir en ny metode for å blokkere trafikk mellom porter i samme VLAN. Brukerne trenger ikke å aktivere portisolering for å oppnå målet, som er å sikre nettverket på stedet.
Brukerne kan spesifisere hvilke porter i samme VLAN som ikke skal isoleres ved å legge dem til i listen over promiskuøse porter.
Svitsjen legger automatisk til andre porter i dette VLAN-et som isolerte porter og blokkerer trafikken mellom de isolerte portene.
De promiskuøse portene kan kommunisere med alle porter i samme VLAN.
Isolerte porter kan imidlertid bare kommunisere med promiskuøse porter.
Det finnes derfor to portregler for dette:
- Promiskuøs port = Kan kommunisere med alle porter i samme VLAN.
- Isolert port = Kan kun kommunisere med promiskuøse porter i samme VLAN.
Hvordan fungerer privat VLAN?
- Konfigurer promiskuøs port
Ta en titt på eksempelet; port 3/4/5/24 er konfigurert til å være medlemmer av VLAN 100.
Port 24 er valgt som en promiskuøs port i Private VLAN ID: 100.
Switchen legger automatisk til port 3/4/5 i VLAN100 som isolerte porter og blokkerer trafikken mellom dem.
1) Konfigurer privat VLAN
Naviger til:
Gammel GUI:
Advanced Application > Private VLAN
Ny GUI:
SWITCHING > Private VLAN
2) Moduser for private VLAN
Normal: Dette er porter i et statisk VLAN. Dette er ikke et privat VLAN
Promiskuøs: Portene i et primært VLAN er promiskuøse. De kan kommunisere med alle portene i det primære VLAN-et og tilhørende fellesskaps-VLAN og isolerte VLAN. De kan ikke kommunisere med promiskuøse porter i andre primære VLAN.
Isolert: Porter i et isolert VLAN kan bare kommunisere med promiskuøse porter i et tilknyttet primært VLAN. De kan ikke kommunisere med andre isolerte porter i samme isolerte VLAN, promiskuøse porter i ikke-tilknyttede primære VLAN eller fellesskapsporter.
Fellesskap: Porter i et fellesskaps-VLAN kan kommunisere med promiskuøse porter i et tilknyttet primær-VLAN og andre fellesskapsporter i samme fellesskaps-VLAN. De kan ikke kommunisere med porter i et isolert VLAN, promiskuøse porter i et ikke-tilknyttet primær-VLAN eller fellesskapsporter i forskjellige fellesskaps-VLAN.
Brukere konfigurerer en promiskuøs port for et bestemt VLAN. Resten av portene i samme VLAN blir da isolerte porter.
3) Konfigurere tilknyttet VLAN
Her angir du VLAN-ID-en til et tidligere opprettet VLAN.
Merk! VLAN-ID-en og modusen som velges her, må være den samme som VLAN-ID-en og VLAN-typen som ble opprettet i
SWITCHING > VLAN > VLAN Setup > Static VLAN
VLAN (Virtual Local Area Network) grunnleggende konfigurasjon:
Slik konfigurerer du VLAN på Zyxel Switch [GS/XGS-Series].
GS1900: Slik konfigurerer du VLAN på Zyxel Switch
Hvis du vil vite mer om VLAN-designet vårt, kan du ta en titt her:
VLANs - Tagged VLANs vs. PVID (Oppsett Eksempel på Untagged/Tagged VLAN på en GS22XX-switch)
VLANs - en dypere titt på hvordan de fungerer
Trenger du hjelp med konfigurasjonen av vårt Professional Services-team? Sjekk her: ZyxelConfigService Switch
Kommentarer
0 kommentarerArtikkelen er stengt for kommentarer.