VLAN Isolation [Network Switch] - настройка изоляции второго уровня, за исключением серверов или принтеров

Создан 21/09/2023 09:56 - Обновлено 28/08/2024 08:44

Serhii Boiarynov

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

Введение

Изоляция виртуальных локальных сетей (VLAN) - важнейшая функция коммутаторов Zyxel, позволяющая сетевым администраторам эффективно контролировать сетевой трафик и повышать уровень безопасности, разрешая взаимодействие только между определенными устройствами внутри VLAN. В этой статье мы подробно рассмотрим изоляцию VLAN, ее функциональные возможности и пошаговые инструкции по ее настройке на коммутаторе Zyxel. Кроме того, мы рассмотрим реальный сценарий, иллюстрирующий практическое применение изоляции VLAN.

Что такое изоляция VLAN?

Изоляция VLAN - это сетевая конфигурация, позволяющая сегментировать устройства в рамках одной VLAN. Она позволяет изолировать конкретные устройства, разрешая при этом взаимодействие с определенными исключениями, такими как серверы или принтеры. Изоляция VLAN повышает безопасность сети, предотвращая несанкционированное взаимодействие внутри VLAN, и обеспечивает эффективное управление трафиком.

Принцип работы изоляции VLAN

Изоляция VLAN работает на следующих принципах:

1. Изоляция портов внутри VLAN

Изоляция VLAN упрощает изоляцию портов внутри VLAN, позволяя указать, какие порты не должны быть изолированы. Это достигается путем добавления этих портов в "список портов promiscuous".
Коммутатор автоматически относит остальные порты в пределах одной VLAN к изолированным портам и ограничивает трафик между ними.

2. Промискуитетные порты

Порты Promiscuous являются исключениями в пределах VLAN. Устройства, подключенные к этим портам, могут взаимодействовать с любым портом в той же VLAN, включая другие порты Promiscuous и изолированные порты.
Promiscuous-порты обычно назначаются таким устройствам, как серверы или принтеры, которым необходимо взаимодействовать с различными устройствами внутри VLAN.

3. Изолированные порты

Изолированные порты составляют большинство портов в VLAN. Устройства, подключенные к изолированным портам, могут взаимодействовать только с промискуитетными портами в той же VLAN.
Связь между изолированными портами автоматически блокируется коммутатором для обеспечения изоляции.

Настройка изоляции VLAN

Ниже приводится пошаговое руководство по настройке изоляции VLAN на коммутаторе Zyxel:

Конфигурация коммутатора доступа: Войдите в веб-интерфейс управления коммутатора Zyxel.
Настройте VLAN: Убедитесь, что на коммутаторе уже настроены виртуальные локальные сети. Изоляция VLAN зависит от уже существующей конфигурации VLAN. Перейдите по адресу:
- ```
SWITCHING > VLAN > VLAN Setup > Static VLAN
```
Получите доступ к настройкам изоляции VLAN: Перейдите к разделу"SWITCHING > VLAN Isolation" в интерфейсе управления.
Создайте новое правило: Нажмите кнопку "Добавить/редактировать", чтобы создать новое правило изоляции VLAN.
Включить правило: Активируйте правило, нажав кнопку "Active".
Настройте подробную информацию о правиле:
- Имя: Введите описательное имя для правила изоляции VLAN.
- VLAN ID: Укажите идентификатор VLAN, для которого необходимо применить изоляцию.
- Promiscuous Ports (Промискуитетные порты): Добавьте порт или порты, которые должны быть определены как promiscuous-порты. Эти порты будут иметь неограниченную связь внутри VLAN.
Сохранить конфигурацию: После ввода необходимых данных сохраните конфигурацию.

Практический сценарий: Изоляция VLAN в действии

Рассмотрим реальный сценарий, иллюстрирующий практическое применение изоляции VLAN на коммутаторе Zyxel GS1920-8HP:

Сценарий: У вас есть коммутатор Zyxel GS1920-8HP, к которому подключены следующие устройства:

ПК, подключенные к портам 2, 3 и 4.
Сервер, подключенный к порту 6.
Брандмауэр подключен к порту 10.

Все эти устройства входят в одну VLAN - VLAN20. Вот чего вы хотите добиться:

ПК не должны иметь возможности взаимодействовать друг с другом.
ПК должны иметь возможность взаимодействовать с сервером и брандмауэром.

Для этого выполните следующие шаги:

Конфигурация коммутатора доступа: Войдите в веб-интерфейс управления коммутатора GS1920-8HP.
Настройте виртуальные локальные сети: Убедитесь, что на коммутаторе настроена VLAN20, включая назначение соответствующих портов (2, 3, 4, 6, 10) для этой VLAN.
Получите доступ к настройкам изоляции VLAN: Перейдите к разделу "SWITCHING > VLAN Isolation" в интерфейсе управления.
Создайте новое правило: Нажмите кнопку "Добавить/редактировать", чтобы создать новое правило изоляции VLAN для VLAN20.
Включить правило: Активируйте правило, нажав кнопку "Active".
Настройте подробную информацию о правиле:
- Name (Имя): Дайте правилу описательное имя, например, "Изоляция VLAN20".
- VLAN ID: Установите идентификатор VLAN ID равным 20 (в соответствии с конфигурацией вашей VLAN).
- Promiscuous Ports: Добавьте порты 6 и 10 в список портов promiscuous. Эти порты будут обеспечивать связь с сервером и брандмауэром.
Сохранить конфигурацию: После ввода данных сохраните конфигурацию.

Теперь в этом сценарии компьютеры, входящие в VLAN20, не могут взаимодействовать друг с другом из-за изоляции VLAN. Однако они могут взаимодействовать с сервером (подключенным к порту 6) и брандмауэром (подключенным к порту 10), поскольку оба эти порта определены как promiscuous. Такая настройка позволяет поддерживать необходимую связь, предотвращая ненужный трафик между компьютерами внутри VLAN.

Выполнив эти шаги, вы сможете успешно реализовать изоляцию VLAN для повышения безопасности сети и оптимизации взаимодействия в VLAN на коммутаторе Zyxel.

Статьи в этом разделе

Больше