Коммутатор - Обзор настройки Private VLAN

Еще есть вопросы? Отправить запрос

[Автономный режим] Private VLAN: Чтобы обеспечить безопасную среду для каждого пользователя в одной VLAN, мы блокируем трафик между пользователями в одной VLAN. В этой статье объясняется, как настроить Private VLAN на наших коммутаторах L2+ / Layer 3. Private VLAN используются для блокировки трафика между портами в одной VLAN.

Обзор

Используя VLAN на основе тегов 802.1Q, мы не можем заблокировать взаимодействие клиентов в одной VLAN друг с другом.

mceclip0.png

Рассмотрим этот сценарий. Он блокирует трафик с портов 3/4/5 для создания безопасной сетевой среды для малого бизнес-подразделения.

Обходное решение

Изоляция портов (L2 изоляция)

  • Порты 3-5 не могут обмениваться данными друг с другом
  • Порты 3-5 могут обмениваться данными с аплинк-портом 24

Мы можем включить изоляцию портов на портах 3/4/5. Изолированные порты (3-5) не могут обмениваться данными друг с другом, но могут общаться с аплинк-портом 24 для доступа в Интернет.

mceclip1.png

Проблема с изоляцией портов: Если порты 3-4 в новой VLAN 200 хотят общаться друг с другом, изоляция портов не позволит это сделать.

Решение Private VLAN:

Преимущества Private VLAN заключаются в предоставлении нового метода блокировки трафика между портами в одной VLAN. Пользователям не нужно включать изоляцию портов для достижения цели — обеспечить безопасность сети на объекте.

Пользователи могут указать, какие порты в одной VLAN не должны быть изолированы, добавив их в список promiscuous портов.

Коммутатор автоматически добавляет другие порты в этой VLAN в качестве изолированных портов и блокирует трафик между изолированными портами.

Promiscuous порты могут обмениваться данными с любыми портами в одной VLAN.

Однако изолированные порты могут обмениваться данными только с promiscuous портами.

Таким образом, существуют два правила для портов:

  • Promiscuous порт = Может обмениваться данными с любыми портами в одной VLAN
  • Изолированный порт = Может обмениваться данными только с promiscuous портами в одной VLAN

mceclip2.png

Как работает Private VLAN

  • Настройка promiscuous порта

mceclip3.png

Рассмотрим пример: порты 3/4/5/24 настроены как участники VLAN 100.

Порт 24 выбран как promiscuous порт в Private VLAN с ID: 100.

Коммутатор автоматически добавляет порты 3/4/5 VLAN 100 в качестве изолированных портов и блокирует трафик между ними.

1) Настройка Private VLAN

Перейдите в раздел:

Старый интерфейс:

Advanced Application > Private VLAN

mceclip4.png

Новый интерфейс:

SWITCHING > Private VLAN

Private VLAN

2) Режимы Private VLAN

Normal: Это порты в статической VLAN. Это не Private VLAN.

Promiscuous: Порты в primary VLAN являются promiscuous. Они могут общаться со всеми портами в primary VLAN и связанных Community и Isolated VLAN. Они не могут общаться с Promiscuous портами в других primary VLAN.

Isolated: Порты в Isolated VLAN могут общаться только с Promiscuous портами в связанной Primary VLAN. Они не могут общаться с другими Isolated портами в той же Isolated VLAN, с Promiscuous портами в не связанной Primary VLAN и с любыми Community портами.

Community: Порты в Community VLAN могут общаться с Promiscuous портами в связанной Primary VLAN и с другими портами в той же Community VLAN. Они не могут общаться с портами в Isolated VLAN, с Promiscuous портами в не связанной Primary VLAN и с Community портами в других Community VLAN.

Пользователи настраивают promiscuous порт для конкретной VLAN. Остальные порты той же VLAN станут изолированными портами.

3) Настройка связанной VLAN

Введите здесь ID VLAN, которая была создана ранее.

Примечание! ID VLAN и выбранный режим должны совпадать с ID VLAN и типом VLAN, созданными в разделе

SWITCHING > VLAN > VLAN Setup > Static VLAN

Основная настройка VLAN (Virtual Local Area Network):

Как настроить VLAN на коммутаторе Zyxel [серии GS/XGS]

Если вы хотите узнать больше о нашей концепции VLAN, пожалуйста, ознакомьтесь с материалами:

VLAN - Tagged VLANs против PVID (пример настройки не тегированной/тегированной VLAN на коммутаторе GS22XX)

VLAN - Более глубокое понимание их работы

 

Статьи в этом разделе

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 1
Поделиться

Комментарии

0 комментариев

Статья закрыта для комментариев.