[Автономный режим] Private VLAN: Чтобы обеспечить безопасную среду для каждого пользователя в одной VLAN, мы блокируем трафик между пользователями в одной VLAN. В этой статье объясняется, как настроить Private VLAN на наших коммутаторах L2+ / Layer 3. Private VLAN используются для блокировки трафика между портами в одной VLAN.
Обзор
Используя VLAN на основе тегов 802.1Q, мы не можем заблокировать взаимодействие клиентов в одной VLAN друг с другом.
Рассмотрим этот сценарий. Он блокирует трафик с портов 3/4/5 для создания безопасной сетевой среды для малого бизнес-подразделения.
Обходное решение
Изоляция портов (L2 изоляция)
- Порты 3-5 не могут обмениваться данными друг с другом
- Порты 3-5 могут обмениваться данными с аплинк-портом 24
Мы можем включить изоляцию портов на портах 3/4/5. Изолированные порты (3-5) не могут обмениваться данными друг с другом, но могут общаться с аплинк-портом 24 для доступа в Интернет.
Проблема с изоляцией портов: Если порты 3-4 в новой VLAN 200 хотят общаться друг с другом, изоляция портов не позволит это сделать.
Решение Private VLAN:
Преимущества Private VLAN заключаются в предоставлении нового метода блокировки трафика между портами в одной VLAN. Пользователям не нужно включать изоляцию портов для достижения цели — обеспечить безопасность сети на объекте.
Пользователи могут указать, какие порты в одной VLAN не должны быть изолированы, добавив их в список promiscuous портов.
Коммутатор автоматически добавляет другие порты в этой VLAN в качестве изолированных портов и блокирует трафик между изолированными портами.
Promiscuous порты могут обмениваться данными с любыми портами в одной VLAN.
Однако изолированные порты могут обмениваться данными только с promiscuous портами.
Таким образом, существуют два правила для портов:
- Promiscuous порт = Может обмениваться данными с любыми портами в одной VLAN
- Изолированный порт = Может обмениваться данными только с promiscuous портами в одной VLAN
Как работает Private VLAN
- Настройка promiscuous порта
Рассмотрим пример: порты 3/4/5/24 настроены как участники VLAN 100.
Порт 24 выбран как promiscuous порт в Private VLAN с ID: 100.
Коммутатор автоматически добавляет порты 3/4/5 VLAN 100 в качестве изолированных портов и блокирует трафик между ними.
1) Настройка Private VLAN
Перейдите в раздел:
Старый интерфейс:
Advanced Application > Private VLANНовый интерфейс:
SWITCHING > Private VLAN2) Режимы Private VLAN
Normal: Это порты в статической VLAN. Это не Private VLAN.
Promiscuous: Порты в primary VLAN являются promiscuous. Они могут общаться со всеми портами в primary VLAN и связанных Community и Isolated VLAN. Они не могут общаться с Promiscuous портами в других primary VLAN.
Isolated: Порты в Isolated VLAN могут общаться только с Promiscuous портами в связанной Primary VLAN. Они не могут общаться с другими Isolated портами в той же Isolated VLAN, с Promiscuous портами в не связанной Primary VLAN и с любыми Community портами.
Community: Порты в Community VLAN могут общаться с Promiscuous портами в связанной Primary VLAN и с другими портами в той же Community VLAN. Они не могут общаться с портами в Isolated VLAN, с Promiscuous портами в не связанной Primary VLAN и с Community портами в других Community VLAN.
Пользователи настраивают promiscuous порт для конкретной VLAN. Остальные порты той же VLAN станут изолированными портами.
3) Настройка связанной VLAN
Введите здесь ID VLAN, которая была создана ранее.
Примечание! ID VLAN и выбранный режим должны совпадать с ID VLAN и типом VLAN, созданными в разделе
SWITCHING > VLAN > VLAN Setup > Static VLANОсновная настройка VLAN (Virtual Local Area Network):
Как настроить VLAN на коммутаторе Zyxel [серии GS/XGS]
Если вы хотите узнать больше о нашей концепции VLAN, пожалуйста, ознакомьтесь с материалами:
VLAN - Более глубокое понимание их работы

Комментарии
0 комментариевСтатья закрыта для комментариев.