[Fristående] Privat VLAN: För att skapa en säker miljö för varje användare i samma VLAN blockerar vi trafik mellan användare i samma VLAN. Den här artikeln förklarar hur man konfigurerar ett privat VLAN i våra L2+ / Layer 3-switchar. Privata VLAN används för att blockera trafik mellan portar i samma VLAN.
Bakgrund
Med 802.1Q taggade VLAN kan vi inte blockera klienter i samma VLAN från att kommunicera med varandra
Titta på detta scenario. Det blockerar trafik från port 3/4/5 för att uppnå en säker nätverksmiljö för en liten affärsenhet.
Arbetsrundlösning
Portisolering (L2-isolering)
- Port 3-5 kan inte kommunicera med varandra
- Port 3-5 kan kommunicera med uplink-port 24
Vi kan aktivera portisolering på port 3/4/5. Isolerade portar (3-5) kan inte kommunicera med varandra. Men de kan kommunicera med uplink-port 24 för att få tillgång till Internet.
Problem med portisolering: Om port 3-4 i ett nytt VLAN 200 vill kommunicera med varandra kan portisolering inte åstadkomma detta.
Lösning Privat VLAN:
Fördelarna med ett privat VLAN är att det tillhandahåller en ny metod för att blockera trafik mellan portar i samma VLAN. Användare behöver inte aktivera portisolering för att uppnå målet, vilket är att säkra nätverket på plats.
Användare kan specificera vilka portar i samma VLAN som inte ska isoleras genom att lägga till dem i listan över promiscuösa portar.
Switchen lägger automatiskt till andra portar i detta VLAN som isolerade portar och blockerar trafik mellan de isolerade portarna.
De promiscuösa portarna kan kommunicera med alla portar i samma VLAN.
Isolerade portar kan dock endast kommunicera med de promiscuösa portarna.
Så det finns två portregler för detta:
- Promiscuös port = Kan kommunicera med alla portar i samma VLAN
- Isolerad port = Kan endast kommunicera med promiscuösa portar i samma VLAN
Hur fungerar privat VLAN
- Konfigurera promiscuös port
Titta på exemplet; port 3/4/5/24 är konfigurerade som medlemmar i VLAN 100.
Port 24 är vald som promiscuös port i Private VLAN ID: 100.
Switchen lägger automatiskt till port 3/4/5 i VLAN 100 som isolerade portar och blockerar trafiken mellan dem.
1) Konfigurera privat VLAN
Navigera till:
Gammalt GUI:
Advanced Application > Private VLANNytt GUI:
SWITCHING > Private VLAN2) Privat VLAN-lägen
Normal: Dessa är portar i ett statiskt VLAN. Detta är inte ett privat VLAN
Promiscuös: Portar i ett primärt VLAN är promiscuösa. De kan kommunicera med alla portar i det primära VLAN och tillhörande Community och Isolerade VLAN. De kan inte kommunicera med Promiscuösa portar i olika primära VLAN.
Isolerad: Portar i ett Isolerat VLAN kan endast kommunicera med Promiscuösa portar i ett tillhörande Primärt VLAN. De kan inte kommunicera med andra Isolerade portar i samma Isolerade VLAN, icke-tillhörande Primära VLAN Promiscuösa portar eller några Community portar.
Community: Portar i ett Community VLAN kan kommunicera med Promiscuösa portar i ett tillhörande Primärt VLAN och andra community-portar i samma Community VLAN. De kan inte kommunicera med portar i ett Isolerat VLAN, icke-tillhörande Primära VLAN Promiscuösa portar eller Community portar i olika Community VLAN.
Användare konfigurerar en promiscuös port för ett specifikt VLAN. Så blir resten av portarna i samma VLAN isolerade portar.
3) Konfigurera tillhörande VLAN
Ange VLAN-ID för ett tidigare skapat VLAN här.
Observera! VLAN-ID och valt läge här måste vara samma som VLAN-ID och VLAN-typ som skapats i
SWITCHING > VLAN > VLAN Setup > Static VLANGrundläggande VLAN-konfiguration (Virtual Local Area Network):
Hur man konfigurerar VLAN på Zyxel Switch [GS/XGS-Serie]
Om du vill lära dig mer om vår VLAN-design, ta gärna en titt här:
VLANs - Taggade VLAN vs. PVID (Exempel på konfiguration av otaggat/taggat VLAN på en GS22XX-switch)
VLANs - En djupare titt på hur de fungerar

Kommentarer
0 kommentarerArtikeln är stängd för kommentarer.