Viktigt meddelande: |
[Fristående] Privat VLAN: För att skapa en säker miljö för alla användare i samma VLAN blockerar vi trafik mellan användare i samma VLAN. Den här artikeln förklarar hur du konfigurerar ett privat VLAN i våra L2+ / Layer 3-switchar. Privata VLAN används för att blockera trafik mellan portar i samma VLAN.
Bakgrund
Med 802.1Q-taggbaserade VLAN kan vi inte blockera att klienter i samma VLAN kommunicerar med varandra
Ta en titt på detta scenario. Det blockerar trafik från port 3/4/5 för att uppnå en säker nätverksmiljö för småföretag.
Lösning
Portisolering (L2-isolering)
- Port 3-5 kan inte kommunicera med varandra
- Port 3-5 kan kommunicera med uplinkport 24
Vi kan aktivera portisolering på port 3/4/5. Isolerade portar (3-5) kan inte kommunicera med varandra. Men de kan kommunicera med uplink-port 24 för att komma åt Internet.
Problem med portisolering: Om port 3-4 i ett nytt VLAN 200 skulle vilja kommunicera med varandra, kan portisolering inte göra detta.
Lösning Privat VLAN:
Fördelarna med ett privat VLAN är att det ger en ny metod för att blockera trafik mellan portar i samma VLAN. Användare behöver inte aktivera portisolering för att uppnå målet, vilket är att säkra nätverket på platsen.
Användaren kan ange vilka portar i samma VLAN som inte ska isoleras genom att lägga till dem i listan över promiscuous portar.
Växeln lägger automatiskt till andra portar i detta VLAN som isolerade portar och blockerar trafiken mellan de isolerade portarna.
Promiscuous-portarna kan kommunicera med alla portar i samma VLAN.
Isolerade portar kan däremot bara kommunicera med de promiskuösa portarna.
Därför finns det två portregler för detta:
- Promiscuous Port = Kan kommunicera med alla portar i samma VLAN
- Isolerad port = Kan endast kommunicera med promiscuous-port i samma VLAN
Hur fungerar ett privat VLAN?
- Konfigurera promiscuous port
Ta en titt på exemplet; port 3/4/5/24 är konfigurerade att vara medlemmar i VLAN 100.
Port 24 är vald som en promiscuous-port i Private VLAN ID: 100.
Switchen lägger automatiskt till port 3/4/5 i VLAN100 som isolerade portar och blockerar trafiken mellan dem.
1) Konfigurera privat VLAN
Navigera till:
Gamla GUI:
Advanced Application > Private VLAN
Nytt GUI:
SWITCHING > Private VLAN
2) Lägen för privata VLAN
Normal: Detta är portar i ett statiskt VLAN. Detta är inte ett privat VLAN
Promiscuous: Portar i ett primärt VLAN är promiscuous. De kan kommunicera med alla portar i det primära VLAN och associerade Community och Isolated VLAN. De kan inte kommunicera med promiscuous-portar i olika primära VLAN.
Isolerade: Portar i ett isolerat VLAN kan endast kommunicera med promiskuösa portar i ett associerat primärt VLAN. De kan inte kommunicera med andra isolerade portar i samma isolerade VLAN, icke-associerade promiscuous-portar i ett primärt VLAN eller några community-portar.
Gemenskap: Portar i ett Community VLAN kan kommunicera med Promiscuous-portar i ett associerat primärt VLAN och andra community-portar i samma Community VLAN. De kan inte kommunicera med portar i ett isolerat VLAN, icke-associerade promiscuous-portar i ett primärt VLAN eller community-portar i olika community-VLAN.
Användare konfigurerar en promiscuous-port för ett specifikt VLAN. Övriga portar i samma VLAN blir då isolerade portar.
3) Konfigurera associerat VLAN
Ange VLAN-ID för ett tidigare skapat VLAN här.
Observera! Det VLAN-ID och läge som väljs här måste vara samma som det VLAN-ID och den VLAN-typ som skapades i
SWITCHING > VLAN > VLAN Setup > Static VLAN
Grundkonfiguration för VLAN (Virtual Local Area Network):
Hur man konfigurerar VLAN på Zyxel Switch [GS/XGS-Series]
GS1900: Hur man konfigurerar VLAN på Zyxel Switch
Om du vill lära dig / veta mer om vår VLAN-design kan du ta en titt här:
VLAN - Taggade VLAN vs. PVID (installationsexempel för otaggat/taggat VLAN på en GS22XX-switch)
VLAN - En djupare titt på hur de fungerar
Konfigurationshjälp, vill du ha hjälp med konfigurationen av vårt Professional Services-team? Vänligen kolla här: ZyxelConfigService Switch
Kommentarer
0 kommentarerArtikeln är stängd för kommentarer.