RTFM.WIKI

Ordnung muß sein. Ordnung über alles (18+)

Инструменты пользователя

Инструменты сайта


Боковая панель


Навигация

Линкшэринг

ALARM!

Добавить новую страницу

You are not allowed to add pages
network:private_vlan


Private vlan

Немного о private vlan [habr]

via http://habrahabr.ru/post/114646/

Довольно часто на форумах, и других it ресурсах, проскакивает фраза что vlan (стандарт 802.1q) не относится к безопасности, как таковой. Я в принципе с этим суждением согласен, это как динамический nat, который косвенно, но обеспечивает защиту хостов который находятся в серой сети. Да эти 2 темы как vlan так и nat рождают холивар. Но вот есть одна технология которая в большей степени относит vlan к безопасности, о ней мы и поговорим далее.

Private vlan, что же это такое?

Попробую рассказать своими словами. По сути с помощью данной технологии выполняется контроль внутри vlan-а. Контролируя broadcast домен превращая его в под домены, согласно настройкам, которые дал администратор сети. Проще говоря, есть свич, есть сеть, есть broadcast домен. Не хотим мы что бы пользователи, которые подключены в этот домен могли обращаться друг к другу. Здесь и применяется наша технология. А если смотреть со стороны самой технологии, то в домене организуются поддомены.

Существует 2 типа вланов в данной технологии, primary, основной влан который берется за основу и представляется не private vlans, как обычный не показывающий id внутридоменных вланов, которые и относятся у второму типу вланов secondary.
Тем самым сами secondary vlans могут быть 2-х типов: Isolated и community, ниже описаны различия этих понятий.
Итого подытожив получим следующее.

Promiscuous (или Uplink к примеру в allied telesyn) — режим пропускания трафика, применяется в случаях когда не нужно ограничивать доступность(тот же файловый сервер, маршрутизатор или коммутатор). Этот тип относится к primary vlans. И обменивается трафиком как с изолированными, так и как сказано выше с вланами не использующие технологию pvlan.

Isolated — как раз порт который находится в изолированном состоянии т.е. находится в своем под домене, и не имеет доступ к другим изолированным под доменам, так же как и к нему. Видит он только порты которые находится в promiscuous состоянии, применяется когда хост в сети требует к себе особой безопасности.

Community – деление на под домены не один порт, а несколько портов в отдельном домене. Другими словами, хосты в этом домене видят как своих соседей по под домену, так и хосты в promiscuous состоянии, применимо, когда изоляцию делаем, к примеру, по отделу.

Я больше опирался на понятия корпорации cisco, чем других. Так что в понятиях есть различия, но они схожи с понятиями cisco, и вы при знакомством с технологией от другого вендора думаю поймете, что и как.

О Применении.

Скажу что бы внедрить данную технологию в сеть нужно учитывать, такие параметры, что pvlan не поддерживает многие другие технологии, к примеру vtp rsapn, voice vlan и т.д.

Технология довольно интересная, на мой взгляд, и если вы не найдете применения ей в своей сети, думаю кто не сталкивался с этим понятием будет интересно познакомиться с легким описанием данной технологии.

Private VLAN в Ethernet-коммутаторах [ZyXEL KB]

via http://zyxel.ru/kb/1768

Вопрос:
Поддерживают ли управляемые Ethernet-коммутаторы ZyXEL функцию Private VLAN?

Ответ:
И да, и нет.

Прежде всего, Private VLAN - термин, который используется компанией Cisco. В управляемых Ethernet-коммутаторах ZyXEL существует поддержка функции с названием Port isolation, схожей по функционалу с Private VLAN.

Коммутаторы ZyXEL поддерживают Port isolation как при использовании VLAN на базе портов (port based VLAN), так и при использовании VLAN на базе признака (802.1Q VLAN).

Port isolation (в настройках VLAN 802.1Q) – если включено, то данные не могут передаваться между клиентскими портами. Клиентским портам разрешен только обмен данными с Uplink-портами.
Port isolation (в настройках Port-based VLAN) – если включено, то данные не могут передаваться с одного порта на другой. Разрешен только обмен данными между портами и коммутатором (CPU) для настройки.

Изоляция портов VLAN работает аналогично Private VLAN Cisco. Т.е. делает порты, расположенные в пределах того же самого VLAN, неспособными общаться друг с другом, кроме как через шлюз или Uplink-порт.
Кроме того, без использования Port isolation широковещательные пакеты распространяются на все порты, принадлежащие VLAN. Port isolation повышает безопасность и препятствует широковещательным пакетам распространяться в пределах одной VLAN.

This website uses cookies. By using the website, you agree with storing cookies on your computer. Also you acknowledge that you have read and understand our Privacy Policy. If you do not agree leave the website.More information about cookies

Discussion

Enter your comment. Wiki syntax is allowed:
 
network/private_vlan.txt · Последнее изменение: 2016/07/05 15:27 (внешнее изменение)