Технология PRIVATE VLAN
PVLAN или частная VLAN использует двухуровневые технологии для реализации сложной функции изоляции трафика портов, обеспечения сетевой безопасности и разграничения широковещательных доменов. Верхняя VLAN — это VLAN с общим доменом, в которой порты являются портами восходящей линии связи. Нижние VLAN являются изолированными доменами, в которых порты являются портами нисходящей линии связи. Порты нисходящей линии связи могут быть назначены разным доменам изоляции, и они могут одновременно взаимодействовать с портом восходящей линии связи. Изолированные домены не могут взаимодействовать друг с другом.
Рассмотрим пример использования Private VLAN на коммутаторах Kyland.
ЗАДАЧА
Требуется создать сеть предприятия с разграничением доступа между технологической сетью, которая используется инженерами автоматизации для управления и контроля технологическими процессами, и сетью отдела разработок. Но также требуется организовать IT-подсеть, которая используется системными администраторами для управления всей сетью и имеет доступ к другим двум подсетям (технологическая сеть и сеть отдела разработок).
Есть несколько методов, которые позволяют выполнить описанную задачу:
- Метод на основе гибридных VLAN портов;
- Метод PVLAN;
- С помощью маршрутизатора.
В данной статье мы рассмотрим первых два метода.
Настройка на основе гибридных VLAN портов
1. Настройка адресации
Каждому коммутатору назначается уникальный IP-адрес в одной подсети.
2. Настройка VLAN
- Настройте порт 3 с типом hybrid, PVID=30, тегирование исходящего трафика на Untag All, разрешенные VLAN равные 10, 20, 30.
- Настройте порт 1 с типом hybrid, PVID=10, тегирование исходящего трафика на Untag All, разрешенные VLAN равные 10, 30.
- Настройте порт 2 с типом hybrid, PVID=20, тегирование исходящего трафика на Untag All, разрешенные VLAN равные 20, 30.
В данной схеме VLAN 30 — общий домен, а порт 3 — восходящий; VLAN10 и VLAN20 являются изолированными доменами, а порты 1 и 2 — нисходящими портами.
После завершения всех настроек необходимо сохранить конфигурацию: Maintenance -> Save Current Configuration.
Настройка на основе PVLAN
1. Настройка адресации. Каждому коммутатору назначается уникальный IP-адрес в одной подсети.
2. В разделе VLAN -> Private VLANs -> Membership каждый нисходящий порт объединяется с доменным в один PVLAN ID.
! PVLAN ID равно количеству портов на коммутаторе.
В данной схеме порт 3 — восходящий, поэтому является участником обоих доменов. А порты 1 и 2 — нисходящие порты, которые помещаются в изолированные домены с идентификаторами PVLAN ID 1 и 2 соответственно.
После завершения всех настроек необходимо сохранить конфигурацию: Maintenance -> Save Current Configuration.
Метод на основе гибридных VLAN портов и на основе PVLAN не следует использовать совместно.