Технология PRIVATE VLAN

PVLAN или частная VLAN использует двухуровневые технологии для реализации сложной функции изоляции трафика портов, обеспечения сетевой безопасности и разграничения широковещательных доменов. Верхняя VLAN — это VLAN с общим доменом, в которой порты являются портами восходящей линии связи. Нижние VLAN являются изолированными доменами, в которых порты являются портами нисходящей линии связи. Порты нисходящей линии связи могут быть назначены разным доменам изоляции, и они могут одновременно взаимодействовать с портом восходящей линии связи. Изолированные домены не могут взаимодействовать друг с другом.

Рассмотрим пример использования Private VLAN на коммутаторах Kyland.

ЗАДАЧА

Требуется создать сеть предприятия с разграничением доступа между технологической сетью, которая используется инженерами автоматизации для управления и контроля технологическими процессами, и сетью отдела разработок. Но также требуется организовать IT-подсеть, которая используется системными администраторами для управления всей сетью и имеет доступ к другим двум подсетям (технологическая сеть и сеть отдела разработок).

Есть несколько методов, которые позволяют выполнить описанную задачу:

1. Метод на основе гибридных VLAN портов;
2. Метод PVLAN;
3. С помощью маршрутизатора.

В данной статье мы рассмотрим первых два метода.

Настройка на основе гибридных VLAN портов

1. Настройка адресации

   Каждому коммутатору назначается уникальный IP-адрес в одной подсети.

   

2. Настройка VLAN

   • Настройте порт 3 с типом hybrid, PVID=30, тегирование исходящего трафика на Untag All, разрешенные VLAN равные 10, 20, 30.
   • Настройте порт 1 с типом hybrid, PVID=10, тегирование исходящего трафика на Untag All, разрешенные VLAN равные 10, 30.
   • Настройте порт 2 с типом hybrid, PVID=20, тегирование исходящего трафика на Untag All, разрешенные VLAN равные 20, 30.

   

   В данной схеме VLAN 30 — общий домен, а порт 3 — восходящий; VLAN10 и VLAN20 являются изолированными доменами, а порты 1 и 2 — нисходящими портами.

Настройка на основе PVLAN

1. Настройка адресации. Каждому коммутатору назначается уникальный IP-адрес в одной подсети.

2. В разделе VLAN -> Private VLANs -> Membership каждый нисходящий порт объединяется с доменным в один PVLAN ID.

   

   ! PVLAN ID равно количеству портов на коммутаторе.

   

   В данной схеме порт 3 — восходящий, поэтому является участником обоих доменов. А порты 1 и 2 — нисходящие порты, которые помещаются в изолированные домены с идентификаторами PVLAN ID 1 и 2 соответственно.

Метод на основе гибридных VLAN портов и на основе PVLAN не следует использовать совместно.