Доброго времени суток всем!
Сразу же прошу прощения, что заставил так долго ждать читателей AdminDoc.RU. Сначала был отпуск, потом работы накопилось. Продолжим изучение Сетевых технологий и в частности Cisco технологий.
В предыдущих статьях мы с Вами рассмотрели основы связанные в VLAN, и научились как же тому или иному порту назначить нужный нам VLAN.
Сегодня я остановлюсь на Private VLAN. Я рассмотрю что это такое, зачем он нужен, где его применять.
Итак, вспомним, что VLAN характеризуется отдельным широковещательным доменом (помним что как правило, каждый VLAN это одна подсеть. Это является хорошей практикой проектирования сети).
Таким образом, если мы на коммутаторе создали несколько VLAN, то по умолчанию, хосты каждого VLAN могут «общаться между собой» (для того чтобы «общение» могло осуществляться и между VLAN нам необходимо устройство Layer 3, другими словами нужна маршрутизация, но об этом в следующих статьях.).
Может сложиться такая ситуация, что будет необходимо чтоб в одном VLAN устройства не могли между собой общаться, то есть быть изолированными (да, это можно сделать с помощью тех же ACL), но есть более элегантное решение, которое называется Private VLAN.
В данной технологии Private VLAN различают 3 вида портов, которыми могут быть порты коммутатора, а именно:
- Promiscuous — на русский можно перевести как Смешенный тип порта. Это такой тип порта, при котором есть возможность «общаться» между любыми портами PVLAN.
- Isolated — Изолированный порт. При данном типе порта происходит полная изоляция порта на Layer 2 от всех портов, за исключением Promiscuous порта. Таким образом трафик между isolated портами «ходить не может», а между Promiscuous и Isolated может. Опять же, не забываем, что когда мы говорим о VLAN , это значит что подразумевается Layer 2 OSI.
- Community — это некоторое «сообщество» портов, порты внутри сообществ могут «общаться» между собой и между Promiscuous, но не могут «общаться» между Isolated портами и портами из другого «сообщества».
Для реализации Private VLAN используюсь 2 VLAN.
- Primary VLAN — это VLAN, который принадлежит Promiscuous порту. Этот порт обычно подключается к вышестоящим маршрутизаторам, серверам и т.д.
- Secondary VLAN — в этот VLAN соответственно настраивается Isolated и Community порты.
Графически это можно представить ввиде:
Здесь как и описано выше используются 2 VLAN. Primary VLAN, который используется для подключения к маршрутизатору, и Secondary VLAN, к которому подключены Isolated и Community порты.
Понимая эти понятия, будет легко разобраться в том, как работает технология Private VLAN.
С теорией немного разобрались. В следующей статье будем разбираться с тем, как же на практике применить Private VLAN.
По всем вопросам отписываемся в комментариях или на форуме.
