Как настроить контроль трафика внутри VLAN с помощью технологии PVLAN

Как настроить контроль трафика внутри VLAN с помощью технологии PVLAN

Cisco

Рассмотрим как повысить безопасность локальной сети и настроить ограничение (изоляцию) трафика на уровне L2 коммутатора в пределах одной IP-сети (VLAN) с помощью технологии Private VLAN (PVLAN).

Исследуемая топология состоит из одного коммутатора Cisco Catalyst 2960 с операционной системой Cisco WS-C2960-24TT-L с ОС Cisco IOS Release 15.0(2)SE4 (образ C2960-LANBASEK9-M) и одного маршрутизатора Cisco 2911 с операционной системой Cisco IOS версии 15.6(3)M2 (образ C2900-UNIVERSALK9-M)). Допускается использование других коммутаторов и версий Cisco IOS.

 

Схема топологии следующая:

 

 

Видео инструкция на нашем YouTube канале:

 

 

Сценарий

Очень часто в сетях Интернет-провайдеров реализуется подключение абонентов через общий коммутатор (сеть коммутаторов) с одной точкой подключения к Интернету. Если при этом выдавать IP-адреса по DHCP из единого адресного пространства, то получается, что все абоненты (клиенты) получают трафик (широковещательный и т.п.) других абонентов в сети, что негативно влияет на безопасность, производительность и управляемость такой сети. Есть различные решения данной проблемы. Одно из очевидных решений — выделить под каждого абонента VLAN и, соответственно, отдельную IP-сеть. Однако такое решение является мало масштабируемым, поскольку количество VLANов ограничено 4096 (еще и отнимем зарезервированные номера, которые использовать нельзя).

Настройка технологии PVLAN ограничивают взаимодействие устройств конечных пользователей (абонентов) друг с другом, но по-прежнему разрешают связь с портами маршрутизатора и сетевыми службами. Устройства конечных пользователей будут вести себя как обычно, но не смогут связываться с другими устройствами в том же домене уровня 2. Этот механизм обеспечивает определенный уровень безопасности.

В этой статье будет рассмотрена настройка PVLAN и более простого варианта PVLAN Edge.

PVLAN — это, по сути, VLAN внутри VLAN.  Для маршрутизации пакетов между разными PVLAN необходимо устройство уровня 3.

Когда VLAN разделена на PVLAN, устройства в разных PVLAN по-прежнему принадлежат одной IP-подсети, но не могут взаимодействовать друг с другом на уровне 2. PVLAN — это элегантное решение, когда нужно сохранить несколько устройств в одной IP-подсети, но при этом обеспечить изоляцию портов на уровне 2.

Домен PVLAN имеет одну основную VLAN (primary VLAN). Каждый порт в домене PVLAN является членом основной VLAN; основная VLAN — это весь частный домен VLAN.

Вторичные VLAN (secondary VLAN) — это поддомены, которые обеспечивают изоляцию между портами в одном и том же частном домене VLAN. Существует два типа вторичных VLAN: изолированные VLAN (isolated VLAN) и VLAN сообщества (community VLAN).

  • Изолированные VLAN содержат изолированные порты, которые не могут связываться друг с другом в изолированной VLAN.
  • Сети VLAN сообщества содержат порты сообщества, которые могут обмениваться данными между собой в VLAN сообщества.

 

Типы портов PVLAN (см. рисунок ниже):

  • Разнородный (Promiscuous). Принадлежит основной VLAN и может взаимодействовать со всеми подключенными портами в основной VLAN, включая порты сообщества и изолированные порты. В основной VLAN может быть несколько разнородных портов.
  • Изолированный (Isolated). Изолированный порт — это порт, который принадлежит изолированной вторичной VLAN. Изолированный порт полностью изолирован от других портов, за исключением связанных с ним случайных портов. В указанной изолированной VLAN может быть несколько изолированных портов.
  • Сообщество (Community). Порт сообщества — это порт, который принадлежит вторичной сети VLAN сообщества. Порты сообщества обмениваются данными с другими портами в той же VLAN сообщества и со связанными разнородными портами. Они изолированы от всех портов в других VLAN сообщества и от всех изолированных портов.

 

 

Функция PVLAN доступна не на всех коммутаторах. Защищенный порт, также известный как PVLAN Edge, — это функция, которая (в отличие от PVLAN) имеет для коммутатора только локальное значение. Защищенные порты не направляют трафик на защищенные порты одного и того же коммутатора. Настройки защищенного порта выполняются в режиме интерфейсной конфигурации:

 

SW(config)# interface interface-slot/number
SW(config-if)# switchport protected

 

Задачи

Часть 1. Построение сети и проверка соединения
Часть 2. Настройка базовых параметров коммутаторов
Часть 3. Настройка PVLAN

 

Конфигурации коммутатора и маршрутизатора после выполнения Части 2
no ip domain-lookup
line console 0
logging synchronous
exec-timeout 5 0
exit

 

 

Конфигурации маршрутизатора после выполнения Части 3
interface gi0/0
ip address dhcp
ip nat outside
exit
interface gi0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
exit
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface gi0/0 overload

 

 

Конфигурации коммутатора после выполнения Части 3
vlan 100
private-vlan primary
exit
vlan 101
private-vlan isolated
exit
vlan 100
private-vlan association 101
exit
interface fa0/5
switchport mode private-vlan promiscuous
switchport private-vlan mapping 100 add 101
exit
interface range fa0/6-7
switchport mode private-vlan host
switchport private-vlan host-association 100 101
exit

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Cisco

Больше похожих постов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Most Viewed Posts

Результатов не найдено.

Меню