Довольно часто на форумах, и других it ресурсах, проскакивает фраза что vlan (стандарт 802.1q) не относится к безопасности, как таковой. Я в принципе с этим суждением согласен, это как динамический nat, который косвенно, но обеспечивает защиту хостов который находятся в серой сети. Да эти 2 темы как vlan так и nat рождают холивар. Но вот есть одна технология которая в большей степени относит vlan к безопасности, о ней мы и поговорим далее.
Кому интересно приглашаю под кат.
Попробую рассказать своими словами. По сути с помощью данной технологии выполняется контроль внутри vlan-а. Контролируя broadcast домен превращая его в под домены, согласно настройкам, которые дал администратор сети. Проще говоря, есть свич, есть сеть, есть broadcast домен. Не хотим мы что бы пользователи, которые подключены в этот домен могли обращаться друг к другу. Здесь и применяется наша технология. А если смотреть со стороны самой технологии, то в домене организуются поддомены.
Существует 2 типа вланов в данной технологии, primary, основной влан который берется за основу и представляется не private vlans, как обычный не показывающий id внутридоменных вланов, которые и относятся у второму типу вланов secondary.
Тем самым сами secondary vlans могут быть 2-х типов: Isolated и community, ниже описаны различия этих понятий.
Итого подытожив получим следующее.
Promiscuous (или Uplink к примеру в allied telesyn) — режим пропускания трафика, применяется в случаях когда не нужно ограничивать доступность(тот же файловый сервер, маршрутизатор или коммутатор). Этот тип относится к primary vlans. И обменивается трафиком как с изолированными, так и как сказано выше с вланами не использующие технологию pvlan.
Isolated — как раз порт который находится в изолированном состоянии т.е. находится в своем под домене, и не имеет доступ к другим изолированным под доменам, так же как и к нему. Видит он только порты которые находится в promiscuous состоянии, применяется когда хост в сети требует к себе особой безопасности.
Community – деление на под домены не один порт, а несколько портов в отдельном домене. Другими словами, хосты в этом домене видят как своих соседей по под домену, так и хосты в promiscuous состоянии, применимо, когда изоляцию делаем, к примеру, по отделу.
Я больше опирался на понятия корпорации cisco, чем других. Так что в понятиях есть различия, но они схожи с понятиями cisco, и вы при знакомством с технологией от другого вендора думаю поймете, что и как.
Скажу что бы внедрить данную технологию в сеть нужно учитывать, такие параметры, что pvlan не поддерживает многие другие технологии, к примеру vtp rsapn, voice vlan и т.д…
Технология довольно интересная, на мой взгляд, и если вы не найдете применения ей в своей сети, думаю кто не сталкивался с этим понятием будет интересно познакомиться с легким описанием данной технологии.
Кому интересно приглашаю под кат.
Private vlan, что же это такое ?
Попробую рассказать своими словами. По сути с помощью данной технологии выполняется контроль внутри vlan-а. Контролируя broadcast домен превращая его в под домены, согласно настройкам, которые дал администратор сети. Проще говоря, есть свич, есть сеть, есть broadcast домен. Не хотим мы что бы пользователи, которые подключены в этот домен могли обращаться друг к другу. Здесь и применяется наша технология. А если смотреть со стороны самой технологии, то в домене организуются поддомены.
Существует 2 типа вланов в данной технологии, primary, основной влан который берется за основу и представляется не private vlans, как обычный не показывающий id внутридоменных вланов, которые и относятся у второму типу вланов secondary.
Тем самым сами secondary vlans могут быть 2-х типов: Isolated и community, ниже описаны различия этих понятий.
Итого подытожив получим следующее.
Promiscuous (или Uplink к примеру в allied telesyn) — режим пропускания трафика, применяется в случаях когда не нужно ограничивать доступность(тот же файловый сервер, маршрутизатор или коммутатор). Этот тип относится к primary vlans. И обменивается трафиком как с изолированными, так и как сказано выше с вланами не использующие технологию pvlan.
Isolated — как раз порт который находится в изолированном состоянии т.е. находится в своем под домене, и не имеет доступ к другим изолированным под доменам, так же как и к нему. Видит он только порты которые находится в promiscuous состоянии, применяется когда хост в сети требует к себе особой безопасности.
Community – деление на под домены не один порт, а несколько портов в отдельном домене. Другими словами, хосты в этом домене видят как своих соседей по под домену, так и хосты в promiscuous состоянии, применимо, когда изоляцию делаем, к примеру, по отделу.
Я больше опирался на понятия корпорации cisco, чем других. Так что в понятиях есть различия, но они схожи с понятиями cisco, и вы при знакомством с технологией от другого вендора думаю поймете, что и как.
О Применении.
Скажу что бы внедрить данную технологию в сеть нужно учитывать, такие параметры, что pvlan не поддерживает многие другие технологии, к примеру vtp rsapn, voice vlan и т.д…
Технология довольно интересная, на мой взгляд, и если вы не найдете применения ей в своей сети, думаю кто не сталкивался с этим понятием будет интересно познакомиться с легким описанием данной технологии.