-
私有VLAN
鎖定
私有VLAN(英文:Private VLAN),也稱為專用VLAN,是一種電腦網絡技術,它包含被限制的交換機端口,使得它們只能與給定的“上行鏈路”(uplink)通信。受限(restricted)端口稱為“私有端口”。每個專用VLAN通常包含許多私有端口和單個上行鏈路。上行鏈路通常是連接到路由器、防火牆、服務器、提供商網絡或類似中心資源的端口。
- 中文名
- 私有VLAN
- 外文名
- Private VLAN
- 也 稱
- 專用VLAN
- 應 用
- 網絡隔離、安全託管等
- 學 科
- 電信工程
私有VLAN基本信息
無論VLAN ID或目的MAC地址如何,交換機將從專用端口接收的所有幀轉發到上行端口。從上行鏈路端口接收的幀以正常方式轉發(即,到承載目的地MAC地址的端口,或廣播幀的所有端口或未知目的地MAC地址)。結果,通過交換機的端對端流量會被交換機阻塞(blocked),並且任何這樣的通信必須經過上行鏈路。私有VLAN在數據鏈路層提供通訊間的隔離,但網絡設備的配置會導致客户端仍然可能在高層進行通信。
私有VLAN的典型應用是酒店或家庭以太網,每個房間或公寓都有一個可以上網的端口。在基於以太網的ADSL DSLAM中使用類似的端口隔離。允許客户節點之間的直接數據鏈路層通信將使本地網絡暴露於諸如ARP Spoofing之類的各種安全攻擊,並增加由於配置錯誤而導致的損壞的可能性。
私有VLAN的另一個應用是簡化IP地址分配。屬於同一個IP子網時,端口在數據鏈路層可以彼此隔離(出於安全性,性能或其他原因)。在這種情況下,受保護端口上的IP主機之間的直接通信只能通過使用MAC-Forced Forwarding或類似的基於Proxy ARP的解決方案通過上行鏈路連接來實現。
[1]
私有VLAN分類
私有VLAN將一個主要VLAN劃分為多個次要VLAN,並同時保留現有的IP子網和第三層配置。常規VLAN是單個廣播域,而私有VLAN將一個廣播域分成多個較小的廣播子域。
- 主要VLAN:原始的VLAN。這種類型的VLAN用於將數據幀下行轉發到所有次要VLAN。
- 次要VLAN:次要VLAN配置為以下類型之一:
- 隔離(Isolated):與隔離VLAN相關聯的任何端口都可以到達主要VLAN,但不能訪問任何其他次要VLAN。此外,與同一個隔離VLAN關聯的主機無法相互通訊。一個私有VLAN中可以有多個隔離VLAN(如果出於安全考慮,VLAN需要使用不同的路徑,則可能會有用); 隔離VLAN的端口在每個VLAN內保持彼此隔離。
- 公共(Community):與公共VLAN相關聯的任何交換機端口都可以相互通信,並與主VLAN進行通信,但不能與任何其他輔助VLAN進行通信。一個私有VLAN內可以有多個不同的公共VLAN。
私有VLAN主要有兩種類型的端口:混雜端口(P-Port)和主機端口。主機端口進一步分為兩種類型:隔離端口(I-Port)和公共端口(C-Port)。
- 混雜端口(P-Port):交換機端口連接到路由器,防火牆或其他網關設備。該端口可以與連接到主VLAN或任何輔助VLAN的任何其他端口進行通信。換句話説,它是允許從VLAN中任何其他端口發送和接收數據幀的一種類型的端口。
- 主機端口:
- 隔離端口:連接到隔離VLAN上的常規主機。此端口只能與P-Port通信。
- 公共端口:連接到公共VLAN上的常規主機。該端口能與同一個私有VLAN上的P-Port和C-Port端口進行通信。 [2]
私有VLAN用例
私有VLAN網絡隔離
在以下情況下,專用VLAN用於網絡隔離:
- 從平面網絡轉移到隔離網絡,而不改變主機的IP地址。防火牆可以替換路由器,然後主機可以緩慢移動到其次要VLAN分配而不更改其IP地址。
- 需要具有數十,數百甚至數千個接口的防火牆。使用專用VLAN,防火牆只能為所有隔離的網絡提供一個接口。
- 有必要保留IP地址。使用專用VLAN,所有Secondary VLAN可以共享相同的IP子網。
- 克服每個防火牆支持的VLAN數量的許可證費用。
私有VLAN安全託管
託管操作中的私有VLAN允許客户之間的隔離,具有以下好處:
- 不需要為每個客户分配IP子網。
- 使用隔離VLAN,客户數量沒有限制。
私有VLAN安全VDI
私有VLAN備份網絡
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:3次歷史版本
- 最近更新: 敏格格smile