Как реализована функция Private VLAN на коммутаторах серии GS2210?

Функция Private VLAN используется для изоляции портов коммутатора. Изоляция портов не позволит общаться с другими портами коммутатора, которые находятся в том же широковещательном домене. Данная функция предполагает настройку смешанных (Promiscuous) портов, которые смогут общаться со всеми портами.
Как правило, данную функцию администратор использует для мониторинга передачи файлов по сети.
Рассмотрим следующий пример.
Предположим, что политика безопасности компании не позволяет осуществлять обмен файлами между клиентами, а существует выделенный FTP-сервер для хранения файлов. Пусть PC A играет роль FTP-сервера, а PC B и C являются клиентами. Администратору сети нужно настроить коммутатор таким образом, чтобы PC A и B не могли обмениваться файлами, а PC C мог обмениваться файлами со всеми.
 
1. Сначала нужно создать VLAN (в нашем примере это VLAN 10), включив в него порты 1, 2 и 3.
 
2. С функцией Private VLAN администратор может решить, какие порты смогут иметь возможность общаться с другими, а какие не смогут иметь такой возможности в пределах одного VLAN.
 
Например, необходимо решить следующую задачу: 
Порт 1 и порт 3 могут обмениваться данными;
Порт 2 и порт 3 могут обмениваться данными;
Порт 1 и порт 2 не могут обмениваться данными.

Для решения этой задачи нужно настроить Private VLAN.
Предварительно нужно создать статический VLAN (что было сделано в нашем примере ранее, в пункте 1), а затем определить смешанный порт (promiscuous port).
Только смешанные (promiscuous) порты смогут обмениваться данными с другими портами. Все остальные порты коммутатора, которые принадлежат к одному VLAN, будут изолированы друг от друга.
 
Далее приведен пример настройки функции Private VLAN через веб-конфигуратор.
Зайдите в меню Advanced Application > Private VLAN, активируйте данную функцию, укажите VLAN ID и смешанный порт в поле Promiscuous Ports. Затем нажмите кнопку Add для добавления записи в таблицу Private VLAN.
 
Вот пример настройки Private VLAN через интерфейс командной строки (CLI) коммутатора:
GS2210# config
GS2210(config)# vlan 10
GS2210(config-vlan)# fix 1,2,3
GS2210(config-vlan)# untagged 1,2,3
GS2210(config-vlan)# exit
GS2210(config)# interface port-channel 1,2,3
GS2210(config-interface)# pvid 10
GS2210(config-interface)# exit
GS2210(config)# private-vlan name CSO vlan 10 promiscuous-port 3
 
3. Для проверки настройки Private VLAN выполните следующие действия:
 
а). Сначала посмотрите таблицу МАС-адресов и убедитесь, что все пользователи находятся в одном VLAN.
 
GS2210# show mac address-table all
 
Port      VLAN ID        MAC Address         Type
 
1         10             00:1e:33:27:04:93   Dynamic
3         10             90:e2:ba:30:72:28   Dynamic
2         10             d8:50:e6:11:05:93   Dynamic
 
б). Затем убедитесь, что включена функция Private VLAN и назначен смешанный (promiscuous) порт.
 
GS2210# show private-vlan
 
  Private VLAN:    10          Active:YES
 
        Name     Promiscuous Port
  -----------------------------------
         CSO     3
 
в). Теперь выполните пинг хостов.
 
Например, PC C должен видеть все другие PC.
Пинг с PC C до PC A:
c:\>ping 10.10.10.1
 
Pinging 10.10.10.2 with 32 bytes of data:
 
Reply from 10.10.10.1: bytes=32 time<1ms TTL=128
Reply from 10.10.10.1: bytes=32 time<1ms TTL=128
Reply from 10.10.10.1: bytes=32 time<1ms TTL=128
Reply from 10.10.10.1: bytes=32 time<1ms TTL=128
 
Пинг с PC C до PC B:
c:\>ping 10.10.10.2
 
Pinging 10.10.10.2 with 32 bytes of data:
 
Reply from 10.10.10.2: bytes=32 time<1ms TTL=128
Reply from 10.10.10.2: bytes=32 time<1ms TTL=128
Reply from 10.10.10.2: bytes=32 time<1ms TTL=128
Reply from 10.10.10.2: bytes=32 time<1ms TTL=128
 
Пинг с PC B до PC A (по условиям нашего примера PC A и B не должны обмениваться данными):
c:\>ping 10.10.10.1
 
Pinging 10.10.10.1 with 32 bytes of data:
 
Reply from 10.10.10.2: Destination host unreachable.
Reply from 10.10.10.2: Destination host unreachable.
Reply from 10.10.10.2: Destination host unreachable.
Reply from 10.10.10.2: Destination host unreachable.
 

KB-4355

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев