作者wst2080 ()
標題[技術] Private VLAN 簡介
時間Thu Jun 23 12:16:30 2011
※ [本文轉錄自 wst2080 信箱]
作者: wst2080 ()
標題: Re: VLAN問題請教
時間: Thu Jun 23 11:42:27 2011
※ 引述《soxxxxen (緣@桃園)》之銘言:
: W大您好,想請這個問題:
: How to setup 802.1Q VLAN to achieve the following 2 goals?
: (A). Host A CANNOT communicate with Host B in LAN
: (B). Both of Host A and Host B can surf Internet
: topology table → http://0rz.tw/hCJ87
哈哈哈 這不難啊~~~ 這是使用到一個 Private VLAN 的技術
Private VLAN 顧名思義就是 私有VLAN
而這個Private VLAN的功能則是限定各個VLAN成員之間的通連
(有的彼此之間不需要通連。有的需要通聯;但不允許跨區通連...等等)
首先介紹Private VLAN Port 的三個腳色
1.Promiscous(primary):主要VLAN,可跟各個次要VLAN溝通。
2.Community(community):在於相同VLAN當中可互相溝通。
3.Isolated(isolate):在於相同VLAN當中;但不可互相溝通。
這樣有什麼用途呢?
簡單來說,有的人會應用在一些特別的安全環境。 例如: Server與Client的區隔。
假設條件:
1.Server僅對外提供服務;但不對內(Client)提供服務。但Server區之間得提供購連。
好比 Web & 資料庫,就可以擺在這區。如此當Web需要使用到資料庫時,就可以存取
到這台資料庫。
2.Client僅需對外連線;但各個Client用戶端彼此之間均不可溝通。
3.Server 與 Client 均可對外連線;但Server與Client之間不可溝通。
經過以上三個假設條件後,就可以得知這部份的需求可以用防火牆等等來給予達成。
不過有的時候,若能夠透過Switch的機制能夠以簡單的方式加強安全性的功能。
那麼就會有這樣的機制來滿足這樣的需求。
邏輯簡化:
Promiscous ─ Community 兩區可以互相通連
Promiscous ─ Isolate 兩區可以互相通連
Isolate ─ Community 兩區不可互通
Community 內部均可互相溝通
Isolate 內部無法互相溝通
一般來說,Promiscous 則是會放置防火牆、路由器等等。
可以同時對 Isolate 與 Community 來提供服務。
而 Community 則是會放置一些Server(需要互相之間的通連)
最後 Isolate 則是會放置一些Client(互相之間禁止通連) 或者 特殊單一運作伺服器等
這樣講或許太空洞,相關的範例以及圖示的說明:
http://0rz.tw/o8c2z
: 範本的solution:
: Solution:
: 1.We can configure Ports 1 and 3 in the VLAN 10 for example.
: 2.Put ports 2 and 3 in the VLAN 20.
: 3.Then Ports 1,2 and 3 in the VLAN 30.
: 4.Port 1 PVID is 10, port 2 PVID is 20, port 3 PVID is 30.
: 看不太懂 port3分別屬於VLAN10跟VLAN20,最後PORT(1 2 3) 又都屬於VLAN30
: 不太懂這個做法
這裡很簡單,不用想太複雜。 你可以想像成 VLAN per port 就可以了。
這種VLAN就是 主從關係 。
主要VLAN : Promiscus
次要VLAN : Community / Isolate
一般而言,都是一個主要VLAN搭配一個次要VLAN設定於該Port上頭。
根據你的範例solution:
1. 我們可以設定第1與第3Port在於VLAN10
2. 將第2與第3Port配置VLAN20
3. Port 1 2 3 都設定在 VLAN 30
4. Port 1 的 PVID 為 10、 Port 2 的 PVID 20、Port 3的PVID 為30
根據以上數據整理成表:
Port 1 Port 2 Port 3
VLAN10 VLAN20 VLAN10
VLAN30 VLAN30 VLAN20
VLAN30
整理成表的數據當中可以得知,
VLAN 30 為主要VLAN (Promiscus)
VLAN 10、20 為次要VLAN (這邊沒講很清楚,所以不知道腳色為Isolate或Community)
因此可以發現
Port 3 可以對 Port 1 與 2 互相通連;但 Port 2 跟 Port 1 不可互相通連。
不知道這樣講,是否能理解呢?
--
RHCT、RHCSA、RHCE、CCENT、CCNA、CCNP、ITE EAPC、WS-TTT、硬裝丙
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 203.65.42.58
--
RHCT、RHCSA、RHCE、CCENT、CCNA、CCNP、ITE EAPC、WS-TTT、硬裝丙
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 203.65.42.58
※ 編輯: wst2080 來自: 203.65.42.58 (06/23 14:11)
1F:→ kingofsdtw:感謝大大無私的分享,有下有推 06/23 17:17