Частная VLAN-сеть

Техника безопасности компьютерных сетей

Частная VLAN , также известная как изоляция портов , — это метод в компьютерных сетях , при котором VLAN содержит порты коммутатора , которые ограничены таким образом, что они могут взаимодействовать только с заданным восходящим каналом . Ограниченные порты называются частными портами . Каждая частная VLAN обычно содержит много частных портов и один восходящий канал. Восходящий канал обычно представляет собой порт (или группу агрегации каналов ), подключенный к маршрутизатору , брандмауэру , серверу , сети провайдера или аналогичному центральному ресурсу.

Эта концепция была первоначально введена в результате ограничения на количество VLAN в сетевых коммутаторах, лимит быстро исчерпывался в сценариях с высоким масштабированием. Следовательно, существовала необходимость создания нескольких сетевых сегрегаций с минимальным количеством VLAN.

Коммутатор пересылает все кадры, полученные с частного порта, на порт восходящей связи, независимо от идентификатора VLAN или MAC-адреса назначения . Кадры, полученные с порта восходящей связи, пересылаются обычным способом (т. е. на порт, на котором размещен MAC-адрес назначения, или на все порты VLAN для широковещательных кадров или для неизвестных MAC-адресов назначения). В результате прямой одноранговый трафик между одноранговыми узлами через коммутатор блокируется, и любая такая связь должна проходить через восходящий канал. В то время как частные VLAN обеспечивают изоляцию между одноранговыми узлами на уровне канала передачи данных , связь на более высоких уровнях может быть все еще возможна в зависимости от дальнейшей конфигурации сети.

Типичным применением частной VLAN является гостиничная или Ethernet-сеть для домашней сети, где каждая комната или квартира имеет порт для доступа в Интернет . Подобная изоляция портов используется в ADSL DSLAM на базе Ethernet . Разрешение прямой связи на уровне канала передачи данных между узлами клиентов подвергнет локальную сеть различным атакам безопасности, таким как подмена ARP , а также увеличит вероятность повреждения из-за неправильной конфигурации.

Другое применение частных VLAN — упрощение назначения IP- адресов. Порты могут быть изолированы друг от друга на уровне канала передачи данных (в целях безопасности, производительности или по другим причинам), при этом принадлежа к одной и той же IP-подсети . В таком случае прямая связь между IP-хостами на защищенных портах возможна только через соединение uplink с использованием MAC-Forced Forwarding или аналогичного решения на основе Proxy ARP .

Протокол транкинга VLAN

Версия 3

В версии 3 протокола VLAN Trunking Protocol добавлена поддержка частных VLAN.

версия 1 и 2

При использовании версий 1 и 2 коммутатор должен быть в режиме VTP transparent mode.

VTP v1 и 2 не распространяют конфигурацию частной VLAN, поэтому администратору необходимо настраивать ее по отдельности.

Ограничения частных VLAN

Частные VLAN не поддерживают: ^[1]^[2]

Членство в VLAN-порте с динамическим доступом .
Протокол динамического транкинга (DTP)
Протокол агрегации портов (PAgP)
Протокол управления агрегацией каналов (LACP)
Регистрация многоадресной VLAN (MVR)
Голосовая VLAN
Протокол связи веб-кэша (WCCP)
Защита кольца Ethernet (ERP)
Гибкое тегирование VLAN
Фильтры брандмауэра Egress VLAN
Интегрированный интерфейс маршрутизации и мостового соединения (IRB)
Группы агрегации каналов с несколькими шасси (MC-LAG)
Туннелирование Q-in-Q
Маршрутизация между подсетями VLAN (вторичными) и первичной VLAN
Juniper, не поддерживает IGMP snooping

Ограничения конфигурации

Интерфейс доступа не может участвовать в двух разных основных VLAN, а ограничивается одной частной VLAN.
Настройки протокола STP (Spanning Tree Protocol).
Невозможно настроить VLAN 1 или VLAN 1002–1005 как первичные или вторичные VLAN. Поскольку они являются специальными VLAN.

Реализация Cisco

Частные VLAN от Cisco Systems имеют преимущество в том, что они могут функционировать на нескольких коммутаторах. ^[3] Частная VLAN делит VLAN (первичную) на под-VLAN (вторичную), сохраняя при этом существующую подсеть IP и конфигурацию уровня 3. Обычная VLAN представляет собой один широковещательный домен , в то время как частная VLAN разделяет один широковещательный домен на несколько более мелких широковещательных поддоменов.

Первичная VLAN : просто исходная VLAN. Этот тип VLAN используется для пересылки кадров вниз по течению во все вторичные VLAN.
Вторичная VLAN : Вторичная VLAN настраивается с использованием одного из следующих типов:
- Изолированный : любые порты коммутатора, связанные с изолированной VLAN, могут достичь первичной VLAN, но не любой другой вторичной VLAN. Кроме того, хосты, связанные с одной и той же изолированной VLAN, не могут достичь друг друга. В одном домене частной VLAN может быть несколько изолированных VLAN (что может быть полезно, если VLAN должны использовать разные пути по соображениям безопасности); порты остаются изолированными друг от друга в каждой VLAN. ^[4]
- Сообщество : любые порты коммутатора, связанные с общей VLAN сообщества, могут взаимодействовать друг с другом и с первичной VLAN, но не с любой другой вторичной VLAN. В одном домене Private VLAN может быть несколько отдельных VLAN сообщества.

В Private VLAN в основном есть два типа портов: Promiscuous port (P-Port) и Host port. Host port далее делится на два типа – Isolated port (I-Port) и Community port (C-port).

Неразборчивый порт (P-порт) : порт коммутатора подключается к маршрутизатору, брандмауэру или другому общему шлюзовому устройству. Этот порт может взаимодействовать с чем угодно, подключенным к первичной или любой вторичной VLAN. Другими словами, это тип порта, которому разрешено отправлять и получать кадры с любого другого порта в VLAN.
Хост-порты :
- Изолированный порт (I-порт) : подключается к обычному хосту, который находится в изолированной VLAN. Этот порт взаимодействует только с P-портами.
- Порт сообщества (C-порт) : подключается к обычному хосту, который находится в сети сообщества VLAN. Этот порт взаимодействует с портами P-Port и портами в той же сети сообщества VLAN.

Пример сценария: коммутатор с VLAN 100, преобразованный в Private VLAN с одним P-портом, двумя I-портами в Isolated VLAN 101 (Secondary) и двумя общественными VLAN 102 и 103 (Secondary), с 2 портами в каждой. Коммутатор имеет один порт uplink (транк), подключенный к другому коммутатору. На схеме эта конфигурация показана графически.

В следующей таблице показан трафик, который может проходить между всеми этими портами.

	I-порт	P-порт	C1-Порт	C2-порт	Восходящая линия связи с Switch2
I-порт	Отрицать	Разрешать	Отрицать	Отрицать	Разрешить/Запретить
P-порт	Разрешать	Разрешать	Разрешать	Разрешать	Разрешать
C1-Порт	Отрицать	Разрешать	Разрешать	Отрицать	Разрешать
C2-порт	Отрицать	Разрешать	Отрицать	Разрешать	Разрешать
Восходящая линия связи с Switch2	Разрешить/Запретить	Разрешать	Разрешать	Разрешать	Разрешать

Трафик из порта Uplink в изолированный порт будет запрещен, если он находится в изолированной VLAN. Трафик из порта Uplink в изолированный порт будет разрешен, если он находится в первичной VLAN.

Варианты использования

Разделение сети

Частные VLAN используются для разделения сети, когда:

Переход от плоской сети к сегрегированной сети без изменения IP-адресации хостов. Брандмауэр может заменить маршрутизатор, а затем хосты могут быть медленно перемещены в их вторичное назначение VLAN без изменения их IP-адресов.
Нужен межсетевой экран с десятками, сотнями или даже тысячами интерфейсов. Используя частные VLAN, межсетевой экран может иметь только один интерфейс для всех разделенных сетей.
Необходимо сохранить IP-адресацию. С помощью частных VLAN все вторичные VLAN могут совместно использовать одну и ту же IP-подсеть.
Преодоление лицензионных сборов за количество поддерживаемых VLAN на один межсетевой экран. ^[5]
Необходимо более 4095 сегрегированных сетей. С изолированной VLAN может быть бесконечное количество сегрегированных сетей. ^[6]

Безопасный хостинг

Частные VLAN в хостинговых операциях обеспечивают разделение между клиентами со следующими преимуществами:

Нет необходимости в отдельной IP-подсети для каждого клиента.
При использовании изолированной VLAN нет ограничений на количество клиентов.
Нет необходимости менять конфигурацию интерфейса брандмауэра для увеличения количества настроенных VLAN.

Безопасный VDI

Изолированную VLAN можно использовать для разделения рабочих столов VDI друг от друга, что позволяет фильтровать и проверять связь между рабочими столами. Использование неизолированных VLAN потребует разных VLAN и подсетей для каждого рабочего стола VDI.

Резервная сеть

В резервной сети хостам не нужно добираться друг до друга. Хосты должны добираться только до своего резервного назначения. Клиенты резервного копирования могут быть размещены в одной изолированной VLAN, а серверы резервного копирования могут быть размещены как неразборчивые в первичной VLAN, это позволит хостам взаимодействовать только с резервными серверами.

Смягчение последствий вещания

Поскольку широковещательный трафик в сети должен отправляться на каждый беспроводной хост последовательно, он может занимать большую часть эфирного времени, делая беспроводную сеть невосприимчивой. ^{[ необходима ссылка ]} Если к коммутатору подключено более одной беспроводной точки доступа, частные VLAN могут предотвратить распространение широковещательных кадров от одной точки доступа к другой, сохраняя производительность сети для подключенных хостов.

Смотрите также

Ссылки

^ "Частные VLAN | Junos OS | Juniper Networks". www.juniper.net . Получено 2023-11-08 .
^ "Руководство по настройке программного обеспечения Cisco IOS для коммутаторов серии Catalyst 4500, 12.2(25)EW - Настройка частных VLAN [коммутаторы серии Cisco Catalyst 4500]". Cisco . Получено 2023-11-08 .
^ S. HomChaudhuri; M. Foschiano (июнь 2009 г.). Частные VLAN Cisco Systems: масштабируемая безопасность в многоклиентской среде. IETF . doi : 10.17487/RFC5517 . RFC 5517. Информационное. Независимое представление.
^ "Настройка частных VLAN". Cisco Systems . Получено 28.08.2014 .
^ «Управление лицензиями на функции для Cisco ASA версии 9.1».
^ «PVLAN — крайне недоиспользуемая функция».

Внешние ссылки

"Настройка частных VLAN". Руководство по настройке программного обеспечения коммутатора Catalyst 3750, 12.2(25)SEE . Cisco Systems . Получено 26.05.2009 .
«Настройка частной VLAN» Руководство по настройке TP-Link.

Дальнейшее чтение

Руководство по сертификации официального экзамена CCNP BCMSN. Автор: Дэвид Хакаби, ISBN 978-1-58720-171-4 , ISBN 1-58720-171-2

[1] "Частные VLAN | Junos OS | Juniper Networks". www.juniper.net . Получено 2023-11-08 .

[2] "Руководство по настройке программного обеспечения Cisco IOS для коммутаторов серии Catalyst 4500, 12.2(25)EW - Настройка частных VLAN [коммутаторы серии Cisco Catalyst 4500]". Cisco . Получено 2023-11-08 .

[rfc5517-3] S. HomChaudhuri; M. Foschiano (июнь 2009 г.). Частные VLAN Cisco Systems: масштабируемая безопасность в многоклиентской среде. IETF . doi : 10.17487/RFC5517 . RFC 5517. Информационное. Независимое представление.

[4] "Настройка частных VLAN". Cisco Systems . Получено 28.08.2014 .

[5] «Управление лицензиями на функции для Cisco ASA версии 9.1».

[6] «PVLAN — крайне недоиспользуемая функция».