Was ist ein privates VLAN und wie funktioniert es?

Was ist ein privates VLAN?

Private VLAN (PVLAN), auch Portisolation genannt, ist eine Netzwerksegmentierungstechnologie für Layer-2-Netzwerke, die die Portisolation oder Verkehrssegmentierung unter dem gleichen IP-Segment ermöglicht. Durch die Anwendung von privatem VLAN in einer gemeinsam genutzten Netzwerkumgebung werden IP-Adressen gespeichert und die Sicherheit der Switch-Ports auf Layer 2 erheblich verbessert.

Übersicht der Begriffe für ein privates VLAN

Porttypen von PVLAN

In der Regel gibt es drei VLAN-Porttypen:

Promiskuitiver Port: Dieser Porttyp ist in der Lage, Frames von allen anderen Ports im VLAN zu senden und zu empfangen. Er verbindet sich normalerweise mit einem Layer-3-Switch, Router oder anderen Gateway-Geräten.

Isolierter Port: Der isolierte Port, der in einem Sub-VLAN vorhanden ist, verbindet sich mit einem Host und kann nur mit wechselnden Ports kommunizieren.

Community-Port: Der Community-Port befindet sich ebenfalls in einem Sub-VLAN und verbindet sich mit einem Host. Es kann jedoch nur mit promiskuitiven Ports und anderen Community-Ports im selben Sub-VLAN kommunizieren.

VLAN-Typen von PVLAN

Innerhalb eines privaten VLANs sind VLANs in drei Arten zugänglich:

Primäres VLAN: Diese Art von VLAN bezieht sich auf das ursprüngliche VLAN, das alle seine Sub-VLANs (sekundäre VLANs) von promiskuitiven Ports bis hin zu allen mit dem Host verbundenen Ports durchlaufen kann.

Isoliertes VLAN: Als sekundäres VLAN kann das isolierte VLAN nur Switch-Ports (isolierte Ports) innerhalb des isolierten VLANs unterstützen, die Daten an promiskuitive Ports im primären VLAN weiterleiten. Selbst im gleichen isolierten VLAN können die isolierten Ports nicht miteinander kommunizieren.

Community-VLAN: Community-VLAN ist auch eine Art sekundäres VLAN. Switch-Ports (Community-Ports) innerhalb desselben Community-VLANs können miteinander kommunizieren, ebenso wie Ports des primären VLANs. Eine solche Art von VLAN ist jedoch auch nicht in der Lage, mit anderen sekundären VLANs zu kommunizieren, einschließlich anderer Community-VLANs.

Wie funktioniert ein privates VLAN?

Im Allgemeinen durchläuft das private VLAN die folgenden Schritte:

1. Das primäre VLAN liefert Frames stromabwärts vom promiskuitiven Port an alle zugeordneten Hosts.

2. das isolierte VLAN transportiert nur Frames von den Stub-Hosts stromaufwärts zum promiskuitiven Port.

3. Community-VLANs ermöglichen den bidirektionalen Frame-Austausch innerhalb einer einzigen Community-Gruppe. In der Zwischenzeit werden Daten in Richtung promiskuitiver Ports übertragen.

4. Das Lern- und Weiterleitungsverfahren für Ethernet-MAC-Adressen bleibt unverändert, ebenso wie das Broadcast-/Multicast Flooding-Verfahren innerhalb der Grenzen von primären/sekundären VLANs.

Weitere Informationen darüber, was VLAN ist und wie es funktioniert, finden Sie unter Verständnis der Virtual LAN (VLAN)-Technologie.

Relevante Fragen zum privaten VLAN

1. Konfiguration des privaten VLANs?

Die FS-Switches der N-Serie, S5800-8TF12S, S5850-32S2Q, S5850-48S6Q, S5850-48S2Q4C, S5850-48T4Q und S8050-20Q4C unterstützen private VLANs. Um das private VLAN zu konfigurieren, sind drei Schritte erforderlich:

Schritt 1: Erstellen Sie primäre und sekundäre VLANs und ordnen Sie sie zu.

Schritt 2: Konfigurieren Sie isolierte Ports und Community-Ports und binden Sie sie an die jeweiligen sekundären VLANs.

Schritt 3: Konfigurieren Sie Schnittstellen als promiskuitive Ports und ordnen Sie die promiskuitiven Ports dem primär-sekundären VLAN-Paar zu.

Schritt 4: Wenn ein Inter-VLAN-Routing verwendet wird, konfigurieren Sie die virtuelle Schnittstelle des primären Switches und ordnen Sie die sekundären VLANs dem primären zu.

Schritt 5: Überprüfen Sie die private VLAN-Konfiguration.

2. Konfiguration von isolierten Ports (Traffic Segmentation) auf FS-Switches?

Die Ethernet-Switches der FS S3900-Serie ermöglichen die Segmentierung des Datenverkehrs und die Switches der S5800/5900/8050-Serie und der N-Serie können die Portisolierung unterstützen. Die Konfigurations-Roadmap für die Verkehrssegmentierung oder Portisolierung kann wie folgt befolgt werden:

Schritt 1: Konfigurieren Sie VLAN, IP-Adressen und Ethernet-Schnittstelle für die angegebenen Switches, um die Netzwerkverbindung zu aktivieren.

Schritt 2: Fügen Sie die Schnittstellen zu einer Verkehrssegmentierung oder Portisolationsgruppe hinzu, um die Segmentierung der Schicht 2 zwischen diesen Schnittstellen zu implementieren.

Schritt 3: Überprüfen Sie die Konfiguration.

Weitere Informationen zur Konfiguration der Verkehrssegmentierung bei Switches der FS 3900-Serie finden Sie unter Konfiguration der Traffic-Segmentierung bei Switches der FS S3900-Serie..

3. VLAN vs. privates VLAN: Worin besteht der Unterschied?

In der Regel werden verschiedene VLANs auf verschiedene IP-Subnetze abgebildet. Geräte in einem VLAN können so konfiguriert werden, dass sie sich die gleiche Broadcast-Domain teilen. Es kann sowohl in Layer 2 als auch in Layer 3 bearbeitet werden.