¿Qué es la VLAN privada y cómo funciona?

¿Qué es la VLAN privada?

La VLAN privada (PVLAN), también conocida como aislamiento de puerto, es una tecnología de segmentación de red para redes de capa 2, que permite el aislamiento de puertos o la segmentación de tráfico en el mismo segmento IP. Al aplicar VLAN privada en un entorno de red compartido, ahorra en gran medida las direcciones IP y mejora la seguridad del puerto del switch dentro de la capa 2.

Descripción general de los términos de VLAN privada

Tipos de puerto de PVLAN

Por lo general, hay tres tipos de puertos VLAN:

Puerto promiscuo: este tipo de puerto puede enviar y recibir tramas desde cualquier otro puerto en la VLAN. Por lo general, se conecta con un switch de capa 3, router u otros dispositivos de puerta de enlace.

Puerto aislado: existente en una sub-VLAN, el puerto aislado se conecta con un host y solo puede comunicarse con puertos promiscuos.

Puerto comunitario: el puerto comunitario también reside en una sub-VLAN y se conecta con un host. Sin embargo, solo puede chatear con puertos promiscuos y otros puertos comunitarios en la misma sub-VLAN.

Tipos de VLAN de PVLAN

Dentro de una VLAN privada, las VLAN son accesibles en tres tipos:

VLAN primaria: este tipo de VLAN se refiere a la VLAN original, que puede descender a todas sus sub-VLAN (VLAN secundarias) desde puertos promiscuos a todos los puertos conectados al host.

VLAN aislada: como VLAN secundaria, la VLAN aislada solo puede admitir puertos de conmutador (puertos aislados) dentro de los datos de reenvío de VLAN aislados a puertos promiscuos en la VLAN primaria. Incluso en la misma VLAN aislada, los puertos aislados no pueden comunicarse entre sí.

VLAN comunitaria: la VLAN comunitaria también es un tipo de VLAN secundaria. Los puertos de conmutación (puertos comunitarios) dentro de la misma VLAN comunitaria pueden comunicarse entre sí, así como con los puertos de la VLAN primaria. Pero este tipo de VLAN tampoco puede comunicarse con otras VLAN secundarias, incluidas otras VLAN comunitarias.

¿Cómo funciona la VLAN privada?

En general, la VLAN privada pasará por las siguientes etapas:

1. La VLAN primaria entrega tramas aguas abajo desde el puerto promiscuo a todos los hosts asignados.

2. La VLAN aislada transporta desciende desde los hosts stub aguas arriba hasta el puerto promiscuo solamente.

3. Las VLAN comunitarias permiten el intercambio de tramas bidireccionales dentro de un solo grupo comunitario. Mientras tanto, transmitirá datos hacia puertos promiscuos.

4. El procedimiento de aprendizaje y reenvío de direcciones MAC Ethernet sigue siendo el mismo, así como el procedimiento de inundación de difusión/multidifusión dentro de los límites de las VLAN primarias/secundarias.

Para conocer más detalles sobre qué es VLAN y cómo funciona, consulte la descripción de la tecnología de LAN virtual (VLAN).

Preguntas confusas sobre VLAN privada

1. ¿Cómo configurar la VLAN privada?

En FS, los switches de las series S5800-8TF12S, S5850-32S2Q, S5850-48S6Q, S5850-48S2Q4C, S5850-48T4Q, S8050-20Q4C y N pueden admitir VLAN privadas. Para configurar la VLAN privada, hay tres pasos a seguir:

Paso 1: Crear VLAN primarias y secundarias y asócielas.

Paso 2: Configurar los puertos aislados y los puertos de la comunidad y vincúlelos a las respectivas VLAN secundarias.

Paso 3: Configurar las interfaces como puertos promiscuos y asigne los puertos promiscuos al par de VLAN primario-secundario.

Paso 4: Si se utilizará el enrutamiento entre VLAN, configurar la interfaz virtual del conmutador primario y asigne las VLAN secundarias a la primaria.

Paso 5: Verificar la configuración de VLAN privada.

2. ¿Cómo configurar puertos aislados (segmentación de tráfico) en switches FS?

Los switches Ethernet de la serie FS S3900 permiten la segmentación del tráfico y los switches de la serie S5800/5900/8050 y de la serie N pueden admitir el aislamiento del puerto. La hoja de ruta de configuración para la segmentación del tráfico o el aislamiento del puerto se puede seguir de la siguiente manera:

Paso 1: Configurar la VLAN, las direcciones IP y la interfaz Ethernet para los switches especificados para permitir la interconexión de red.

Paso 2: Agregar las interfaces a una segmentación de tráfico o grupo de aislamiento de puertos para implementar la segmentación de capa 2 entre estas interfaces.

Paso 3: Verificar la configuración.

Para obtener más detalles sobre cómo configurar la segmentación del tráfico en los switches de la serie FS 3900, puede consultar la Configuración de segmentación del tráfico en los switches de la serie FS S3900.

3. VLAN vs. VLAN privada: ¿cuál es la diferencia?

Por lo general, diferentes VLAN se asignan a diferentes subredes IP. Los dispositivos en una VLAN se pueden configurar para compartir el mismo dominio de difusión. Se puede trabajar tanto en la capa 2 como en la capa 3.