Private VLAN

ارسال شده در فوریه 16, 2009 by Shafagh

 

 فکر کنید سرورهای شما در Subnet ی به آدرس 192.168.1.0 قرار دارند و Firewall 192.168.1.1 است.

سرور های 192.168.1.2 و 192.168.1.3 باید همدیگر را دیده و به فایروال وصل شوند از طرفی 192.168.1.4 و 192.168.1.5 را نبینند این دو سرور آخری نیز باید ارتباط با هم داشته باشند به علاوه ارتباط با فایروال. یک سری سرور هم دارید که از 192.168.1.10 تا 192.168.1.30 تنها باید به فایروال صحبت کنند اما با هم نه.

راه حل ساده ای در پست قبلی ارائه کردیم که Protected Port بود اما برای این مثال پیچیده جوابگو نیست.

اگر بخواهیم VLAN برای هر دسته سرور یا هر سرور بسازیم که کار طاقت فرسایی است چون در مقابل باید Subnetting انجام دهیم و فایروال نیز باید پورتی در هر VLAN از جنس همان IP داشته باشد.

اگر بخواهیم از ACL يا Access-List استفاده کنیم مساله مدیریت آن سخت و پیچیده میشود… راه حل خوب راه حلی است که دست به IP ها و آدرسینگ لایه 3 نزنیم و روی پورت ها گروه بندی تعریف کنیم. يکسری پورت مثل فایروال با همه صحبت کند… يک سری داخل گروه خود و سری دیگر با هیچ کس صحبت نکیند (غیر از فایروال)

 

هدف از PVLAN تفکیک لایه ای شبکه است به طوری که به Addressها دست نزنیم اما پورت ها تنها به پورت های خاص دسترسی داشته باشند…

از کاربرد های PVLAN در Data Center ها و شبکه های Hosting است … سرور های متعددی را اجاره میدهند که سرورها تنها باید به روتر و Gateway يا Firewall شبکه دسترسی داشته باشند و در عین حال لازم نیست به هر سرور یک IP Subnet جداگانه اختصاص دهیم و Routing برقرار کنیم یا VLAN های متعدد را به Firewall و Gateway شبکه Trunk کنیم بلکه در لایه دو دستگاه ها را از هم جدا میکنیم.

کل این شبکه جدا شده می شود يک Private VLAN.

سه نوع Private VLAN داریم که در یک پیاده سازی ممکن است از هر سه نوع استفاده کنیم:

Primary VLAN این VLAN در واقع در برگیرنده کل VLAN های داخل Private VLAN است و درون آن پورت های Promiscuous يا بی طرف نظیر روترو Firewall که باید جوابگوی همه باشند قرار میگیرند.

Isolated VLAN و Community VLAN دو نوع دیگر از سه نوع PVLAN می باشند که به آن Secondary VLAN میگوییم

Isolated VLAN برای قرار دادن پورت هایی است که با هیچ کس نتوانند ارتباط برقرار کنند غیر از Promiscuous Port.

Community VLAN در این VLAN پورت ها با هم می توانند صحبت کنند اما با Community دیگر و پورت های داخل Isolated نمیتوانند ارتباط برقرار کرده و مثل همیشه با Promiscuous میتوانند صحبت کنند.

 pvlansmall

در شکل بالا سرور 21 تنها به روتر و سرور 1 دسترسی دارد. سرور 20 هم نمیتواند 21 را ببیند. از این رو يک Isolated برای هر PVLAN کافیست.

اما سرور 30 به سرور 31 و به روتر و سرور 1 دسترسی دارد اما نمیتواند سرورهای 40 و 41 را ببیند چون در Community دیگر قرار دارند…

 

تنظیم PVLAN

قدم اول

برای تنظیم PVLAN سوییچ را بصورت VTP Transparent تنظیم میکنیم: vtp mode transparent

 

قدم دوم

VLAN ها را تعریف میکنیم


pvlan2

قدم سوم

پورت ها را درون VLAN ها قرار میدهیم. میتوانیم برای Switch نیز يک SVI داخل PVLAN ساخته تا ترافیک لایه 3 را به بیرون هدایت کند.

 pvlan3

قدم چهارم

از تنظیمات خود اطمینان حاصل میکنیم.

 pvlan4

 

نوشته های مرتبط

این نوشته در Ethernet Switching, Security ارسال شده است. افزودن پیوند یکتا به علاقه‌مندی‌ها.

12 پاسخ به Private VLAN

  1. Samen می‌گوید:
    فوریه 24, 2009 در t 7:31 ب.ظ

    خیلی مطلب جالبی بود،ممنون از وقتی که میزارین

  2. امید می‌گوید:
    آوریل 3, 2009 در t 11:39 ب.ظ

    سلام، ممنون جالب بود.
    میشه بفرمایید فرق این کار با vlan به صورت معمولی و ارتباط آن از طریق لایه 3 چی هست؟ یکجا فرموده بودید به خاطر اینکه دیگه نیازی به Subnetting و … نیست. برای من خیلی اهمیت داره که آیا تنها دلیلش همینه یا فرقه دیگه ای هم می کند؟
    ممنون میشم اگه لطف کنید و توضیح بدید.

  3. Shafagh می‌گوید:
    آوریل 4, 2009 در t 12:53 ق.ظ

    فکر کنید یکصد سرور دارین هر یک باید با فایروال صحبت کند و ارتباط بین سرور ها مجاز نیست در راه حل شما هر سرور داخل یک VLAN قرار میگیرد و یک 30/ بین فایروال و سرور – 4 IP اختصاص داده میشود که معقول نیست.
    در حالیکه با ساخت یک Isolated Private VLAN تمام سرورها را میتوان داخل این PVLAN جا داد و یک آدرس 25/ شامل 128 IP به آنها اختصاص داد یک IP برای فایروال در حالیکه در راه حل اول به فایروال 100 IP باید اختصاص دهید در ضمن فایروال ها براساس تعداد VLAN ؛ License میخواهند.
    مدیریت و گسترش شبکه با این مدل ساده و در عین حال قابل توسعه است.

  4. امید می‌گوید:
    آوریل 4, 2009 در t 11:34 ق.ظ

    بسیار ممنون از شما.
    من روی cisco 2950 می خواستم Pvlan رو تنظیم کنم اما به نظر می رسه که در 2950 ، pvlan ساپورت نمیشه. همینطوره؟
    اگه بخوام پورت را به صورت protected تنظیم کنم اونوقت چطوری میشه یک پورت یگه رو به صورت promiscuous در آورد تا ارتباط چند تا پورت Protected از طریق l3 برقرار بشه؟

  5. Shafagh می‌گوید:
    آوریل 4, 2009 در t 10:25 ب.ظ

    خیر ساپورت نمیشود…
    http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09186a0080094830.shtml

    برای Protected Port میتوانید به:
    http://blog.shafagh.com/persian/2009/02/16/protected-port

    مراجعه کنید. پورت های Protected با یکدیگر نمیتوانند صحبت کنند اما با بقیه میتوانند.

  6. حمید می‌گوید:
    اکتبر 3, 2010 در t 3:42 ب.ظ

    سلام و تشکر.آیا میشه هم intervlan routing داشت و هم pvlan.
    یعنی بیش از یک subnet مجزا را به چند isolate vlan مربوط کرد؟
    ممنون میشم

  7. Shafagh می‌گوید:
    اکتبر 3, 2010 در t 11:35 ب.ظ

    بله تنظیم Primary VLAN و Promiscuous برای همین است.

  8. حمزه می‌گوید:
    آگوست 13, 2011 در t 1:53 ق.ظ

    من پروژه بالا رو روي 3750 به تنهايي انجام دادم جواب 100% گرفتم .
    حالا اگه بخوايم يه 2960 به 3750 ترانك كنيم و پورت هاي 2960 ، عضو 200 vlan بالا باشند ، قابل انجامه ؟ اينطور كه در سايت هاي ديگه خوندم رو 3750 تنظيمات مثل بالا و روي 2960 ، Protected Port مي گذاريم .
    به اين صورت ارتباط vlan ها با هم برقرار مي شه ؟ و پورت هاي 2960 مي تونن vlan 100 v رو ببينن ؟

    • Shafagh می‌گوید:
      آگوست 17, 2011 در t 5:23 ب.ظ

      ۲۹۶۰ قابلیت PVLAN-EDGE دارند و میتوان آنرا با ۳۵۶۰ ادغام کرد و راه حل مناسبی ایجاد کرد. نوع تنظیم بستگی به شرایط و نیاز و طراحی متغییر است

  9. ali می‌گوید:
    آگوست 17, 2011 در t 5:46 ق.ظ

    kheili site bahali darinn.mer30

  10. حمزه می‌گوید:
    آگوست 18, 2011 در t 5:53 ق.ظ

    من به اين بحث علاقه زيادي دارم و فكر مي كنم اگر گسترش پيدا كند، خيلي كاربردي بشود و از زحمات استاد Shafagh در آگاهي دادن به ديگران تشكر مي كنم.
    اگر مايل باشيد اين بحث رو ادامه بديم وسناريو بالا رو گسترش بديم . چون سناريو فعلي محدود به كليه كامپيوتر هايي است كه به يك سوييچ لايه سه وصل باشند.و شبكه اي به اين صورت وجود ندارد.
    و نكته دوم اينكه لزوم استفاده از private-vlan ، زماني است كه بخواهيم گروهي از كامپيوترهاي متعلق به يك VLAN ، نتوانند يكديگر را ببيند . و يا ساير V LAN ها به يك VLAN خاص دسترسي نداشته باشند ، كه از لحاظ امنيتي بسيار مفيد است . در غير اينصورت فكر ميكنم استفاده از VLAN ها به صورت معمول راحتتر باشد .

    فرض كنيد طبق سناريو اوليه كه در شكل بالا آمده : روي سوييچ 3750 ، vlan 100 رو به عنوان Promiscuous تعريف كرديم و پورت هاي روتر و سرور هاي dhcp و dns ,FTP , … كه مي بايد تمامي كامپيوتر ها به آنها دسترسي داشته باشند را به سوييچ 3750 وصل كرده ايم وعضو 100 vlan كرده ايم و حال اگر دو سوييچ 2960 داشته باشيم و به صورت ترانك به سوييچ 3750 متصل كنيم و روي سرور DHCP سه SCOPE تعريف كنيم كه يكي به خود VLAN 100 اختصاص يابد . و رنج IP ، اسكوپ دوم به كامپيوتر هاي متصل به سوييچ 2960 اول و رنج IP ، اسكوپ سوم به كامپيوتر هاي سوييچ 2960 دوم اختصاص يابد . و هيچ كدام از كامپيوترهاي متصل به سوييچ هاي 2960 يكديگر را نبينند ولي بتوانند كليه پورت هاي VLAN 100 موجود در سوييچ 3750 را ببينند .

    • Shafagh می‌گوید:
      آگوست 19, 2011 در t 11:42 ب.ظ

      فکر میکنم در درک و استفاده از Private VLAN دچار تردید شدید. بهترین کار برای تمرین PVLAN تعریف همین سناریو های مختلف و تمرین روی آن است. اصول کار مشخص شده و پیاده سازی آن بین چند سوییچ با مثالی که ذکر شد تفاوت چندانی ندارد.