Private VLAN
VLAN характеризуется отдельным широковещательным доменом (как правило, каждый VLAN это одна подсеть. Это является хорошей практикой проектирования сети). Если мы на коммутаторе создали несколько VLAN, то по умолчанию, хосты каждого VLAN могут общаться между собой. Технология Private VLAN (PVLAN) позволяет производить разграничение трафика на втором уровне модели OSI между портами коммутатора, которые находятся в одном широковещательном домене. На коммутаторах уровня доступа и уровня ядра сконфигурировано три типа PVLAN портов:
- promiscuous - это порт, который способен обмениваться данными между любыми интерфейсами, включая isolated и community порты PVLAN.
- isolated - это порт, который полностью изолирован от других портов внутри одного и того же PVLAN, но не от promiscuous портов. PVLANы блокируют весь трафик, идущий в сторону isolated портов, кроме трафика со стороны promiscuous портов, пакеты со стороны isolated портов могут передаваться только в сторону promiscuous портов.
- community – это группа портов, которые могут обмениваться данными между собой и promiscuous портами, эти интерфейсы отделены на втором уровне модели OSI от всех остальных community интерфейсов, а также isolated портов внутри PVLAN.
Для реализации Private VLAN используюсь 2 VLAN. Primary VLAN - это VLAN, который принадлежит Promiscuous порту. Этот порт обычно подключается к вышестоящим маршрутизаторам, серверам и т.д. Secondary VLAN - в этот VLAN соответственно настраивается Isolated и Community порты. При внедрении данной технологии в сеть нужно учитывать, что pvlan не поддерживает многие другие технологии, к примеру vtp rsapn, voice vlan и т.д.