Изоляция портов коммутатора что это
6 конфигурация функции изоляции портов, 1 введение в функцию изоляции портов, 2 список команд для конфигурации изоляции портов – Инструкция по эксплуатации QTECH QSW-8200
Страница 67
6. КОНФИГУРАЦИЯ ФУНКЦИИ ИЗОЛЯЦИИ ПОРТОВ
6 КОНФИГУРАЦИЯ ФУНКЦИИ ИЗОЛЯЦИИ ПОРТОВ
6.1 Введение в функцию изоляции портов
Изоляция портов — это независимая порто-ориентированная функция, работающая
между портами, которая изолирует потоки различных портов друг от друга. С помощью
этой функции пользователь может изолировать порты в пределах VLAN для сохранения
ресурсов VLAN и усиления секретности сети. После того, как эта функция будет
сконфигурирована, порты в группе изолированных портов будут изолированы друг от
друга, в то время как порты из различных групп изоляции или неизолированных могут
пересылать данные друг другу совершенно нормально. На коммутаторе может быть
сконфигурировано не более 16 групп изоляции портов.
6.2 Список команд для конфигурации изоляции портов
1. Создать группу изолированных портов
2. Добавить Ethernet порты в группу
3. Определить потоки, которые будут изолироваться
4. Отобразить конфигурацию группы изоляции портов
1. Создать группу изолированных портов
Режим глобального конфигурирования
isolate-port group
no isolate-port group
Создает группу изолированных портов. С оператором NO эта
команда удаляет группу изолированных портов.
2. Добавить Ethernet порты в группу
Режим глобального конфигурирования
isolate-port group switchport interface
[ethernet | port-channel]
no isolate-port group switchport
interface [ethernet | port-channel]
Добавляет один порт или группу портов в
группу изолированных портов, которые будут
изолированы от других портов в группе.
Оператор NO удаляет один порт или группу
портов из группы изолированных портов.
3. Определить потоки, которые будут изолироваться
Как настроить функцию Port Isolation (изоляция порта) для управляемых коммутаторов 2 уровня через веб-интерфейс?
Для порта 1 :
Для порта 2 :
Для порта 3 :
Для порта 4 :
Для порта 5 :
Нажмите Saving Config (Сохранить конфигурацию) для сохранения
файла настроек.
Если настройка будет выполнена таким образом, PC 1 сможет иметь доступ
Что такое private VLAN и как она работает?
Howard
Что такое private VLAN?
Private VLAN (PVLAN-Частная VLAN), также известная как изоляция порта, представляет собой технологию сегментации сети для сетей уровня 2, который обеспечивает изоляцию порта или сегментацию трафика в одном и том же сегменте IP. Применяя частную VLAN в поделенной сетевой среде, это значительно экономит IP-адреса и повышает безопасность порта коммутатора на уровне 2.
Обзор private VLAN
Типы портов PVLAN
Как правило, существует три типа портов VLAN:
Смешанный порт: этот тип порта может отправлять и получать кадры с любых других портов в VLAN. Обычно он подключается к коммутатору 3 уровня, маршрутизатору или другим шлюзовым устройствам.
Изолированный порт: существует в sub-VLAN, изолированный порт соединяется с хостом и может связываться только со смешанными портами.
Портовое сообщество: портовое сообщество также находится в sub-VLAN и соединяется с хостом. Тем не менее, он может общаться только с смешанными портами и другими портовыми сообществами в той же sub-VLAN.
VLAN Типы PVLAN
В private VLAN, VLAN доступны в трех типах:
Первичная VLAN: этот тип VLAN относится к исходной VLAN, которая может передавать нисходящие кадры во все свои sub-VLAN (вторичные VLAN) от смешанных портов до всех портов, подключенных к хосту.
Изолированная VLAN: как вторичная VLAN, изолированная VLAN может поддерживать только порты коммутатора (изолированные порты) в изолированной VLAN, перенаправляя данные на смешанные порты в основной VLAN. Даже в той же изолированной VLAN, изолированные порты не могут общаться друг с другом.
Сообщество VLAN: сообщество VLAN также является типом вторичной VLAN. Порты коммутатора (портовое сообщество) в одной и той же VLAN сообщества могут сообщаться друг с другом, а также с портами первичной VLAN. Но такой тип VLAN также не может сообщаться с другими вторичными VLAN, включая другие VLAN сообщества.
Как работает private VLAN?
Как правило, private VLAN будет проходить следующие этапы:
1. Первичная VLAN передавать нисходящие кадры из смешанного порта на все сопоставленные хосты.
2. Изолированная VLAN транспортирует кадры от хост-заглушек в восходящем направлении только к смешанному порту.
3. Сообщество VLAN позволяет двунаправленный обмен кадрами в пределах одной группы сообщества. Одновременно он будет передавать восходящие данные в сторону смешанных портов.
4. 4. Процедура изучения и пересылки Ethernet MAC-адресов остается прежней, а также процедура затопления широковещательной/многоадресной передачи в пределах границ первичных/вторичных VLAN.
Чтобы узнать больше о том, что такое VLAN и как она работает, обратитесь к Пониманию Технологии Виртуальных Локальных Сетей (VLAN).
Вопросы о private VLAN
1. Как настроить private VLAN?
В FS, коммутаторы S5800-8TF12S, S5850-32S2Q, S5850-48S6Q, S5850-48S2Q4C, S5850-48T4Q, S8050-20Q4C и N серии могут поддерживать частные VLAN. Чтобы настроить частную VLAN, необходимо выполнить три шага:
Шаг 1. Создайте первичные и вторичные VLAN и свяжите их.
Шаг 2. Настройте изолированные порты и портовые сообщества и свяжите их с соответствующими вторичными VLAN.
Шаг 3. Настройте интерфейсы как смешанные порты и отображайте смешанные порты в первичной-вторичной паре VLAN.
Шаг 4: Если будет использоваться маршрутизация inter-VLAN, настройте виртуальный интерфейс первичного коммутатора и отображайте вторичные VLAN в первичных.
Шаг 5: Проверьте конфигурацию частной VLAN.
2. Как настроить изолированные порты (Сегментация Трафика) на коммутаторах FS?
Ethernet коммутаторы серии S3900 обеспечивают сегментацию трафика, а коммутаторы серии S5800/5900/8050 и серии N поддерживают изоляцию порта. Схема конфигурации для сегментации трафика или изоляции порта может быть выполнена следующим образом:
Шаг 1. Сконфигурируйте VLAN, IP-адреса и Ethernet интерфейс для указанных коммутаторов, чтобы включить сетевое межсоединение.
Шаг 2: Добавьте интерфейсы к сегментации трафика или группе изоляции портов для реализации сегментации уровня 2 между этими интерфейсами.
Шаг 3: Проверьте конфигурацию.
3. VLAN vs. private VLAN: в чем разница?
Обычно разные VLAN отображаются в разные IP-подсети. Устройства в VLAN могут быть настроены на использование одного и того же широковещательного домена. Он может работать как в уровне 2, так и в уровне 3.
02. Настройка изоляции портов (port isolation)
2.2. Настройка изоляции портов
2.2.1. Настройка полной изоляции портов
Создание isolate-port group:
Команда
Описание
no isolate-port group
! В режиме глобальной конфигурации
Создание isolate-port group с именем
Удаление isolate-port group с именем
Добавление портов в isolate-port group
Команда
Описание
isolate-port group switchport interface [ethernet]
no isolate-port group switchport interface [ethernet]
! В режиме глобальной конфигурации
Добавление в isolate-port group интерфейса
Удаление из isolate-port group интерфейса
2.2.2. Настройка изоляции портов в рамках VLAN
Создание isolate-port group внутри VLAN:
Команда
Описание
no isolate-port group
! В режиме глобальной конфигурации
Создание isolate-port group с именем
Удаление isolate-port group с именем
Добавление портов в isolate-port group внутри Vlan
Команда
Описание
isolate-port group switchport interface [ethernet]
no isolate-port group switchport interface [ethernet]
! В режиме глобальной конфигурации
Добавление в isolate-port group интерфейса
Удаление из isolate-port group интерфейса
2.2.3. Просмотр конфигурации изоляции портов
Команда
Описание
show isolate-port group [ ]
! В режиме глобальной конфигурации
Просмотр конфигурации изоляции портов для всех групп либо для конкретной группы
2.3. Примеры настройки изоляции портов
Настройка изоляции портов 1/0/2 и 1/0/3 (запрет коммутации трафика между портами 1/0/2 и 1/0/3)
Настройка изоляции трафика в vlan 50 между портами 1/0/4 и 1/0/5
Как настроить функцию Port Isolation (изоляция порта) для управляемых коммутаторов 2 уровня через веб-интерфейс?
Для порта 1 :
Для порта 2 :
Для порта 3 :
Для порта 4 :
Для порта 5 :
Нажмите Saving Config (Сохранить конфигурацию) для сохранения
файла настроек.
Если настройка будет выполнена таким образом, PC 1 сможет иметь доступ