Private vlan состоит из обычных access портов и uplink порта (или группы uplink портов с аггрегацией). Траффик полученный с access портов в не зависимости от адреса назначения или тега направляется на uplink порт. Траффик полученный от uplink порта форвардится обычным образом. Хосты за access портами могут общаться через L3 устройство за uplink портом. Таким образом, между access портами траффик напрямую не ходит, и атаки вроде arp-спуфинга не применимы.
Области применения Private VLANs:
- Домашние сети провайдеров. Отели. Интернет кафе. Защита клиентов от друг-друга.
- DMZ. Изоляция серверов без необходимости создания отдельного сегмента для каждого сервера.
- ЦОД. Изоляция арендованных серверов.
В случае необходимости, можно несколько access портов объеденить в community и разрешить траффик между ними напрямую.
Настройка PVLANs: http://blog.ine.com/2008/07/14/private-vlans-revisited/
No comments:
Post a Comment