785 профессионалов IT в этом Telegram чате. “ы с нами?

ћерион Ќетворкс

4 минуты чтени€

— тех пор, как различные организации и предпри€ти€ решили увеличить эффективность своих сотрудников за счет организации полноценных электронных рабочих мест, стали использоватьс€ различные IT-решени€ дл€ создани€ виртуальных локальных сетей. Private Virtual Local Area Network, или просто PVLAN, одно из них.


»де€ PVLAN

ѕо сути, иде€ PVLAN проста.  ак можно пон€ть по названию, это нека€ приватна€ часть локальной сети. ќбмен информацией между Host-устройствами, подключение которых организовано через PVLAN, и остальными невозможен. ќднако они не полностью изолированы. ¬нутри приватной сети может быть несколько хостов, и они смогут взаимодействовать, но на определенных услови€х.

ѕример организации Private VLAN

 онечно, дл€ реализации таких задач можно воспользоватьс€ средствами ACL (Access Control List), в рамках которых можно выбрать любое количество допусков дл€ каждого пользовател€ относительно того или иного процесса. Ќо на практике это будет значить большое количество лишних манипул€ций. ¬едь всегда легче изначально заложить некую особенность в архитектуру сети, чем дополн€ть ее ситуационными "заплатками".


 ак это работает?

–ассмотрим типы портов коммутатора, доступных при использовании PVLAN:

  1. "Promiscuous" - смешанный порт.  оммутатор, организованный таким образом, позволит устройству взаимодействовать с любыми другими внутри PVLAN.
  2. "Isolated" - изолированный порт. ѕри использовании этого типа порт изолируетс€ на 2 уровне (именно Layer 2 имеетс€ в виду, когда мы упоминаем VLAN), от любых других коммутаторов, кроме настроенных с типом promiscuous. “аким образом, именно в рамках этого типа возможна реализаци€ основной идеи PVLAN. »золированные порты не могут обмениватьс€ трафиком друг с другом, а изолированные и смешанные - могут.
  3. "Community" - порт группы. ќтдельна€ группа портов, host-участники которой могут делить трафик друг с другом и смешанными портами, но не могут с изолированными портами и коммутаторами другой группы.

„тобы реализовать приватную локальную сеть задействуютс€ 2 VLAN:

  1. ќсновна€ (Primary) - эта сеть имеет принадлежность к смешанному порту. ¬ свою очередь, этот порт подключаетс€ к устройствам сто€щих в иерархии выше (например - маршрутизатор или сервер).
  2. ¬торична€ (Secondary) - VLAN, в которой производитс€ настройка изолированных и групповых коммутаторов.

Ќесмотр€ на то, что в сети можно найти в основном англо€зычные материалы по этой теме, освоить ее можно достаточно легко, несколько раз применив на практике. ќтличный вариант - пробна€ настройка PVLAN на маршрутизаторах Nexus и Catalyst от Cisco (при выборе первого стоит убедитьс€, что его верси€ старше 3560).


 ак эффективно использовать PVLAN?

Ќа сегодн€шний день решить проблему защиты данных в VLAN можно при помощи большого количества инструментов (€ркий пример - разбивка трафика при помощи QinQ), однако, как и было указано выше, использование приватной подсети, как ничто другое говорит о логичности изначальной архитектуры сети и ее общей продуманности.

ќсновные задачи, которые можно без лишних хлопот реализовать посредством PVLAN:

  1. ќбеспечение защищенного трафика дл€ большого количества пользователей. ќтличным примером €вл€етс€ организаци€ сети провайдеров, которые оказывают услуги частным лицам. ≈сли VLAN изначально ориентирован на наличие приватного трафика и построен соответственно, то можно избежать потери огромного количества времени, которое обычно уходит на настройку изол€ции пользователей вторичными средствами.  онечно, дл€ реализации строгой изол€ции понадобитс€ довольно дорогосто€щее оборудование, но это уже другой вопрос.
  2. ¬несение корректировок в уже отлаженную систему обмена данными. »ногда в больших компани€х, с целью усилени€ контрол€ за информационной безопасностью принимаютс€ решени€ по изол€ции потоков трафика, которые не предусмотрены текущей архитектурой сети. ѕорой IT-специалисты вынуждены работать в настолько узких рамках, что не могут получить согласование на добавление новой отдельной сети. »менно дл€ таких комплексных задач используетс€ видоизменение некоторых частей общей VLAN в приватную. √лавным плюсом таких меропри€тий €вл€етс€ безопасность дл€ уже сложившейс€ инфраструктуры взаимодействи€ пользователей.

ѕолезна ли ¬ам эта стать€?