К основному контенту

Настройка Private VLAN на коммутаторах D-Link

Технология виртуальных локальных сетей (VLAN)  стандарта 802.1Q всем, я надеюсь, хорошо известна. Она позволяет разделить локальную сеть на широковещательные домены. При этом, порт коммутатора в составе VLAN может быть тегированным (tagged) или нетегированным (untagged). Через тегированные порт кадры покидают коммутатор с меткой (VID) виртуальной локальной сети, которой они принадлежат, а при передаче через нетегированный порт эта метка удаляется. Порт, который передает кадры с любой меткой VLAN называется транковым (trunk).
Но вот что такое Private VLAN?

Смотрим на картинку:

Primary VLAN – это так называемый «первичный» VLAN, которые включает в себя «вторичные» VLAN  (secondary  VLAN). Вторичные VLAN могут быть двух типов – community  (общий) и isolated (изолированный). Компьютеры в community VLAN могут обмениваться данными друг с другом и с promiscuous -портами первичной VLAN, а компьютеры в isolated VLAN – только с promiscuous-портами. Трафик между компьютерами в isolated VLAN и между isolated и community VLAN будет блокирован.

Существует несколько правил:
  • Private VLAN может содержать одну isolated VLAN и несколько community VLAN.
  • Вторичные VLAN не могут быть ассоциированы с несколькими первичными.
  • Нетегированные порты первичной VLAN будут promiscuous –портами.
  • Тегированные порты первичной VLAN будут транковыми (trunk) портами.
  • Promiscuous –порты private VLAN не могут быть Promiscuous –портами в другой private VLAN.
  • Порт первичной VLAN не может быть портом во вторичной VLAN, и наоборот.
  • Вторичные VLAN могут содержать только нетегированные порты.
  • Порт, принадлежащий одной вторичной VLAN, не может одновременно принадлежать другой вторичной VLAN.
  • Когда VLAN ассоциирована с первичной как вторичная, promiscuous –порт первичной VLAN ведет себя как нетегированный порт вторичной VLAN, а транковый порт первичной VLAN – как тегированный порт вторичной VLAN.
  • Только первичная VLAN может быть сконфигурирована как L3-интерфейс.
  • На портах, принадлежащийхк private VLAN, не может быть сконфигурирована функция сегментации трафика (traffic segmentation).
 Пример настройки Private VLAN на коммутаторе D-Link DGS-3120-24TC приведен тут

Комментарии

Популярные сообщения из этого блога

Конфигурирование коммутаторов D-Link DGS-3130 и DGS-3630

Кратко рассмотрим процесс настройки в командной строке новой серии коммутаторов D-Link DGS-3130 и DGS-3630. У этих коммутаторов так называемый "industiral" ("cisco-like") интерфейс. И всё сказанное здесь будет справедливо и для других коммутаторов D-Link с подобным интерфейсом. В частности, для серии DGS-1510. Режимы команд У коммутатор есть несколько режимов команд в CLI (command-line interface). Наборы доступных для пользователя команд в зависят как от того режима, в котором в данный момент находится пользователь, так и от его уровня привилегий. CLI имеет пять уровней привилегий и три режима выполнения команд: Basic User - уровень привилегий 1 (Privilege Level 1). Это самый низкий уровень привилегий для аккаунта пользователя. Пользователь с таким уровнем привилегий сможет только осуществлять базовую проверку системы Advanced User - уровень привилегий 3 (Privilege Level 3). Пользователю с таким уровнем доступа разрешено конфигурировать настройки те

Настройка агрегирования каналов связи на коммутаторах D-Link

Агрегирование каналов связи (Link Aggregation) - это объединение нескольких физических портов в один логический. В результате такого объединения получается не только высокоскоростной канал передачи данных, но и повышается отказоустойчивость: ведь при выходе из строя одного из физических каналов, составляющих такой линк, трафик будет распределен между оставшимися. А если коммутаторы работают в стеке, то в группу агрегирования могут входить порты, расположенные на разных коммутаторах стека. Коммутаторы D-Link поддерживают два типа агрегирования: статическое и динамическое. Если агрегированный канал связи создается между коммутаторами разных производителей, то нужно использовать динамическое агрегирование, т.к. в этом случае для управления агрегированным каналом используется стандартный протокол LACP (Link Aggregation Control Protocol). При работе с протоколом LACP порты настраиваются для работы в активном (active) или пассивном (passive) режиме. При работе активном режиме порты от

Проприетарные протоколы и их аналоги

Часто бывает,  что сетевое оборудование, как правило дорогое,  поддерживает некоторые проприетарные функции и протоколы. Но фактически аналогичную функциональность можно найти и у других поставщиков, у которых эта функциональность будет базироваться на стандартных (стандартный - от слова "стандарт") протоколах и цена такого оборудования будет меньше. Рассмотрим некоторые подобные протоколы. 1. CDP или LLDP LLDP - Link Layer Discovery Protocol - протокол канального уровня, позволяющий сетевому оборудованию оповещать оборудование, работающее в локальной сети, о своём существовании и передавать ему свои характеристики, а также получать от него аналогичные сведения. Описание протокола приводится в стандарте IEEE 802.1AB-2009. Протокол не зависит от производителей сетевого оборудования и является заменой аналогичных, но пропиетарных (патентованных) протоколов, таких как CDP (Cisco Discovery Protocol) и EDP (Extreme Discovery Protocol). 2.  VTP или GVRP GARP VLAN Regis