Uni vlan community что это
Шпаргалки и заметки о сетевых технологиях, серверах, СХД, IT в принципе. И о разном другом) Чтоб самому не забывать, и другим помочь.
суббота, 25 августа 2018 г.
Использование приватных виртуальных локальных сетей (Private VLAN)
Все знают про возможность разграничивать доступ с помощью спиcков контроля доступа (Access Control Lists, ACL). Списки контроля доступа есть практически на любом устройстве и в любой системе в том или ином виде. Однако, иногда в реальной жизни могут возникнуть ситуации, когда доступ разграничить нужно, но ACL тут не подходит. Например, когда нужно сделать так, чтобы два устройства, находящихся в одном широковещательном домене, не могли видеть друг друга. Проблема с ACL в этом случае в том, что они работают на уровне 3 модели OSI, а мы находимся в одном адресном пространстве, и нам нужно сделать какое-либо разделение на втором уровне. Для решения такой проблемы можно использовать приватные виртуальные локальные сети (Privat VLAN, PVLAN). Приватные VLAN'ы позволяют регулировать доступ между устройствами, находящимися в одном широковещательном домене. Для этого создаются специальные типы VLAN, а так же назначаются специальные роли портов.- Primary VLAN - основной VLAN, с которым (или даже через который) будут взаимодействовать все остальные VLAN'ы в создаваемом домене приватных VLAN.
- Secondary VLAN - вторичные вланы. Делятся на два типа - изолированные (Isolated) и VLAN-сообщество (Community).
а) Изолированные VLAN (Isolated) - это VLAN, который изолирован от всех других VLAN и портов, в том числе находящихся с ним в одном VLAN. Порт в таком VLAN может передавать трафик только между собой и портом общего назначения (promiscuous port).
б) VLAN-сообщество (Community) - это VLAN, все порты которого могут общаться либо с друг с другом, либо с портом общего назначения. Таких VLAN может быть много, но все они будут общаться только в пределах своего комьюнити.
В соответствии с принадлежностью к тому или иному VLAN порты коммутатора делятся на:
- Promiscuous - порт общего назначения, который находится в Primary VLAN;
- Isolated - изолированный порт, находящийся в соответствующем типе VLAN;
- Community - порт, принадлежащий комьюнити VLAN.
Небольшой пример: на коммутаторе есть vlan 10 - primary и 3 ассоциированных с ним VLAN:
- 20 - Isolated
- 30 - Community A
- 40 - Community B
Порты разделены следующим образом:
- Порт 1 - promisuous port;
- Порты 2 и 3 - изолированные - т.е. находятся в VLAN 20;
- Порты 4 и 5 - ассоциированы с VLAN 30;
- Порты 6 и 7 - ассоциированы с VLAN 40;
Трафик будет проходить следующим образом:
- Порт 2 - может связываться только с портом 1;
- Порт 3 - может связываться только с портом 1;
- Порт 4 - может связываться с портом 5 и с портом 1;
- Порт 5 - может связываться с портом 4 и с портом 1;
- Порты 6 и 7 могут перегонять трафик между собой и связываться с портом 1.
В части настройки все тоже довольно просто. Для начала необходимо создать все интересующие нас VLAN и задать им соответствующий тип.
Далее ассоциируем все VLAN с нашим основным VLAN:
После этого настроим порты соответствующим образом. Первым будет общедоступный порт:
Другие порты настраиваем аналогичным образом, только ставим соответствующие VLAN и типы портов:
Готово. Теперь можно проверить связность между портами в соответствующих VLAN, и убедиться, что они будут работать по-разному. Важным замечанием здесь служит то, что для всех этих VLAN используется одна подсеть. Т.е. все хосты, сидящие в VLAN 20, 30 и 40 - из одной подсети L3, например, 10.10.0.0/24. Изоляция хостов осуществляется на втором уровне модели OSI.
Настройка Private VLANs на Cisco
В данной статье рассмотрим такую интересную, на мой взгляд, технологию, как Private VLANs в теории и практике.
Для начала вспомним, что такое VLANы. VLAN – отдельная подсеть, отдельный домен бродкаста, используется для логической сегментации сети, ограничения домена широковещательной рассылки, безопасности и т.д.
Обычно сеть делится на VLANы, далее c помощью router-on-the-stick либо многоуровнего свича (любого устройства 3 уровня) включается маршрутизация (разрешается весь трафик), а потом, с помощью списков контроля доступа, прописывается кому, с кем и по какому протоколу разрешено “общаться” (или применяется контроль трафика исходя из требований политики безопасности вашей организации, как было бы написано в учебнике Cisco).
Но что же делать когда, например, сеть уже разделена, сегментирована, но возникла необходимость изолировать серверы либо группы хостов друг от друга?
У Cisco, как и других вендоров, есть дополнительные инструменты, помогающие ограничивать пересылку трафика между хостами, находящимися в пределах одной подсети или контроля трафика внутри VLAN. Для этого чаще всего используются Private VLANs (частные VLANы), VLAN access list и protected ports.
Следует отметить, что Private VLANы на Cisco поддерживаются на моделях Nexus, а так же Catalyst начиная с 3560 и старше.
Первый пример.
Остановимся более подробнее на частных VLANах. Основная цель статьи – научить настраивать частные VLANы, разобраться с терминологией, а так же получить общее представление, где их использовать.
Второй пример.
В первом примере, сеть уже разбита на VLANы, но вдруг потребовалась изоляция хостов, что делать? Вы скажете, что всё очень просто: выносим хосты, которые требуется изолировать в отдельные VLANы, включаем маршрутизацию, с помощью списков контроля доступа изолируем их друг от друга. Для этого просто создаем еще несколько подсетей и всё. Но, вдруг вы работаете в организации, где очень строгая иерархия IP-адресации и просто получить еще одну частную подсеть не так легко либо у вас нет свободных VLANов?
VLAN Support Matrix for Catalyst Swithes | ||
Type of Switch | Maximum No. of VLANs | VLAN IDs Range |
Catalyst 2940 | 4 | 1-1005 |
Catalyst 2960 / 2955 | 250 | 1-4094. |
Catalyst 2960 | 255 | 1-4094. |
Catalyst 2970/2550/3560/3750 | 1005 | 1-4094. |
Catalyst 2848G/2980G/4000/4500 | 4094 | 1-4094. |
Catalyst 6500 | 4094 | 1-4094. |
Рис. – Изоляция серверов в DMZ.
Третий пример.
Вы работаете в провайдере и предоставляете услуги web-хостинга для большого количества клиентов, вы поместили веб-серверы в одну сеть, при этом получается, что нет никакой изоляции, все они могут “слышать” броадкасты друг друга, т.е. передавать трафик без фильтрации через межсетевой экран. Если хакер сможет попасть на один из серверов, то он сможет развернуть атаку на все серверы, ”положить” всю серверную ферму. И, конечно же, клиенты хотят изоляции своих серверов друг от друга. Особенно PVLANы актуальны для провайдеров, предоставляющих layer 2 подключения как вид услуги, для разделения клиентов, клиент А конечно же не захочет, что бы его широковещательная рассылка попадала к клиенту Б, сами понимаете, какая дыра в безопасности здесь открывается. Традиционный выход из положения методом добавления нового VLANа здесь не подойдет (метод один VLAN на клиента), “упираемся” в масштабируемость максимальное количество VLANов 4094 минус зарезервированные. Вторая проблема, т.к. VLAN – отдельная подсеть, нужно заниматься subnetting и откидывать еще по 2 адреса на каждую подсеть (subnet и broadcast) жалко, так как это “белые” адреса :).
В данных ситуациях на помощь приходят частные VLANы.
Немного терминологии. Частные VLANы делятся на:
- Primary – основная, главная VLAN
- Secondary – второстепенные VLANы (бывают 2 видов isolated и community), все они должны принадлежать primary VLAN
Порты делятся на:
- Promiscuous – этот порт “видят” все и он “видит” всех, должен быть привязан к основному и всем второстепенным VLANам.
- Private vlan host может принадлежать:
- Isolated VLAN- “видит” только promiscuous порт, не “видит” другие порты даже в своей isolated vlan. Должен быть привязан к своему isolated VLANу и primary VLANу
- Community VLAN- “видит” только порты в данной community vlan, которой он принадлежит и promiscuous порт. Должен быть привязан к своему community VLANу и primary VLANу.
Общие правила
Только один isolated vlan может быть привязан к одному promiscuous порту. Если хотите несколько isolated vlan, тогда к каждому vlan должен быть привязан отдельный promiscuous порт.
Обычно создается только один isolated vlan, не важно, сколько там хостов, все равно они не будут видеть друг друга.
В отличие от isolated VLAN, несколько community VLAN может быть привязано к одному promiscuous порту.
Рассмотрим следующую топологию:
— Все устройства находятся в одной подсети 10.0.0.0/24 VLAN 10.
— R4 и R5 должны быть изолированы друг от друга и R2, R3 – т.е. должны иметь доступ только к интерфейсу маршрутизатора.
— R2 и R3 должны быть изолированы от R4, R5, но видеть друг друга и маршрутизатор.Сперва создадим 2 второстепенных VLANа, 101 community VLAN и 102 isolated VLAN. VLAN 10 сделаем основной и привяжем к ней второстепенные( порядок ввода команд не имеет значения).
Далее, мы должны ассоциировать порты c VLANами.
Из режима конфигурации интерфейса делаем его сначала private vlan host (говорим ему, что он необычный порт), второй командой привязываем его к isolated и primary VLANам
По аналогии настраиваем интерфейс fa1/0/4
То же самое прописываем на fa1/0/9 – сначала говорим ему, что он private vlan host и для того, что бы он понял, что он принадлежит community vlan 102, привязываем его к ней, а так же не забываем привязать его к основному VLANу.
Аналогично настраиваем fa1/0/9
Интерфейсу fa2/0/2, так как мы хотим, что бы все хосты его “видели” и он всех “видел”, задаем режим promiscuous и по правилу привязываем его к основному и всем второстепенным VLANам.
Проверяем ассоциацию портов:
Следующее действие не обязательное, создаем L3 SVI, для проверки, что isolated и community хосты могут его “видеть” так же, как и promiscuous port.
И теперь самое интересное – как это все работает.
Взглянем на таблицу MAC-адресов на свиче, выглядит она необычно. Оказывается, MAC-адреса хостов на портах, с которых они были получены, одновременно ассоциируются с основным и второстепенным VLANами!
Почему хосты R4 и R5 в isolated vlan 102 не могут ничего “видеть” кроме интерфейса маршрутизатора? Обратите внимание, что MAC-адреса этих хостов в пределах 102 isolated vlan свич пометил, как BLOCKED, в то же время MAC-адрес promiscuous интерфейса маршрутизатора в пределах vlan 102, как обычный DYNAMIC.
Теперь давайте посмотрим, почему интерфейс маршрутизатора, помеченный, как promiscuous может “общаться” со всеми интерфейсами, дело в том, что он их может видеть через primary VLAN 10 (первые 5 строчек в таблице MAC-адресов).
В следующей статье рассмотрим тонкости масштабируемости частных VLANов, как между свичами поддерживающими эту технологию, так и на / через обычные свичи, которые даже и не знают такого понятия, как частный VLAN (нет, нет никакого двойного тегирования фрэйма) и типы “специальных” транков.
Немного о private vlan
Довольно часто на форумах, и других it ресурсах, проскакивает фраза что vlan (стандарт 802.1q) не относится к безопасности, как таковой. Я в принципе с этим суждением согласен, это как динамический nat, который косвенно, но обеспечивает защиту хостов который находятся в серой сети. Да эти 2 темы как vlan так и nat рождают холивар. Но вот есть одна технология которая в большей степени относит vlan к безопасности, о ней мы и поговорим далее.
Кому интересно приглашаю под кат.
Private vlan, что же это такое ?
Попробую рассказать своими словами. По сути с помощью данной технологии выполняется контроль внутри vlan-а. Контролируя broadcast домен превращая его в под домены, согласно настройкам, которые дал администратор сети. Проще говоря, есть свич, есть сеть, есть broadcast домен. Не хотим мы что бы пользователи, которые подключены в этот домен могли обращаться друг к другу. Здесь и применяется наша технология. А если смотреть со стороны самой технологии, то в домене организуются поддомены.
Существует 2 типа вланов в данной технологии, primary, основной влан который берется за основу и представляется не private vlans, как обычный не показывающий id внутридоменных вланов, которые и относятся у второму типу вланов secondary.
Тем самым сами secondary vlans могут быть 2-х типов: Isolated и community, ниже описаны различия этих понятий.
Итого подытожив получим следующее.Promiscuous (или Uplink к примеру в allied telesyn) — режим пропускания трафика, применяется в случаях когда не нужно ограничивать доступность(тот же файловый сервер, маршрутизатор или коммутатор). Этот тип относится к primary vlans. И обменивается трафиком как с изолированными, так и как сказано выше с вланами не использующие технологию pvlan.
Isolated — как раз порт который находится в изолированном состоянии т.е. находится в своем под домене, и не имеет доступ к другим изолированным под доменам, так же как и к нему. Видит он только порты которые находится в promiscuous состоянии, применяется когда хост в сети требует к себе особой безопасности.
Community – деление на под домены не один порт, а несколько портов в отдельном домене. Другими словами, хосты в этом домене видят как своих соседей по под домену, так и хосты в promiscuous состоянии, применимо, когда изоляцию делаем, к примеру, по отделу.
Я больше опирался на понятия корпорации cisco, чем других. Так что в понятиях есть различия, но они схожи с понятиями cisco, и вы при знакомством с технологией от другого вендора думаю поймете, что и как.
О Применении.
Скажу что бы внедрить данную технологию в сеть нужно учитывать, такие параметры, что pvlan не поддерживает многие другие технологии, к примеру vtp rsapn, voice vlan и т.д…
Технология довольно интересная, на мой взгляд, и если вы не найдете применения ей в своей сети, думаю кто не сталкивался с этим понятием будет интересно познакомиться с легким описанием данной технологии.
Private VLAN. Основные сведения.
Сегодня я остановлюсь на Private VLAN. Я рассмотрю что это такое, зачем он нужен, где его применять.
Итак, вспомним, что VLAN характеризуется отдельным широковещательным доменом (помним что как правило, каждый VLAN это одна подсеть. Это является хорошей практикой проектирования сети).
Может сложиться такая ситуация, что будет необходимо чтоб в одном VLAN устройства не могли между собой общаться, то есть быть изолированными (да, это можно сделать с помощью тех же ACL), но есть более элегантное решение, которое называется Private VLAN.
В данной технологии Private VLAN различают 3 вида портов, которыми могут быть порты коммутатора, а именно:
Для реализации Private VLAN используюсь 2 VLAN.
Графически это можно представить ввиде:
Здесь как и описано выше используются 2 VLAN. Primary VLAN, который используется для подключения к маршрутизатору, и Secondary VLAN, к которому подключены Isolated и Community порты.
Понимая эти понятия, будет легко разобраться в том, как работает технология Private VLAN.
С теорией немного разобрались. В следующей статье будем разбираться с тем, как же на практике применить Private VLAN.
Читайте также: