سيسکو به پارسی

 

 فکر کنید سرورهای شما در Subnet ی به آدرس 192.168.1.0 قرار دارند و Firewall 192.168.1.1 است.

سرور های 192.168.1.2 و 192.168.1.3 باید همدیگر را دیده و به فایروال وصل شوند از طرفی 192.168.1.4 و 192.168.1.5 را نبینند این دو سرور آخری نیز باید ارتباط با هم داشته باشند به علاوه ارتباط با فایروال. یک سری سرور هم دارید که از 192.168.1.10 تا 192.168.1.30 تنها باید به فایروال صحبت کنند اما با هم نه.

راه حل ساده ای در پست قبلی ارائه کردیم که Protected Port بود اما برای این مثال پیچیده جوابگو نیست.

اگر بخواهیم VLAN برای هر دسته سرور یا هر سرور بسازیم که کار طاقت فرسایی است چون در مقابل باید Subnetting انجام دهیم و فایروال نیز باید پورتی در هر VLAN از جنس همان IP داشته باشد.

اگر بخواهیم از ACL يا Access-List استفاده کنیم مساله مدیریت آن سخت و پیچیده میشود… راه حل خوب راه حلی است که دست به IP ها و آدرسینگ لایه 3 نزنیم و روی پورت ها گروه بندی تعریف کنیم. يکسری پورت مثل فایروال با همه صحبت کند… يک سری داخل گروه خود و سری دیگر با هیچ کس صحبت نکیند (غیر از فایروال)

 

هدف از PVLAN تفکیک لایه ای شبکه است به طوری که به Addressها دست نزنیم اما پورت ها تنها به پورت های خاص دسترسی داشته باشند…

از کاربرد های PVLAN در Data Center ها و شبکه های Hosting است … سرور های متعددی را اجاره میدهند که سرورها تنها باید به روتر و Gateway يا Firewall شبکه دسترسی داشته باشند و در عین حال لازم نیست به هر سرور یک IP Subnet جداگانه اختصاص دهیم و Routing برقرار کنیم یا VLAN های متعدد را به Firewall و Gateway شبکه Trunk کنیم بلکه در لایه دو دستگاه ها را از هم جدا میکنیم.

کل این شبکه جدا شده می شود يک Private VLAN.

سه نوع Private VLAN داریم که در یک پیاده سازی ممکن است از هر سه نوع استفاده کنیم:

Primary VLAN این VLAN در واقع در برگیرنده کل VLAN های داخل Private VLAN است و درون آن پورت های Promiscuous يا بی طرف نظیر روترو Firewall که باید جوابگوی همه باشند قرار میگیرند.

Isolated VLAN و Community VLAN دو نوع دیگر از سه نوع PVLAN می باشند که به آن Secondary VLAN میگوییم

Isolated VLAN برای قرار دادن پورت هایی است که با هیچ کس نتوانند ارتباط برقرار کنند غیر از Promiscuous Port.

Community VLAN در این VLAN پورت ها با هم می توانند صحبت کنند اما با Community دیگر و پورت های داخل Isolated نمیتوانند ارتباط برقرار کرده و مثل همیشه با Promiscuous میتوانند صحبت کنند.

 

در شکل بالا سرور 21 تنها به روتر و سرور 1 دسترسی دارد. سرور 20 هم نمیتواند 21 را ببیند. از این رو يک Isolated برای هر PVLAN کافیست.

اما سرور 30 به سرور 31 و به روتر و سرور 1 دسترسی دارد اما نمیتواند سرورهای 40 و 41 را ببیند چون در Community دیگر قرار دارند…

 

تنظیم PVLAN

قدم اول

برای تنظیم PVLAN سوییچ را بصورت VTP Transparent تنظیم میکنیم: vtp mode transparent

 

قدم دوم

VLAN ها را تعریف میکنیم

قدم سوم

پورت ها را درون VLAN ها قرار میدهیم. میتوانیم برای Switch نیز يک SVI داخل PVLAN ساخته تا ترافیک لایه 3 را به بیرون هدایت کند.

 

قدم چهارم

از تنظیمات خود اطمینان حاصل میکنیم.