私有VLAN(英文:Private VLAN),也稱為專用VLAN,是一種電腦網路技術,它包含被限制的交換機連線埠,使得它們只能與給定的“上行鏈路”(uplink)通信。受限(restricted)連線埠稱為“私有連線埠”。每個專用VLAN通常包含許多私有連線埠和單個上行鏈路。上行鏈路通常是連線到路由器、防火牆、伺服器、提供商網路或類似中心資源的連線埠。
基本介紹
- 中文名:私有VLAN
- 外文名:Private VLAN
- 也稱:專用VLAN
- 套用:網路隔離、安全託管等
- 學科:電信工程
概述,分類,用例,網路隔離,安全託管,安全VDI,備份網路,
概述
無論VLAN ID或目的MAC地址如何,交換機將從專用連線埠接收的所有幀轉發到上行連線埠。從上行鏈路連線埠接收的幀以正常方式轉發(即,到承載目的地MAC地址的連線埠,或廣播幀的所有連線埠或未知目的地MAC地址)。結果,通過交換機的端對端流量會被交換機阻塞(blocked),並且任何這樣的通信必須經過上行鏈路。私有VLAN在數據鏈路層提供通訊間的隔離,但網路設備的配置會導致客戶端仍然可能在高層進行通信。
私有VLAN的典型套用是酒店或家庭乙太網,每個房間或公寓都有一個可以上網的連線埠。在基於乙太網的ADSL DSLAM中使用類似的連線埠隔離。允許客戶節點之間的直接數據鏈路層通信將使本地網路暴露於諸如ARP Spoofing之類的各種安全攻擊,並增加由於配置錯誤而導致的損壞的可能性。
私有VLAN的另一個套用是簡化IP位址分配。屬於同一個IP子網時,連線埠在數據鏈路層可以彼此隔離(出於安全性,性能或其他原因)。在這種情況下,受保護連線埠上的IP主機之間的直接通信只能通過使用MAC-Forced Forwarding或類似的基於Proxy ARP的解決方案通過上行鏈路連線來實現。
分類
私有VLAN將一個主要VLAN劃分為多個次要VLAN,並同時保留現有的IP子網和第三層配置。常規VLAN是單個廣播域,而私有VLAN將一個廣播域分成多個較小的廣播子域。
- 主要VLAN:原始的VLAN。這種類型的VLAN用於將數據幀下行轉發到所有次要VLAN。
- 次要VLAN:次要VLAN配置為以下類型之一:
- 隔離(Isolated):與隔離VLAN相關聯的任何連線埠都可以到達主要VLAN,但不能訪問任何其他次要VLAN。此外,與同一個隔離VLAN關聯的主機無法相互通訊。一個私有VLAN中可以有多個隔離VLAN(如果出於安全考慮,VLAN需要使用不同的路徑,則可能會有用); 隔離VLAN的連線埠在每個VLAN內保持彼此隔離。
- 公共(Community):與公共VLAN相關聯的任何交換機連線埠都可以相互通信,並與主VLAN進行通信,但不能與任何其他輔助VLAN進行通信。一個私有VLAN內可以有多個不同的公共VLAN。
私有VLAN主要有兩種類型的連線埠:混雜連線埠(P-Port)和主機連線埠。主機連線埠進一步分為兩種類型:隔離連線埠(I-Port)和公共連線埠(C-Port)。
- 混雜連線埠(P-Port):交換機連線埠連線到路由器,防火牆或其他網關設備。該連線埠可以與連線到主VLAN或任何輔助VLAN的任何其他連線埠進行通信。換句話說,它是允許從VLAN中任何其他連線埠傳送和接收數據幀的一種類型的連線埠。
- 主機連線埠:
- 隔離連線埠:連線到隔離VLAN上的常規主機。此連線埠只能與P-Port通信。
- 公共連線埠:連線到公共VLAN上的常規主機。該連線埠能與同一個私有VLAN上的P-Port和C-Port連線埠進行通信。
用例
網路隔離
在以下情況下,專用VLAN用於網路隔離:
- 從平面網路轉移到隔離網路,而不改變主機的IP位址。防火牆可以替換路由器,然後主機可以緩慢移動到其次要VLAN分配而不更改其IP位址。
- 需要具有數十,數百甚至數千個接口的防火牆。使用專用VLAN,防火牆只能為所有隔離的網路提供一個接口。
- 有必要保留IP位址。使用專用VLAN,所有Secondary VLAN可以共享相同的IP子網。
- 克服每個防火牆支持的VLAN數量的許可證費用。
- 需要超過4095個隔離網路。使用隔離VLAN,可以有無數的隔離網路。
安全託管
託管操作中的私有VLAN允許客戶之間的隔離,具有以下好處:
- 不需要為每個客戶分配IP子網。
- 使用隔離VLAN,客戶數量沒有限制。
- 不需要更改防火牆的接口配置,以延長配置的VLAN數量。
安全VDI
隔離的VLAN可用於將VDI桌面彼此隔離,允許過濾和檢查桌面到桌面的通信。使用非隔離VLAN需要為每個VDI桌面使用不同的VLAN和子網。
