Private VLANs چیست و شیوه پیکربندی آن چگونه است؟
قبلا در یک مقاله از ساینت راجب VACL صحبت کردیم و کاربرد آن را در تامین امنیت سوییچ ها بررسی کردیم. در این مقاله Private-VLAN یکی دیگر از روشهای کاربردی در جهت تامین امنیت روی تجهیزات لایه ۲ یعنی سوییچ ها را مورد بررسی قرار خواهیم داد.
تکنولوژی PVLAN امکان گروه بندی VLAN ها را در اختیار ما قرار می دهد. PVLAN امکان قرار گیری دو سرور در یک vlan بدون امکان ارتباط با یکدیگر را به شما می دهد. به نحوی که در شبکه مجزا هستند. امکان ارتباط سرورهای فوق با بقیه قسمتهای شبکه از طریق Gateway انجام می شود.
کاربرد PVLAN
ممکن است شما سرورهای مختلفی در DMZ که به صورت یک VLAN ایجاد شده است داشته باشید. که طبق پالیسی امنیتی نباید با یکدیگر ارتباط داشته باشند. اینجاست که PVLAN به شما در پیاده سازی کمک می کند.
برای پیاده سازی این سناریو در نظر بگیرید که دو سرور توسط پورتهای فیزیکی مجزا به سوییچ وصل هستند برای جدا سازی و عدم ارتباط بین سرورهای پورتها به صورت Isolated پیکربندی شدهاند و پورت مربوط به Gateway به صورت Promiscuous پیکربندی شده است تا سرورها به GW دسترسی داشته باشند.
سه نوع مختلف پورت در حالت PVLAN وجود دارد:
- حالت Promiscuous: این پورتها معمولا برای ارتباط با دستگاههای شبکه مثل فایروال و یا روترها استفاده می شوند. این پورتها با تمام پورتهای PVLAN می توانند در ارتباط باشند.
- حالت Isolated: این پورتهای فقط می توانند با پورتهای Promiscuous در ارتباط باشند.
- حالت Community: این پورتها با دیگر پورتهای Community و همچنین پورتهای Promiscuous می توانند در ارتباط باشند.
Private VLAN کجا استفاده می شود؟
در بیشتر موارد با استفاده از یک VLAN و یا چند VLAN امکان تقسیم بندی ترافیک وجود دارد ولی در برخی سناریوهای پیچیده استفاده از VLAN بهترین انتخاب نخواهد بود. در نظر بگیرید که شما مدیریت مجمعه زیادی از سرورها را بر عهده دارید. در این حالت همه سرورها باید بتوانند با GW در ارتباط باشند تا بتوانند از شبکه استفاده کرده و سرویس دهی لازم را انجام دهند، اما خوب نیست که همه این سرورها بتوانند با یکدیگر ارتباط داشته باشند. این سرورها می توانند در یک دیتا سنتر باشند اما هرکدام از آنها توسط یک سازمان جداگانه مدیریت شوند. به دلایل امنیتی، هر سرور باید از سایر سرورها جدا شود اما باید جهت سرویس دهد به GW دسترسی داشته باشند.
یا ممکن است شما یک ارائه دهنده خدمات اینترنت باشید. ممکن است شما یک VLAN را برای مشتریان خود در نظر گرفته باشد اما نباید در آن VLAN سرورهای مشتریان بتوانند با یکدیگر تبادل ترافیک داشته باشند.
Private VLAN برای شما چه مشکلاتی را حل می کند؟
لازم به ذکر است که پروتکل انتقال Trunking VTP VLAN هیچ اطلاعاتی را در مورد پیکربندی PVLAN منتقل نمی کند. به همین دلیل PVLAN فقط به صورت Local روی سوییچ وجود دارند. و هر یک از VLAN های خصوصی باید به صورت محلی در هر سوییچ تنظیم شوند. شما باید هر پورت سوئیچ فیزیکی را که از VLAN خصوصی استفاده می کند را پیکربندی کنید. همچنین باید پورتها را به عنوان Promiscuous یا Host تعریف کنید.
پیکربندی Private VLAN
پیکربندی PVLAN با مشخص کردن VLANهای ثانویه شروع می شود. VLAN های ثانویه می توانند Isolated و یا Community باشند.
Switch(config)# vlan 4
Switch(config-vlan)# private-vlan community
Switch(config)# vlan 5
Switch(config-vlan)# private-vlan community
Switch(config)# vlan 6
Switch(config-vlan)# private-vlan isolated
یادآوری:
Isolated VLAN: هیچ ارتباطی بین پورتهای Isolated وجود ندارد.
Community VLAN: اتصال بین پورتها عضور وجود دارد.
ساخت VLAN اولیه:
Switch(config)# vlan 10
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 4,5,6
Switch(config-vlan)# exit
حالا باید VLAN اولیه را با VLAN های ثانویه مرتبط کنیم. دستور association این کار را برای ما انجام می دهد همانطور که در دستورات بالا در مشاهده می کنید.
تا اینجا ارتباط بین vlan های ثانویه و vlan اصلی را انجام دادیم. حالا باید پورتهای سوئیچ را به PVLAN اضافه کنیم.
Switch(config)# interface fastethernet 0/1
Switch(config)# switchport private-vlan host
Switch(config-if)# switchport private-vlan host-association 10 4
Switch(config)# interface fastethernet 0/2
Switch(config)# switchport private-vlan host
Switch(config-if)# switchport private-vlan host-association 10 5
Switch(config)# interface fastethernet 0/3
Switch(config)# switchport private-vlan host
Switch(config-if)# switchport private-vlan host-association 10 6
با استفاده از دستورات بالا ما نوع پورها را تعریف کردیم که می تواند host و یا Promiscuous باشد. بالاتر هم گفتیم که پورتهای مربوط به فایروال و یا روتر را در حالت Promiscuous قرار می دهیم تا دسترسی به آنها امکانپذیر باشد. بقیه پورتها را با توجه به نیاز به صورت Isolation و یا community پیکر بندی میکنیم.
حالا می رسیم به تعریف VLAN اولیه
Switch(config)# interface fastethernet 2/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 10 4,5,6
ما پورت FA0/2 را در حالت promiscuous پیکربندی می کنیم. اینکار به تجهیزات مختلف در vlanهای isolated و community امکان می دهد تا به فایروال و یا روتر دسترسی داشته باشند.
و سپس ارتباط بین vlan10 اولیه و تمام vlanهای ثانویه ۴,۵,۶ ایجاد می شود.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.