私有VLAN该如何理解?

发布于 2017-07-06 15:42:34

私有vlan的特性是什么?怎么用私有vlan来阻止ARP攻击? 为什么私有vlan里面还分主vlan和辅vlan?该怎么区分?


查看更多

关注者
0
被浏览
3.6k
14 个回答
若即若离
若即若离 2017-06-08

一般的VLAN相同的VLAN ID就是二层互通,等于一个普通以太网;而不同的VLAN ID物理隔离。PVLAN比较特殊,逻辑上的一个PVLAN中的端口可以进一步细分,有的端口可以跟其他所有端口都互通(可以叫做router端口,就像普通VLAN一样),有的端口只能跟router端口通,跟其他端口都不通,即便VLAN ID一样(隔离端口);还有的端口只能跟router端口以及其他一些选定的port通,跟其他端口都不通(community端口)。这就进一步细分了网络。

它的主要目标就是为了用同一个网段、同一个设备提供更高隔离性的服务。所有的设备都通过同一个router出公网,但是它们之间可以相互隔离,这样对于互联网运营商来说,提供的服务就更安全了。

Primary VLAN、Secondary VLAN是具体实现上的问题,为了区分不同的端口,方法在于为不同端口发出的数据包打上不同的VLAN tag(要记住,PVLAN和普通VLAN一样,也是跨多个交换机的,即使端口不在本交换机,也要能识别出端口属性,所以必须用VLAN tag来标记)。Primary VLAN用于标记router端口,Isolation VLAN用于标记隔离端口(仅有一个,因为多个Isolation VLAN没有意义,本来就是互相隔离的),Community VLAN用于标记Community端口(有多少组需要互通的就有多少个)。Isolation VLAN和Community VLAN都叫做Secondary VLAN,它们是PVLAN实现上需要额外占用的VLAN ID。

既然端口之间物理隔离了,那自然就可以一定程度上防止ARP攻击,但是要指出的是只能防止隔离端口通过ARP攻击另一个隔离端口,使另一个隔离端口以为自己是网关;但隔离端口仍然可以通过ARP攻击router端口,使其他端口断网,这个需要router配合进行相应的配置(比如静态ARP绑定)

Vlan就是大家坐一桌吃饭,有说有笑。

私有vlan 就是大家坐一桌吃饭,但是各玩各的手机,玩的十分认真,你吼我我都听不见,我玩什么你也别想知道。我们之间再也不说话,聊天通过微信短信。

安素若昀
安素若昀 2017-06-26

私有vlan就是加入需要授权的虚拟局域网

数10难逃
数10难逃 2017-03-29
安全路漫漫 大家加油

见过tplink那类家用厂家的端口隔离没?那功能的效果就是让开启隔离的端口之间完全没有二层通讯,但是这些端口可以与上联端口通讯。pvlan就是实现同样的功能但是保留了部分标准VLAN的特性,这种功能一般只有运营商会才会用,企业和家用场景直接上端口隔离就够了。

莓办法
莓办法 2017-05-29
暂时没什么可以说的

普通的vlan只具备隔离二层广播域的功能,但是没有办法在一个vlan内再进一步的隔离,或者说没有办法在一个二层广播域内,或者一个子网内再进行隔离。同时vlan的可用资源是4096。并且传统网络在分配vlan时也会进行IP的分段,会造成IP地址的浪费。如果为每一个课后提供一个vlan,ISP的设备必须有大量的端口。而且随着vlan的增加意味着维护vlan的ACL也要增加,这样增加了网络配置的复杂程度。并且随着vlan的增加,生成树也会越来越复杂。所有,传统的vlan其实有很多弊端。

子ぐ非鱼
子ぐ非鱼 2017-03-01
暂时没什么可以说的

概念:Primary Vlan(主Vlan)、Secondary Vlan(辅VLan)。Secondary Vlan有isolated vlan和community vlan。举个栗子:警察叔叔要剿灭犯罪集团,准备向犯罪集团派卧底。于是,局长大大亲自安排了卧底甲和卧底乙潜入犯罪集团,而甲、乙之间不知道彼此的存在,甲、乙之间不相互提供情报,而只会向局长大大提供情报。局长大大破案心切,于是又安排了丙和丁两人一起去犯罪集团卧底,他们之间互相提供情报,同时会向局长大大提供情报。但是丙和丁并不知道甲和乙是卧底,因此他们和甲、乙间不相互提供情报。这个故事告诉我们,局长大大就相当于Primary Vlan,甲和乙之间就是isolated vlan的关系,丙和丁之间就是community vlan的关系。

亿点点
亿点点 2017-07-29
暂时没什么可以说的

在一个vlan内划分出一个个更小的广播域 这些广播域公用一个网关 比如以前的闭路电视 为了实现信号隔离每户都是一个小广播域 但是每户的网关地址都是一样的

TaoZi
TaoZi 2017-08-29

一般的VLAN相同的VLAN ID就是二层互通,等于一个普通以太网;而不同的VLAN ID物理隔离。PVLAN比较特殊,逻辑上的一个PVLAN中的端口可以进一步细分,有的端口可以跟其他所有端口都互通(可以叫做router端口,就像普通VLAN一样),有的端口只能跟router端口通,跟其他端口都不通,即便VLAN ID一样(隔离端口);还有的端口只能跟router端口以及其他一些选定的port通,跟其他端口都不通(community端口)。这就进一步细分了网络。

苇名二心
苇名二心 2017-01-29
暂时没什么可以说的

专用虚拟局域网PVLAN(Private VLAN):采用两层VLAN隔离技术,只有上层VLAN全局可见,下层VLAN相互隔离,如果将交换机的每个端口划为一个(下层)VLAN,则实现了所有端口的隔离;通常用于企业内部网,用来防止连接到某些接口或接口组的网络设备之间的相互通信,但却允许与默认网关进行通信;尽管各设备处于不同的PVLAN中,它们可以使用相同的网关。

梦想橡皮擦
梦想橡皮擦 2017-07-29
没有痕迹就是不存在

PVLAN的类型:

▶主VLAN(primary VLAN)--实际的VLAN,关联网关的接口

▶子/辅助VLAN(Secondary VLAN)--虚拟出来的VLAN,关联服务器

*隔离VLAN(isolated VLAN)

*团体VLAN(community VLAN)

Echo
Echo 2017-04-29
暂时没什么可以说的

另一种比较典型的PVLAN应用类似于端口隔离功能(switchport protected),即将所有用户端口设置为隔离VLAN((Isolated Port),这样即使同一vlan,同一网段的IP之间的用户也无法访问,可以有效隔离病毒度假。

Petrichor
Petrichor 2017-03-29
暂时没什么可以说的

隔离VLAN(Isolated VLAN):同一个隔离VLAN 中的端口不能互相进行二层通信,一个私有VLAN 域中只有一个隔离VLAN。

java小丑
java小丑 2017-03-29
暂时没什么可以说的

就是super vlan和sub vlan了。华为叫做vlan的聚合

撰写答案

请登录后再发布答案,点击登录

分享
好友

手机
浏览

扫码手机浏览