Добавить в корзинуПозвонить
Найти в Дзене
Сетестрой
37 подписчиков

Настройка Private VLAN на коммутаторах D-Link с новым программным обеспечением

1
2 мин
О новом программном обеспечении коммутаторов серий DGS-1210 и DGS-1250 — читайте тут. Private VLAN (PVLAN, частная виртуальная сеть) — это технология изоляции трафика на уровне портов коммутатора в пределах одной VLAN. Она позволяет: Ранее я уже писала о настройка PVLAN, прочитать можно тут. В текущей реализации функции на коммутаторах D-Link с новым программным обеспечением (длинное название, но другого пока не придумали) не стали вводить принятую в Private VLAN терминологию, вводится только понятие доверенного порта — trusted port: Для изоляции портов внутри VLAN используется команда: private-vlan ENTRY_ID VLAN_UPPER VLAN_LOWER trusted port {none | interface ethernet IFLIST [, | -]} где: В качестве доверенных портов (trusted port) можно добавить интерфейсы как порты доступа (access), так и  транковые (тегированные). Пример настройки Private VLAN для сети, схема которой показана на рисунке. Трафик между ПК2 и ПК3 будет заблокирован (порты 1-8), разрешена передача трафика от ПК2-ПК3
О новом программном обеспечении коммутаторов серий DGS-1210 и DGS-1250 — читайте тут.

Private VLAN (PVLAN, частная виртуальная сеть) — это технология изоляции трафика на уровне портов коммутатора в пределах одной VLAN. Она позволяет:

  • Разделять широковещательный домен на поддомены;
  • Изолировать часть портов друг от друга;
  • Оставлять порты с полным доступом.

Ранее я уже писала о настройка PVLAN, прочитать можно тут.

В текущей реализации функции на коммутаторах D-Link с новым программным обеспечением (длинное название, но другого пока не придумали) не стали вводить принятую в Private VLAN терминологию, вводится только понятие доверенного порта — trusted port:

  • Доверенные порты могут передавать трафик на любые другие порты указанных VLAN-сетей.
  • Порты, не определенные как доверенные, могут передавать трафик только на доверенные порты указанных VLAN.

Для изоляции портов внутри VLAN используется команда:

private-vlan ENTRY_ID VLAN_UPPER VLAN_LOWER trusted port {none | interface ethernet IFLIST [, | -]}

где:

  • ENTRY_ID — идентификатор создаваемого правила. Допустимый диапазон: от 1 до 16. То есть можно настроить до 16-ти списков.
  • VLAN_UPPER VLAN_LOWER — диапазон VLAN, для которых создается правило. Допустимый диапазон: от 1 до 4094. Если необходимо создать правило только для одной VLAN, значения должны совпадать.
  • none — указывается, чтобы все порты были изолированными.
  • interface ethernet IFLIST — номер порта Ethernet, который будет доверенным портом этого диапазона VLAN. Диапазон интерфейсов (портов) можно задать при помощи дефиса, пробел до и после дефиса недопустим. Перечислить несколько интерфейсов (портов) или отделить один диапазон интерфейсов от другого можно при помощи запятой, пробел до и после запятой недопустим.

В качестве доверенных портов (trusted port) можно добавить интерфейсы как порты доступа (access), так и  транковые (тегированные).

Пример настройки Private VLAN для сети, схема которой показана на рисунке.

Трафик между ПК2 и ПК3 будет заблокирован (порты 1-8), разрешена передача трафика от ПК2-ПК3 на ПК1 (т.е. на порту 9-16). Передача трафика между узлами, подключенными к портам 9-16 так же разрешена.
-Cхема сети
-Cхема сети

Настройки коммутатора

DGS-1250-28X# conf
DGS-1250-28X(config)# vlan 100
DGS-1250-28X(config-vlan)# exit
DGS-1250-28X(config)# interface ethernet 1/0/1-16
DGS-1250-28X(config-if)# switchport mode access
DGS-1250-28X(config-if)# switchport access vlan 100
DGS-1250-28X(config-if)# exit
DGS-1250-28X(config)# private-vlan 1 100 100 trusted-port interface ethernet 1/0/9-16

Проверить сделанные настройки можно при помощи команд: show vlan и show private-vlan

-2