プライベートVLANの概念(rfc 5517)

プライベートVLANの概念(rfc 5517)

VLANの概念を学び、プライベートVLANを理解しています。RFカード。隔離ドメインの理由と意味はわかりますが、コミュニティドメインについてはわかりません。特に、一般的なVLANとプライベートVLAN(コミュニティドメイン)の違いはよくわかりません。
私はシステム管理者ではありませんが、それを正しく実装するには、実際のネットワークでどのように使用されるかを理解することが重要です。
コメントありがとうございます、Ilya。

PSこの質問は非常に似ていますこれしかし、もう少し理論的なものですが、Linuxで隔離されたVLANを設定する方法の実際的な例を見たいと思います。

答え1

以下は、プライベート VLAN のさまざまなポート設定の簡単な説明です。http://www.cisco.com/en/US/tech/tk389/tk814/tk840/tsd_technology_support_sub-protocol_home.html

PC(Linux)でPVLANを実装する予定ですか?それともスイッチから直接設定できますか? PCの場合は、リンクされた投稿で説明されているように別々の物理インターフェイスを使用してブリッジし、ebtablesを使用してL2からのトラフィックをブロックする必要があります。

プライベートVLANとは何かを説明しましょう。通常の VLAN は別の物理ネットワークと同じですが、スイッチで論理的に実行されます。同じVLAN上のコンピュータは同じブロードキャストドメインにあるため、互いに通信できます。

多くの理由(主にセキュリティとブロードキャストの削除)が原因で「プライベートVLAN」を作成することができます。これにより、コンピュータは互いに見えなくなり、ゲートウェイのみが表示されます。プライベートVLANの他のコンピュータと通信する場合は、これはL3でのみ達成できます。つまり、ルータを介してパケットをルーティングします。

次に、さまざまなポート設定について説明します(Ciscoリンクの名前を使用しています)。

  • 隔離された:一般的なコンピュータ、ゲートウェイ以外は誰も見ることができない(無差別)

  • コミュニティ:たとえば、サーバークラスタノードは互いにゲートウェイを見ることができますが、他のコンピュータは見ることができず、分離されています。

  • 無差別(Promiscuous): ゲートウェイ、他の誰でも見ることができる

クライアントワークステーションの場合、単に「分離」と定義し、ゲートウェイを「無差別」と定義するだけです。サーバーの場合、ゲートウェイは無差別ですが、それ自体またはクラスタ内で通信する必要があるサーバーに対して複数のコミュニティを定義します。

関連情報