Обработка PVLAN
В среде с несколькими арендаторами стандартная практика состоит в том, чтобы разделить арендаторов по VLAN. Если эти арендаторы по какой-либо причине должны находиться в одном и том же адресном пространстве, для обеспечения разделения между арендаторами используются сети PVLAN, позволяющие всем им получать доступ к определенному ресурсу (например, маршрутизатору).
Мой вопрос: что происходит с трафиком в PVLAN, когда он покидает коммутатор с поддержкой PVLAN? И что произойдет, если у вас есть магистральный порт, соединяющий базовый коммутатор с поддержкой PVLAN с коммутатором без поддержки PVLAN.
Вот пара примеров проработанных сценариев:
Основной коммутатор в обслуживаемом здании имеет VLAN10 с PVLANS 101,102,103. Маршрутизатор сидит в VLAN10 как участник сообщества. Порты предоставляются арендаторам с PVLANS 102,102,103. Если арендатор подключит не поддерживающий PVLAN коммутатор к 103, он будет работать?
Несколько хостов VMWare ESX, на которых работает распределенный коммутатор (vDS). VDS настроен с VLAN для DMZ публичных адресов и затем PVLAN в пределах этого для каждого сервера. Маршрутизатор находится в DMZ VLAN, и узлы могут общаться с ним. Коммутатор между маршрутизатором и хостами ESX поддерживает VLANS, но не явно PVLAN, что происходит с трафиком, проходящим между хостами ESX?
Среда, в которой мы работаем, имеет сочетание коммутаторов Cisco 39xx и Dell 63xx.
1 ответ
Частные VLAN существуют только на коммутаторах, которые их поддерживают. Если в вашей сети есть коммутаторы, которые не поддерживают PVLAN, то устройства на этом коммутаторе будут работать нормально, но смогут свободно общаться друг с другом. Некоторые коммутаторы Cisco поддерживают соединительные линии PVLAN, поэтому вы можете подключить не поддерживающий PVLAN коммутатор, и он сможет получить доступ только к разнородным портам или портам сообщества на коммутаторе Cisco. Имейте в виду, что PVLAN защищают только на уровне 2, и что ваш маршрутизатор также необходимо настроить для блокировки связи внутри подсети.