Co musisz wiedzieć o PVLAN?
Słów kilka o PVLAN
Wprowadzenie
Wykorzystując PVLAN (prywatne wirtualne sieci LAN) istnieje możliwość odizolowania strefy DMZ serwerów od wszystkich innych urządzeń dzięki wprowadzeniu ograniczeń ruchu pomiędzy portami przełącznika. Wykorzystanie prywatnej sieci VLAN we współdzielonym środowisku sieciowym w znacznym stopniu oszczędza adresy IP, a także wpływa na większe bezpieczeństwo portów przełącznika w warstwie drugiej. Firma Cisco opisała technologię PVLAN w dokumencie RFC 5517. Z prywatnych sieci vlan korzystają również inni producenci urządzeń np. Juniper, FortiNet, Ubiquiti.
Zastosowanie PVLAN
Farmy serwerów – powszechnie dostawca Internetu wykorzystuję farmę serwerów celem zapewnienia hostingu w sieci Web dla wielu klientów. Umiejscowienie różnego typu serwerów w obrębie jednej farmy zagwarantuję łatwiejsze zarządzanie. Problemy dotyczące bezpieczeństwa wystąpią w sytuacji, kiedy wszystkie serwery będą zlokalizowane w identycznej sieci VLAN. Ma to miejsce ponieważ w warstwie 2 transmisje docierają do serwerów w sieci VLAN.
Miejska sieć serwerów – dostawca usług umożliwia dostęp do sieci Ethernet w drugiej warstwie m.in. domom, firmom, lokalom na wynajem. Standardowe rozwiązanie opierające się na wdrożeniu jednej sieci VLAN dla klienta jest dość trudne w zarządzaniu, a także nie jest skalowalne – wynikiem tego będzie prawdopodobna utrata adresów IP. Wykorzystując sieci PVLAN można liczyć na większe zabezpieczenie oraz zwiększoną wydajność.
Podstawowe terminy dotyczące PVLAN
Dwa tryby: secondary i primary
W przypadku trybu secondary można przypisać hosty, a jeżeli chodzi o primary to np. porty na routerze. Hosty jakie są przyporządkowane do vlanów sencodary bez przeszkód mogą odbywać komunikację jedynie z portami, będącymi przypisane do primary vlanów.
Podział vlanów secondary:
Isolated – w izolowanym porcie nie może nastąpić komunikacja hosta z żadnym secondary vlanem(nawet własnym wyizolowanym), ale za to jest możliwa z primary
Community – komunikacja następuje między hostami będącymi w trybie community, a także z primary vlanem
Tryby działalności portów:
Promiscuous – jest to port jaki nie ingeruje w działalność pvlan np. brama, port routera
Host – prywatny vlan działa na tym porcie
Powód do skorzystania z PVLAN.
Sieci VLAN(te tradycyjne) posiadają pewne ograniczenia. Co się dzieje w sytuacji, kiedy będzie potrzeba umieszczeniu kilku urządzeń w jednej podsieci, ale bez konieczności komunikacji wszystkich urządzeń.
Przykład
Na sam początek warto przedstawić niewielką sieć. Rysunek przedstawia trzy serwery, pojedynczą sieć VLAN oraz router(brama domyślna)
Przedstawione serwery zarządzają różne działy. Serwer 1 i 2 posiadają jednakowy zespół, natomiast serwer trzeci inny. Serwer trzeci będzie izolowany, ale serwery 1 i 2 będą posiadać możliwość komunikacji ze sobą. Wszystkie urządzenia będą mieć możliwość dostępu do bramy domyślnej. W takim scenariuszu można wykorzystać PVLAN.
Założenie działanie PVLANów oraz promiscous port
Cała koncepcja opiera się na wyszczególnionego VLANu (Primary VLAN) na sub-VLANY (Secondary VLAN). Primary VLAN jest zbiorem jednego lub wielu Secondary VLANów.
Przykład
Na powyższym rysunku numery 1-3 określają Secodnary VLANy – wszystkie trzy są umieszczone w jeden Primary VLAN o numerze4. Primary VLAN jest związany z dwoma Community VLANAMI (zgodnie z regułą może pojedyczny PRIMARY być powiązany z 0 albo większą liczbą Community) oraz z jednym Isolated VLAN(zgodnie z reguła pojedynczy PRIMARY może być związany z co najmniej jednym ISOLATED).
Promiscous port
Na przykładzie rysunku opisującego3 prywatne VLANY można wysunąć wniosek iż urządzenia w SECONDARY VLAN nie mają szansy na komunikację z zewnętrznym światem. Chcąc, aby wszystkie mogły komunikować się np. z serwerem backupów warto wykorzystać port promiscous.
Przykładowy scenariusz PVLAN
Założenia:
1 Stworzenie COMMUNITY VLAN (201)do którego przynależą ServerA i ServerB
2 Stworzenie Isolated VLAN 102 do którego przynależą ServerC i ServerD
3 Stworzenie na Ge0/1 portu promiscuous i podłączenie go do domyślnej bramy
Opis rysunku:
1 ServerA i ServerB komunikują się ze sobą i z routerem(bramą domyślną)
2 ServerC i ServerD (Isolated VLAN) nie mają możliwośći na komunikację się ze sobą i nie będą miały komunikacji z ServerA i ServerB
Konfiguracja:
Switch(config)# vtp mode transparent !Ustawienie urządzenie do trybu VTP TRANSPARENT MODE - przed konfiguracją PVLAN jest wymagany tryb TRANSPARENT w VTP gdyż bez tego PVLAN nie będzie działać !Utowrzenie Isolated VLAN Switch(config)# vlan 202 Switch(config-vlan)# private-vlan isolated !Utworzenie community vlan Switch(config)# vlan 201 Switch(config-vlan)#private-vlan community !Utworzenie Primary VLAN i zmapowanie z SECONDARY VLANAMi Switch(config-vlan)# vlan 100 Switch(config-vlan)# private-vlan primary switch(config-vlan)# private-vlan association 101 102 Skończona konfiguracja tak się przedstawia: vlan 200 private-vlan primary private-vlan association 201 202 ! vlan 201 private-vlan community vlan 202 private-vlan isolated ! Utworzenie promiscuous port i zmapowanie z drugą siecią Switch(config)# interface ge0/1 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 200 201 102 ! Przypisanie do portów Ge0/2 i Ge0/3 z Primary i Secondary VLANAMI. Zgodnie z założeniem Ge0/2 i Ge0/3 powinny być w Community VLAN Switch(config)# interface range ge0/2-ge0/3 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 200 201 ! Przypisanie do portów Ge0/4 i Ge0/5 z Primary i Secondary VLANAMI. Zgodnie z założeniem Ge0/4 i Ge0/5 powinny być w ISOLATED VLAN Switch(config)# interface range ge0/4-ge0/5 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 200 202
Konfiguracja jest kompletna – tak przedstawia się wynik:
Switch# show interface status Port Name Status Vlan Duplex Speed Type Gi0/1 connected 200 a-full a-100 10/100BaseTX Gi0/2 connected 200,201 a-full a-100 10/100/0BaseTX Gi0/3 connected 200,201 a-full a-100 10/100BaseTX Gi0/4 connected 200,202 a-full a-100 10/100BaseTX Gi0/5 connected 200,202 a-full a-100 10/100BaseTX
