Това, което лично VLAN колко те се нуждаят от

Аз за себе си не мога да преценя, частен VLAN - полезна функция, която ще се използва в производството, или е крава пети крак като VTP?

Какво Гугъл по тази тема:

Но всички тези аргументи, искам да кажа: "Duck не е толкова тежък тези аргументи? Все пак, това не е необходимо, за да попречат странен необичайна схема с Private VLAN? Пиеше всички устройства на различни VLAN'am, и все пак той ще бъде приемливо. "

В крайна сметка, Private VLAN, има недостатъци. Най-малкото, не можем да направим по пристанища Etherchannel където издадени Private VLAN. И как ще работи на всички видове функции в L2-Private VLAN? Някои STP, IGMP Snooping и т.н. - Cisco нищо за него се казва, и изведнъж ще има проблеми, дължащи се на Private VLAN «необичайно"?

В тази връзка, бих искал да чуя:

  1. Може би знаете примери за използване Private VLAN? Използвали сте или да сте чули от познати.
  2. Може би ще донесе на аргументите "за" и "против" използването Private VLAN, да се разбере, «Private VLAN - полезна функция, която ще се използва в производството, или е крава пети крак като VTP"?

Тук и там, Иван Pepelnyak пише, че PVLAN успешно се прилага в малки центрове за данни хостинг доставчици, където всеки клиент е разпределена на VM, и се изисква да предоставят изолация между различни клиенти VM.

. (Ако клиентът се нуждае от мащабно решение, а след това има един virtualke не правя с голям брой заявки на клиента се разпределя много оперативно съвместима виртуална ОК - товаро-балансьори, сървъри за кеширане, уеб сървъри, сървъри за бази данни, както и всички тези virtualke също трябва защита от друг. В този случай отделните L3 подмрежи за различни сегменти от клиенти, IPTABLES или собственически защитна стена на всеки virtualke, VXLAN за L2-връзка (ако е необходимо).)

PVLAN на доставчиците на мрежови сладки, разбира се, може да се използва, но знаеш ли много доставчици с Cisco в тавански помещения? Сладки доставчици купуват ключове, базирани най-ниската цена на порт (при условие, съгласно спецификациите). И членовете на изолация могат да бъдат предоставени по друг начин - например, с помощта на QinQ (един C-VLAN за всеки потребител порт, един S-VLAN за всеки потребител превключвател, прекратяване S-VLANs в sabinterfeysah услуга рутер, потребителят от проверката на порт, към който тя е свързана (DHCP опция 82)). D-link'i се поддържа за взрив.

Благодаря за връзките на Pepelnyaka! :) Въпреки това, не е ясно къде е логиката? Ако нашият център за данни е малък, и е необходимо да се изолира VM не е толкова много един от друг - имаме достатъчно и 4096 VLANs, и всеки може да изберете своя / 30 мрежа (същото дава по-голяма гъвкавост, когато се движат VM от един рутер на друг, ако изведнъж се изисква). Както и да е, Pepelnyaku вярваме, че е налице случай използването на Private VLAN - самостоятелен сървър / VM една от друга на L2 в центровете за данни. Да около домашните мрежи доставчици никой не каза нищо. :) За мен, не разбирам защо има изолиране на потребителите един от друг? Необходимо ли е? Но това е друга тема.

Това, което лично VLAN колко те се нуждаят от

Манана, т.е. бихте искали да видите на вашия рутер (който и да е там Dlink реж 300) съсед може да се монтира една атака с използване на протокол на L2 и по-горе?

IMHO, то е необходимо да се разгледа всичко това по-широк. Това е само допълнително средство за изолация в L2, са налични в по-стар катализатор. Както и на D-Link има сегмент от трафика или vlan_translation. Или zuhelyah. Или еднопосочен порт се включва ME.

Този основен технологии, буква от азбуката. В някои думи може да се използва, в някои от тях не е необходимо.

В кои случаи може да бъде полезно - отделен въпрос. Възможност за изолиране на клиентите може да бъде съчетано с прокси-ARP - за да се избегне взаимодействието на L2 и прилага трафик през L3.

Duck въпрос в действителност се отнася Private VLAN някой в ​​действителност или не? Т.е. Можете да прочетете за частните възможностите VLAN, да мечтая за своите сценарии за приложения - и може да има "клопки", поради което в действителност, никой няма да го използвате. И ВТП може да се разглежда "като цяло": Има толкова много интересни функции предлага VTP, което премахва скучна работа за създаване на VLAN! Аз за себе си, субективно, стигнах до заключението - че Private VLAN, можете да се опитате да използвате, когато имате нужда да добавите "сигурност" чрез изолиране домакини на L2 - в случаите, когато допълнителна сигурност не може да навреди. Вид, DMZ сървърите или VM за хостване, изолирани един от друг. Е, това изглежда е малък брой на Силите, и множество ключове; очевидно сценария с голям L2-топология - Да не се използва Private VLAN.

Отнася. Погледнато с голяма IT офис, където изолират всички работни станции. С помощта на прокси-ARP комуникация е възможно най-L3 след преминаването на един доста сложен рутер ACL определяне кой където е възможно. Това беше направено с цел допълнително да се контролира мрежата и да се отървем от boroadcast като допълнителна защита от вируси.