silvesterlangen.de
PVLAN mit Interswitch Link
Moderne Switche sind mehr als nur eine reine physische Verbindung von Netzwerkleitungen. Sie können neben logischer Trennung von Netzwerken (VLAN) auch zur Netzwerksicherheit beitragen. Eine Möglichkeit sind sog. "isolated ports" (pvlan) womit man dafür sorgen kann, dass Hosts zwar innerhalb des selben Subnetzes sind, jedoch untereinander nicht kommunizieren können.
Aber Vorsicht! Richtet man reines PVLAN an, so werden die Hosts zwar voneinander auf Portebene getrennt, aber spätestens mit Verbindung über Trunk zu einem anderen Switch ist es möglich, dass Hosts auf Switch A die andern Hosts auf Switch B erreichen können. Die Trennung verliert sich sozusagen, wenn es rüber gehen soll.
Ein einfaches Beispiel für ISL
Bei dem folgendem Beispiel werden zwei Aruba 2930F Switche Serie (24 Port & 48 Port) eingesetzt. Die Konfiguration ist dann wie folgt:
- Es wird das VLAN 210 als sog. "primary" eingerichtet.
- Dann ein isoliertes VLAN 211 als untergeordnetes VLAN zu 210 eingerichtet (
isolated) - Es werden die Ports 3 - 12 dem VLAN 211 hinzugefügt wo später die Clients eingesteckt werden.
Nun die Ports 13 und 14 dem VLAN 210 hinzugefügt. Port 13 soll Upstream-Port für die Firewall werden und Port 14 der Trunkzum Switch B. - Port 14 wird die Upstream-Fähigkeit entzogen
- Port 14 wird tagged als Trunk dem VLAN 210 hinzugefügt.
- Auf Switch B wird es einfach nur wiederholt. Als Trunk kann selbstverständlich auch jeder andere Port genutzt werden.
Switch AAruba-2930f-24G# configAruba-2930f-24G# vlan 210 private-vlan primary Aruba-2930f-24G# vlan 210 private-vlan isolated 211Aruba-2930f-24G# vlan 211Aruba-2930f-24G# untagged 3-12Aruba-2930f-24G# vlan 210Aruba-2930f-24G# untagged 13,14Aruba-2930f-24G# no interface 14 private-vlan promiscuous Aruba-2930f-24G# vlan 210 tagged 14Aruba-2930f-24G# no interface 14 private-vlan promiscuous
Nun rüberwechseln zum anderen Switch
Switch BAruba-2930f# configAruba-2930f-48G# vlan 210 private-vlan primary Aruba-2930f-48G# vlan 210 private-vlan isolated 211Aruba-2930f-48G# vlan 211Aruba-2930f-48G# untagged 3-12Aruba-2930f-48G# vlan 210Aruba-2930f-48G# untagged 13,14Aruba-2930f-48G# no interface 14 private-vlan promiscuous Aruba-2930f-48G# vlan 210 tagged 14Aruba-2930f-48G# no interface 14 private-vlan promiscuous
Wenn nun Hosts auf dem Switch A in einen Port zwischen 3 und 12 eingesteckt wird, kann er zwar mit dem Uplink-Port 13 (Firewall) kommunizieren, aber mit keinem anderen Port dieses Switches. Versucht der Host auf Switch A einen anderen Host auf Switch B zu erreichen, so wird dies ebenfalls scheitern. Der Host kann allerdings den Uplink-Port 13 auf Switch B ebenfalls nutzen. Die Einrichtung eines Uplink-Ports auf dem Switch B ist übrigens nicht zwingend.
Noch ein Hinweis: In meinem Beispiel haben ich simple 1 Gbit RJ45 Ports genutzt. Für die Spielwiese ist das okay, um das Prinzip nachzubauen. In der Realität wählt man eher Switche mit 10 Gbit oder höher SFP+ Ports für die ISL, um so einen Engpass beim Trunk zu vermeiden.
Hier Informationen von der Aruba Supportseite.
https://www.arubanetworks.com/techdocs/AOS-S/16.11/ATMG/WC/content/wc/cnf-int-lin-isl-por-pvl-mem-por.htm.htm
