Co to jest PVLAN?

Pytanie: Spotkałem się ostatnio z pojęciem PVLAN. W jaki sposób mogę wykorzystać PVLAN w celu zwiększenia bezpieczeństwa mojej sieci?

Pytanie: Spotkałem się ostatnio z pojęciem PVLAN. W jaki sposób mogę wykorzystać PVLAN w celu zwiększenia bezpieczeństwa mojej sieci?

Odpowiedź: PVLAN to prywatne wirtualne sieci LAN, umożliwiające odizolowanie strefy DMZ serwerów od pozostałych urządzeń poprzez stworzenie ograniczeń w ruchu pomiędzy portami przełącznika. Funkcjonalność PVLAN, dostępną w środowisku sieci wirtualnych VLAN IEEE 802.1q, oferują rozwiązania większości producentów. Cisco PVLAN umożliwia skonfigurowanie portu przełącznika, tak aby pracował w trybie nasłuchiwania (promiscuous), odizolowania (isolated) lub był członkiem określonej grupy portów (community).

Co to jest PVLAN?

Idea PVLAN

Porty pracujące w trybie "promiscuous" potrafią komunikować się z dowolnymi portami. Porty pracujące w trybie "isolated" komunikują się wyłącznie z portami "promiscuous". Członkowie określonej grupy portów komunikują się wyłącznie z innymi członkami danej społeczności (community). Zakładamy, że w naszym środowisku LAN umieścimy drukarki, serwery przyłączone do portów "promiscuous" oraz stacje robocze przyłączone do portów "isolated". Czy zredukuje to ryzyko rozprzestrzeniania się wirusów oraz robaków internetowych pomiędzy PC?

Owszem, ograniczenie połączeń stacji roboczych wyłącznie do komunikacji z serwerami poprzez skonfigurowanie na przełączniku PVLAN może zredukować zagrożenie. Stacje robocze nie komunikują się ze sobą, więc poszczególne źródła zagrożeń zostają odizolowane.

Trzeba jednak pamiętać, że ustawienia protokołów trunkingu portów oraz zasad routingu urządzeń mogą znosić restrykcje konfiguracji PVLAN na przełączniku. Potrzebne będzie wtedy stworzenie list dostępu VLAN do blokowania wewnętrznego ruchu zgodnie z przydziałem portów PVLAN.

Warto także ograniczyć zakres adresów fizycznych MAC, które mogą łączyć się z określonym portem przełącznika. Dla zwiększenia bezpieczeństwa wszystkie nieużywane porty należy przypisać do jednej VLAN, która nie ma dostępu warstwy 3 modelu OSI/ISO.


TOP 200