slide1
sl2

Private VLAN - VLAN dùng riêng

Private VLAN - VLAN dùng riêng

Các kỹ sư có thể thiết kế VLAN với nhiều mục đích. Ngày nay, trong nhiều trường hợp các thiết bị có thể nằm trong cùng một VLAN do cùng chung vị trí đặt máy. Vấn đề bảo mật là một trong những yếu tố khác trong thiết kế VLAN: các thiết bị khác nhau trong các VLAN khác nhau không nhận được các thông tin broadcast. 

Thông tin mô tả

Tính năng private VLAN của Cisco giúp giải quyết vấn đề này. Private VLAN cho phép một switch tách biệt các máy trạm và xem các máy trạm này nằm trên các VLAN khác nhau trong khi vẫn dùng duy nhất nột IP subnet. Một tình huống phổ biến để triển khai private VLAN là trong các trung tâm dữ liệu của các nhà cung cấp dịch vụ . Nhà cung cấp dịch vụ có thể cài đặt một router và một switch. Sau đó, nhà cung cấp sẽ gắn thiết bị từ các khách hàng khác nhau vào cùng một switch. Private VLAN cho phép nhà cung cấp dịch vụ dùng một subnet duy nhất cho cả tòa nhà, cho các cổng khác nhau của khách hàng sao cho nó không thể giao tiếp trực tiếp trong khi vẫn hỗ trợ tất cả các khách hàng tỏng một switch duy nhất.

Về mặt khái niệm, một private VLAN bao gồm các đặc điểm sau :

  • Các cổng cần giao tiếp với tất cả các thiết bị khác

  • Các cổng cần giao tiếp với nhau và với các thiết bị khác, thường là router

  • Các cổng giao tiếp chỉ với các thiết bị dùng chung

Mục đích chính của việc phát triển và sử dụng PVLAN là nâng cao tính bảo mật, an toàn cho hệ thống mạng. PVLAN cho phép tạo thêm một hàng rào bảo vệ các thiết bị bên trong một VLAN bằng cách qui định các luồng dữ liệu permit hay deny giữa các port trong 1 VLAN với nhau.

Private VLAN thường được dùng trong các ISP nhằm cung cấp cùng một subnet cho nhiều khách hàng nhưng vẫn bảo đảm độ độc lập riêng của mỗi khách hàng.

Trong Private VLAN có các loại port sau:
+ Promiscuous (P): thường kết nối tới router, là kiểu port cho phép gửi và nhận frame với bất kỳ port nào khác (gửi/nhận với P, I, C)
+ Isolated (I): thường được kết nối đến host, là kiểu port chỉ cho phép giao tiếp với port P (gửi/nhận với P)
+ Community (C): là kiểu port có thể giao tiếp với các port C cùng nhóm khác (community), và tất nhiên có thể giao tiếp với port P (gửi/nhận với C, P)

Có các loại PVLAN sau: primary VLAN và secondary VLAN (isolated VLAN và community VLAN).
Primary VLAN: đó là VLAN ban đầu (truờng hợp này là VLAN 100), VLAN này sẽ chuyển các frame downstream từ port P tới tất cả các kiểu port khác (port I và C).
Isolated VLAN: chuyển các frame từ port I tới port P. Do các port I không trao đổi frame với nhau, nên ta có thể chỉ dùng 1 isolated VLAN để kết nối tất cả các port I tới port P.
Community VLAN: chuyển đổi các frame giữa các port C thuộc cùng nhóm (community) và chuyển đổi các frame upstream tới port P của primary VLAN.

IMG_0936

Như ví dụ trong hình trên thì trong 1 VLAN ta có thể tách ra 2 sub-vlan: Isolated VLAN và Community VLAN. Hai VLAN này không trao đổi dữ liệu được với nhau mà chỉ có thể liên lạc với gateway để đi ra/vào mạng khác. (Gateway được nối vào port Promiscuous để có thể liên lạc với tất cả các port trong VLAN).

Ví dụ máy Sever trong Isolated vlan bị nhiễm virus, trong trường hợp này Virus không thể phát tán sang các Server khác trong VLAN chính. Nếu không dùng PVLAN thì nguy cơ tất cả các Server trong VLAN này sẽ bị lây nhiễm là rất cao.

Chú ý là trong PVLAN Isolated port có mức độ bảo mật cao nhất, ngay cả các port Isolated cũng không thể liên lạc được với nhau. Vì vậy chỉ có duy nhất 1 port trong Isolated VLAN, tuy nhiên có thể có nhiều Isolated VLAN trong 1 VLAN thường.

PVLAN có thể bị hack bằng kỹ thuật PVLAN proxy attack.


Các tin khác cùng chuyên mục

Kiến thức