VLANs privadas

A necessidade de segregar uma única VLAN é particularmente útil nos seguintes cenários de implantação:

• Fazendas de servidor — um provedor de serviços de Internet típico usa uma fazenda de servidores para fornecer hospedagem na Web para vários clientes. Localizar os vários servidores em uma única fazenda de servidor oferece facilidade de gerenciamento. Surgem preocupações de segurança se todos os servidores estiverem na mesma VLAN, pois as transmissões de Camada 2 vão para todos os servidores da VLAN.

• Redes Ethernet metropolitanas — um provedor de serviços metro oferece acesso Ethernet de Camada 2 a casas, comunidades de aluguel e empresas variadas. A solução tradicional de implantar uma VLAN por cliente não é escalável e é difícil de gerenciar, levando a possíveis desperdícios de endereços IP. As PVLANs oferecem uma solução mais segura e eficiente.

Uma PVLAN pode ser configurada em um único switch ou pode ser configurada para abranger vários switches. Os tipos de domínios e portas são:

• VLAN primário — A VLAN primária da PVLAN é definida com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).

• VLAN isolada/porta isolada — uma VLAN primária pode conter apenas uma VLAN isolada. Uma interface dentro de uma VLAN isolada pode encaminhar pacotes apenas para uma porta promíscua ou para a porta Inter switch Link (ISL). Uma interface isolada não pode encaminhar pacotes para outra interface isolada; e uma interface isolada não pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador de gateway, o dispositivo deve ser anexado a uma porta-tronco isolada.

• VLAN da comunidade/porta da comunidade — você pode configurar várias VLANs da comunidade em um único PVLAN. Uma interface dentro de uma comunidade específica de VLAN pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença à mesma VLAN da comunidade. Uma interface dentro de uma VLAN comunitária também pode se comunicar com uma porta promíscua ou com a porta ISL. Se você tem, por exemplo, dois dispositivos de clientes que você precisa para isolar de outros dispositivos do cliente, mas que devem ser capazes de se comunicar entre si, use portas da comunidade.

• Porta promíscua — Uma porta promíscua tem comunicações de Camada 2 com todas as interfaces no PVLAN, independentemente de uma interface pertencer a uma VLAN isolada ou a uma VLAN comunitária. Uma porta promíscua é um membro da VLAN primária, mas não está incluída em nenhuma subdomain secundária. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente são conectados a uma porta promíscua.

• Inter-Switch Link (ISL) — Um ISL é uma porta-tronco que conecta vários switches em um PVLAN e contém duas ou mais VLANs. Ela só é necessária quando uma PVLAN abrange vários switches.

O PVLAN configurado é o domínio primário (VLAN primário). Dentro do PVLAN, você configura VLANs secundárias , que se tornam subdomains aninhadas dentro do domínio primário. Uma PVLAN pode ser configurada em um único switch ou pode ser configurada para abranger vários switches. O PVLAN mostrado inclui Figura 1 dois switches, com um domínio PVLAN primário e vários subdomains.

Figura 1: Subdomains em um PVLAN

Como mostrado, Figura 3um PVLAN tem apenas um domínio primário e vários domínios secundários. Os tipos de domínios são:

• VLAN primário — A VLAN costumava encaminhar quadros downstream para VLANs isoladas e comunitárias. A VLAN primária da PVLAN é definida com uma tag 802.1Q (VLAN ID) para o PVLAN completo. O PVLAN primário pode conter várias VLANs secundárias (uma VLAN isolada e várias VLANs comunitárias).

• VLAN isolada secundária — VLAN que recebe pacotes apenas da VLAN primária e encaminha quadros upstream para a VLAN primária. O VLAN isolado é um VLAN secundário aninhado dentro da VLAN primária. Uma VLAN primária pode conter apenas uma VLAN isolada. Uma interface dentro de uma VLAN isolada (interface isolada) pode encaminhar pacotes apenas para uma porta promíscua ou para a porta-tronco PVLAN. Uma interface isolada não pode encaminhar pacotes para outra interface isolada; nem uma interface isolada pode receber pacotes de outra interface isolada. Se um dispositivo do cliente precisar ter acesso apenas a um roteador, o dispositivo deve ser anexado a uma porta-tronco isolada.

• VLAN isolada por interswitch secundário — A VLAN costumava encaminhar tráfego VLAN isolado de um switch para outro através de portas de tronco PVLAN. As etiquetas de 802.1Q são necessárias para VLANs isoladas de interswitch porque o IEEE 802.1Q usa um mecanismo de taging interno pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote. Um VLAN isolado inter-enfeitiçado é um VLAN secundário aninhado dentro da VLAN primária.

• VLAN da comunidade secundária — A VLAN costumava transportar quadros entre membros de uma comunidade (um subconjunto de usuários dentro da VLAN) e encaminhar os quadros upstream para a VLAN principal. Uma VLAN comunitária é uma VLAN secundária aninhada dentro da VLAN primária. Você pode configurar várias VLANs da comunidade em um único PVLAN. Uma interface dentro de uma comunidade específica de VLAN pode estabelecer comunicações de Camada 2 com qualquer outra interface que pertença à mesma VLAN da comunidade. Uma interface dentro de uma VLAN comunitária também pode se comunicar com uma porta promíscua ou com a porta de tronco PVLAN.

Figura 2 mostra um PVLAN abrangendo vários switches, onde o VLAN primário (100) contém dois domínios (300 da comunidade e 400) e um domínio isolado entre os enfeitiçados.

Figura 2: PVLAN abrangendo vários switches

O PVLAN configurado torna-se o domínio primário, e as VLANs secundárias tornam-se subdomains aninhadas dentro do domínio primário. Uma PVLAN pode ser criada em um único roteador. O PVLAN mostrado inclui Figura 3 um roteador, com um domínio PVLAN primário e vários subdomains secundários.

Figura 3: Subdomains em um PVLAN com um roteador

Os tipos de domínios são:

• VLAN primário — A VLAN costumava encaminhar quadros downstream para VLANs isoladas e comunitárias.

• VLAN isolada secundária — VLAN que recebe pacotes apenas da VLAN primária e encaminha quadros upstream para a VLAN primária.

• VLAN isolada por interswitch secundário — A VLAN costumava encaminhar tráfego VLAN isolado de um roteador para outro através de portas de tronco PVLAN.

• VLAN da comunidade secundária — A VLAN costumava transportar quadros entre membros de uma comunidade, que é um subconjunto de usuários dentro da VLAN, e encaminhar quadros upstream para a VLAN principal.

Figura 4 mostra uma PVLAN em um único switch, onde a VLAN primária (VLAN 100) contém duas VLANs comunitárias (VLAN 300 e VLAN 400) e uma VLAN isolada (VLAN 50).

Figura 4: VLAN privada em um único switch EX

Figura 5 mostra uma PVLAN abrangendo vários switches, onde a VLAN primária (VLAN 100) contém duas VLANs comunitárias (VLAN 300 e VLAN 400) e uma VLAN isolada (VLAN 200). Ele também mostra que os switches 1 e 2 estão conectados por meio de um link interswitch (enlace de tronco PVLAN).

Figura 5: PVLAN abrangendo vários switches da Série EX

Além disso, as PVLANs mostradas Figura 4 e Figura 5 usam uma porta promíscua conectada a um roteador como meio para rotear o tráfego de Camada 3 entre a comunidade e VLANs isoladas. Em vez de usar a porta promíscua conectada a um roteador, você pode configurar um RVI no switch ou em Figura 4 um dos switches mostrados (em Figura 5 alguns switches EX).

Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador a uma porta promíscua, conforme mostrado Figura 4 e Figura 5ou configurar um RVI.

Se você escolher a opção RVI, você deve configurar um RVI para a VLAN primária no domínio PVLAN. Esse RVI atende a todo o domínio PVLAN, independentemente de o domínio incluir um ou mais switches. Após configurar o RVI, os pacotes de Camada 3 recebidos pelas interfaces secundárias de VLAN são mapeados e roteados pelo RVI.

Ao configurar o RVI, você também deve habilitar o Proxy Address Resolution Protocol (ARP) para que o RVI possa lidar com as solicitações de ARP recebidas pelas interfaces de VLAN secundárias.

Para obter informações sobre a configuração de PVLANs em um único switch e em vários switches, consulte Criar uma VLAN privada em um único switch da Série EX (Procedimento CLI). Para obter informações sobre a configuração de um RVI, veja Configuração de uma interface VLAN roteada em uma VLAN privada em um switch da Série EX.

Para rotear o tráfego de Camada 3 entre VLANs isoladas e comunitárias, você deve conectar um roteador ou switch externo a uma porta de tronco da VLAN primária. A porta-tronco da VLAN primária é uma porta promíscua ; portanto, ela pode se comunicar com todas as portas da PVLAN.

Quando os pacotes são marcados com uma tag 802.1Q específica do cliente, essa tag identifica a propriedade dos pacotes para qualquer switch ou roteador na rede. Às vezes, as tags 802.1Q são necessárias dentro das PVLANs para acompanhar os pacotes de diferentes subdomains. Tabela 1 indica quando uma tag VLAN 802.1Q é necessária na VLAN primária ou em VLANs secundárias.

As PVLANs oferecem conservação de endereços IP e alocação eficiente de endereços IP. Em uma rede típica, as VLANs normalmente correspondem a uma única sub-rede IP. Nas PVLANs, os hosts em todas as VLANs secundárias pertencem à mesma sub-rede IP porque a sub-rede é alocada para a VLAN primária. Os hosts dentro da VLAN secundária são atribuídos endereços IP com base em sub-redes IP associadas à VLAN primária, e suas informações de mascaramento de sub-rede IP refletem a da sub-rede VLAN primária. No entanto, cada VLAN secundária é um domínio de broadcast separado.

As PVLANs podem usar até seis tipos de porta diferentes. A rede retratada usaFigura 2 uma porta promíscua para transportar informações para o roteador, portas comunitárias para conectar as comunidades financeiras e de RH aos seus respectivos switches, portas isoladas para conectar os servidores e uma porta-tronco PVLAN para conectar os dois switches. As portas PVLAN têm restrições diferentes:

• Porta-tronco promíscua — uma porta promíscua tem comunicações de Camada 2 com todas as interfaces que estão na PVLAN, independentemente de a interface pertencer a uma VLAN isolada ou a uma VLAN comunitária. Uma porta promíscua é um membro da VLAN primária, mas não está incluída em uma das subdomains secundárias. Gateways de camada 3, servidores DHCP e outros dispositivos confiáveis que precisam se comunicar com dispositivos endpoint normalmente são conectados a uma porta promíscua.

• Enlace de tronco PVLAN — o enlace de tronco PVLAN, que também é conhecido como o link interswitch, só é necessário quando um PVLAN é configurado para abranger vários switches. O enlace de tronco PVLAN conecta os vários switches que compõem o PVLAN.

• Porta-tronco PVLAN — uma porta-tronco PVLAN é necessária em configurações de PVLAN multiswitch para abranger os switches. A porta-tronco PVLAN é um membro de todas as VLANs dentro do PVLAN (isto é, o VLAN principal, as VLANs da comunidade e o VLAN isolado interswitch), e transporta tráfego da VLAN primária e de todas as VLANs secundárias. Ele pode se comunicar com todas as portas que não sejam as portas isoladas.

  A comunicação entre uma porta-tronco PVLAN e uma porta isolada geralmente é unidirecional. A associação de uma porta de tronco PVLAN no VLAN isolado interswitch é apenas de saída, o que significa que uma porta isolada pode encaminhar pacotes para uma porta tronco PVLAN, mas uma porta-tronco PVLAN não encaminha pacotes para uma porta isolada (a menos que os pacotes sejam incluídos em uma porta de acesso promíscua e, portanto, sejam encaminhados para todas as VLANs secundárias no mesmo VLAN primário que a porta promíscua).

• Porta-tronco VLAN secundária (não mostrada)— portas secundárias de porta-malas transportam tráfego VLAN secundário. Para uma determinada VLAN privada, uma porta-tronco VLAN secundária pode transportar tráfego para apenas uma VLAN secundária. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundária seja um membro de uma VLAN primária diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 de VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 de VLAN primário.

• Porta da comunidade — as portas da comunidade se comunicam entre si e com suas portas promíscuas. As portas da comunidade atendem apenas a um grupo de usuários selecionados. Essas interfaces são separadas na Camada 2 de todas as outras interfaces em outras comunidades ou portas isoladas dentro de sua PVLAN.

• Porta de acesso isolada — portas isoladas têm conectividade de Camada 2 apenas com portas promíscuas e portas de tronco PVLAN — uma porta isolada não pode se comunicar com outra porta isolada, mesmo que essas duas portas sejam membros do mesmo domínio isolado de VLAN (ou VLAN isolado entre usuários). Normalmente, um servidor, como um servidor de e-mail ou um servidor de backup, está conectado em uma porta isolada. Em um hotel, cada quarto normalmente seria conectado em uma porta isolada, o que significa que a comunicação de quarto a quarto não é possível, mas cada quarto pode acessar a Internet na porta promíscua.

• Porta de acesso promíscua (não mostrada)— Essas portas transportam tráfego sem registro. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para todas as portas VLAN secundárias do dispositivo. Se o tráfego entrar no dispositivo em uma porta habilitada para VLAN e entrar em uma porta de acesso promíscua, o tráfego não será registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego será descartado.

• Porta de enlace interswitch — Uma porta de enlace interswitch (ISL) é uma porta-tronco que conecta dois roteadores quando um PVLAN abrange esses roteadores. A porta ISL é um membro de todas as VLANs dentro da PVLAN (isto é, a VLAN primária, as VLANs comunitárias e a VLAN isolada).

  A comunicação entre uma porta ISL e uma porta isolada é unidirecional. A adesão de uma porta ISL à VLAN isolada entre os fornecedores é apenas de saída, o que significa que o tráfego de entrada na porta ISL nunca é atribuído à VLAN isolada. Uma porta isolada pode encaminhar pacotes para uma porta-tronco PVLAN, mas uma porta-tronco PVLAN não pode encaminhar pacotes para uma porta isolada. Tabela 3 resume se existe conectividade de Camada 2 entre os diferentes tipos de portas.

Tabela 2 resume a conectividade de Camada 2 entre os diferentes tipos de portas dentro de uma PVLAN em switches da Série EX que oferecem suporte ao ELS.

Tabela 4 resume se existe ou não conectividade de Camada 2 entre os diferentes tipos de portas dentro de uma PVLAN.

Como observado, a Tabela 4comunicação de Camada 2 entre uma porta isolada e uma porta-tronco PVLAN é unidirecional. Ou seja, uma porta isolada só pode enviar pacotes para uma porta-tronco PVLAN, e uma porta-tronco PVLAN só pode receber pacotes de uma porta isolada. Por outro lado, uma porta-tronco PVLAN não pode enviar pacotes para uma porta isolada, e uma porta isolada não pode receber pacotes de uma porta-tronco PVLAN.

O fluxograma mostrado oferece Figura 6 uma ideia geral do processo para a criação de PVLANs. Se você concluir suas etapas de configuração na ordem mostrada, você não violará essas regras de PVLAN. (Nas regras do PVLAN, a configuração da porta-tronco PVLAN se aplica apenas a uma PVLAN que abrange vários roteadores.)

• O VLAN primário deve ser uma VLAN com tags.

• Se você vai configurar uma ID VLAN da comunidade, você deve primeiro configurar a VLAN primária.

• Se você vai configurar um ID VLAN de isolamento, você deve primeiro configurar a VLAN primária.

Configurar uma VLAN em um único roteador é relativamente simples, como mostrado em Figura 6.

Figura 6: Configuração de uma PVLAN em um único switch

A configuração de uma VLAN primária consiste nessas etapas:

1. Configure o nome VLAN primário e a tag 802.1Q.

2. Configure no-local-switching a VLAN primária.

3. Configure a porta de tronco promíscua e as portas de acesso.

4. Faça o tronco promíscuo e os membros das portas de acesso da VLAN principal.

Dentro de uma VLAN primária, você pode configurar VLANs comunitárias secundárias ou VLANs isoladas secundárias ou ambas. A configuração de uma VLAN de comunidade secundária consiste nessas etapas:

1. Configure uma VLAN usando o processo habitual.

2. Configure interfaces de acesso para a VLAN.

3. Atribua uma VLAN primária à VLAN da comunidade,

VLANs isoladas são criadas internamente quando a VLAN isolada tem interfaces de acesso como membros e a opção no-local-switching é habilitada na VLAN primária.

As etiquetas de 802.1Q são necessárias para VLANs isoladas de interswitch porque o IEEE 802.1Q usa um mecanismo de taging interno pelo qual um dispositivo de tronco insere uma guia de identificação de quadroS VLAN de 4 byte no cabeçalho do pacote.

As portas de tronco só são necessárias para configurações de PVLAN multicamadas — a porta do porta-malas transporta tráfego da VLAN primária e de todas as VLANs secundárias.

• Uma interface de acesso pode pertencer a apenas um domínio PVLAN, ou seja, não pode participar de duas VLANs primárias diferentes.

• Uma interface de tronco pode ser um membro de duas VLANs secundárias, desde que as VLANs secundárias estejam em duas VLANs primárias diferentes . Uma interface de tronco não pode ser um membro de duas VLANs secundárias que estão na mesma VLAN primária.

• Uma única região do Protocolo de Múltiplas Árvores de Abrangência (MSTP) deve ser configurada em todas as VLANs que estejam incluídas na PVLAN.

• O VLAN Spanning Tree Protocol (VSTP) não tem suporte.

• A espionagem de IGMP não é suportada com VLANs privadas.

• Interfaces VLAN roteadas não são suportadas em VLANs privadas

• O roteamento entre VLANs secundárias na mesma VLAN primária não é suportado.

• Algumas declarações de configuração não podem ser especificadas em uma VLAN secundária. Você pode configurar as seguintes declarações no nível de [edit vlans vlan-name switch-options] hierarquia apenas no PVLAN primário.

• Se você quiser mudar uma VLAN primária para ser uma VLAN secundária, você deve primeiro alterá-la para uma VLAN normal e confirmar a mudança. Por exemplo, você seguiria este procedimento:

  1. Altere a VLAN primária para ser uma VLAN normal.

  2. Confirmar a configuração.

  3. Altere a VLAN normal para ser uma VLAN secundária.

  4. Confirmar a configuração.

  Siga a mesma sequência de confirmações se quiser alterar uma VLAN secundária para ser uma VLAN primária. Ou seja, faça da VLAN secundária uma VLAN normal e comprometa essa mudança e depois altere a VLAN normal para ser uma VLAN primária.

Os recursos a seguir não são suportados em PVLANs em switches Junos com suporte para o estilo de configuração ELS:

• Filtros de firewall VLAN de saída

• Proteção de anel de ethernet (ERP)

• Tags VLAN flexíveis

• estatísticas globais-mac

• Interface integrada de roteamento e ponte (IRB)

• Grupos de agregação de enlaces multichassis (MC-LAGs)

• Espelhamento de porta

• Tunelamento Q-in-Q

• VLAN Spanning Tree Protocol (VSTP)

• Voz sobre IP (VoIP)

Você pode configurar as seguintes declarações no nível de [edit vlans vlan-name switch-options] hierarquia apenas no PVLAN primário:

• mac-table-size

• no-mac-learning

• mac-statistics

• interface mac-limit

As PVLANs podem usar os seguintes tipos de porta diferentes:

• Porta-tronco promíscua — Uma porta promíscua é uma porta-tronco upstream conectada a um roteador, firewall, servidor ou rede de provedores. Uma porta-tronco promíscua pode se comunicar com todas as interfaces, incluindo as portas isoladas e comunitárias dentro de uma PVLAN.

• Porta-tronco PVLAN — uma porta-tronco PVLAN é necessária em configurações de PVLAN multiswitch para abranger os switches. A porta-tronco PVLAN é um membro de todas as VLANs dentro do PVLAN (isto é, o VLAN principal, as VLANs da comunidade e o VLAN isolado interswitch), e transporta tráfego da VLAN primária e de todas as VLANs secundárias. Ele pode se comunicar com todas as portas.

  A comunicação entre uma porta-tronco PVLAN e uma porta isolada geralmente é unidirecional. A associação de uma porta de tronco PVLAN no VLAN isolado interswitch é apenas de saída, o que significa que uma porta isolada pode encaminhar pacotes para uma porta tronco PVLAN, mas uma porta-tronco PVLAN não encaminha pacotes para uma porta isolada (a menos que os pacotes sejam incluídos em uma porta de acesso promíscua e, portanto, sejam encaminhados para todas as VLANs secundárias no mesmo VLAN primário que a porta promíscua).

• Porta-tronco VLAN secundária — portas secundárias de porta-malas VLAN transportam tráfego VLAN secundário. Para uma determinada VLAN privada (primária), uma porta-tronco VLAN secundária pode transportar tráfego para apenas uma VLAN secundária. No entanto, uma porta-tronco VLAN secundária pode transportar tráfego para várias VLANs secundárias, desde que cada VLAN secundária seja um membro de uma VLAN primária diferente. Por exemplo, uma porta-tronco VLAN secundária pode transportar tráfego para uma VLAN comunitária que faz parte do pvlan100 de VLAN principal e também transportar tráfego para uma VLAN isolada que faz parte do pvlan400 de VLAN primário.

  Nota:

  Quando o tráfego é retirado de uma porta-tronco VLAN secundária, normalmente ele carrega a tag da VLAN primária da qual a porta secundária é membro. Se você quiser que o tráfego que se egressa de uma porta-tronco VLAN secundária mantenha sua tag VLAN secundária, use a extend-secondary-vlan-id declaração.

• Porta da comunidade — as portas da comunidade se comunicam entre si e com suas portas promíscuas. As portas da comunidade atendem apenas a um grupo de usuários selecionados. Essas interfaces são separadas na Camada 2 de todas as outras interfaces em outras comunidades ou portas isoladas dentro de sua PVLAN.

• Porta de acesso isolada — as portas isoladas têm conectividade de Camada 2 apenas com portas promíscuas e portas de tronco PVLAN. Uma porta de acesso isolada não pode se comunicar com outra porta isolada, mesmo que essas duas portas sejam membros da mesma VLAN isolada.

• Porta de acesso promíscua — essas portas transportam tráfego não registrado e podem ser membros de apenas uma VLAN primária. O tráfego que se ingressa em uma porta de acesso promíscua é encaminhado para as portas das VLANs secundárias que são membros da VLAN primária da qual a porta de acesso promíscua é um membro. Neste caso, o tráfego transporta a tag VLAN secundária apropriada quando ele se egresso da porta VLAN secundária se a porta VLAN secundária for uma porta-tronco. Se o tráfego entrar em uma porta VLAN secundária e entrar em uma porta de acesso promíscua, o tráfego não será registrado na saída. Se o tráfego marcado entrar em uma porta de acesso promíscua, o tráfego será descartado.

Ao usar uma porta-tronco VLAN secundária, fique atento ao seguinte:

• Você deve configurar um ID VLAN de isolamento para cada VLAN primário em que a porta-tronco VLAN secundária participará. Isso é verdade, mesmo que as VLANs secundárias que a porta-tronco VLAN secundária levará estejam limitadas a um único dispositivo.

• Se você configurar uma porta para ser uma porta-tronco VLAN secundária para uma determinada VLAN primária, você também pode configurar a mesma porta física para ser qualquer uma das seguintes:

  • Porta-tronco VLAN secundária para outra VLAN primária

  • Tronco de PVLAN para outro VLAN primário

  • Porta-tronco promíscua

  • Porta de acesso para VLAN não privada

• O tráfego que se ingressa em uma porta-tronco VLAN secundária (com uma tag VLAN secundária) e egresso em uma porta-tronco PVLAN mantém a tag VLAN secundária na saída.

• O tráfego que se ingressa em uma porta-tronco VLAN secundária e saídas em uma porta-malas promíscua tem a tag VLAN primária apropriada na saída.

• O tráfego que se ingressa em uma porta-tronco VLAN secundária e se egresso em uma porta de acesso promíscua não está registrado na saída.

• O tráfego que se ingressa em uma porta-tronco promíscua com uma tag VLAN primária e saídas em uma porta-tronco VLAN secundária carrega a tag VLAN secundária apropriada na saída. Por exemplo, suponha que você configurou o seguinte em um switch:

  • VLAN 100 primário

  • VLAN 200 da comunidade como parte da VLAN primária

  • Porta-tronco promíscua

  • Porta-tronco secundária que transporta a VLAN 200 da comunidade

  Se um pacote entrar na porta de tronco promíscuo com a tag VLAN primária 100 e saídas na porta de tronco VLAN secundária, ele carrega a tag 200 na saída.

Agora, você pode configurar tanto a autenticação 802.1X quanto as VLANs privadas (PVLANs) na mesma interface.

A autenticação IEEE 802.1X oferece segurança de borda de rede, protegendo LANs Ethernet contra acesso de usuário não autorizado, bloqueando todo o tráfego de e para um suplicante (cliente) na interface até que as credenciais do suplicante sejam apresentadas e combinadas no authentication server (um servidor RADIUS).

As VLANs privadas (PVLANs) oferecem isolamento de Camada 2 entre portas dentro de uma VLAN, dividindo um domínio de broadcast em vários subdomains de transmissão discretos criando VLANs secundárias. As PVLANs são úteis para restringir o fluxo de transmissão e tráfego unicast desconhecido e para limitar a comunicação entre hosts conhecidos.

Em um switch configurado com autenticação 802.1X e PVLANs, quando um novo dispositivo é conectado à rede PVLAN, o dispositivo é autenticado e depois é atribuído a um VLAN secundário com base na configuração de PVLAN ou perfil RADIUS. Em seguida, o dispositivo obtém um endereço IP e recebe acesso à rede PVLAN.

Tenha em mente as seguintes diretrizes e limitações para configurar esses dois recursos na mesma interface:

• Você não pode configurar uma interface habilitada para 802.1X como uma interface promíscua (uma interface que é um membro da VLAN primária por configuração) ou como uma interface interswitch-link (ISL).

• Vários usuários não podem ser autenticados em diferentes VLANs pertencentes ao mesmo domínio PVLAN em uma interface lógica — por exemplo, se a interface ge-0/0/0 estiver configurada como supplicant multiple e os clientes C1 e C2 forem autenticados e forem adicionados às VLANs dinâmicas V1 e V2, respectivamente, então V1 e V2 devem pertencer a diferentes domínios PVLAN.

• Se o VoIP VLAN e o VLAN de dados forem diferentes, essas duas VLANs devem estar em diferentes domínios de PVLAN.

• Quando a associação de PVLAN é alterada (ou seja, uma interface é reconfigurada em uma PVLAN diferente), os clientes devem ser reauthenticados.

Agora, você pode habilitar recursos de segurança de porta de acesso, como o snooping DHCP, em VLANs privadas (PVLANs).

Por razões de segurança, muitas vezes é útil restringir o fluxo de transmissão e tráfego unicast desconhecido e até mesmo limitar a comunicação entre hosts conhecidos. O recurso PVLAN permite que você divida um domínio de broadcast em vários subdomains de broadcast isolados, essencialmente colocando uma VLAN dentro de uma VLAN.

As LANs Ethernet são vulneráveis a ataques como spoofing de endereços (forja) e negação de serviço (DoS) de Camada 2 em dispositivos de rede. Os seguintes recursos de segurança de porta de acesso ajudam a proteger seu dispositivo contra perdas de informações e produtividade que esses ataques podem causar, e agora você pode configurar esses recursos de segurança em um PVLAN:

• Espionagem DHCP — Filtros e bloqueios de entrada mensagens de servidor DHCP em portas não confiáveis. A espionagem DHCP constrói e mantém um banco de dados de informações de leasing DHCP, que é chamado de banco de dados de espionagem DHCP.

• DHCPv6 snooping — DHCP snooping for IPv6.

• Opção DHCP 82 — também conhecida como opção de informação do agente de retransmissão DHCP. Ajuda a proteger o switch contra ataques como spoofing de endereços IP e endereços MAC e endereços IP DHCP. A opção 82 fornece informações sobre a localização da rede de um cliente DHCP. O servidor DHCP usa essas informações para implementar endereços IP ou outros parâmetros para o cliente.

• Opções de DHCPv6:

  • Opção 37 — Opção de ID remoto para DHCPv6; insere informações sobre a localização da rede do host remoto em pacotes DHCPv6.

  • Opção 18 — Opção de ID de circuito para DHCPv6; insere informações sobre a porta do cliente em pacotes DHCPv6.

  • Opção 16 — Opção de ID do fornecedor para DHCPv6; insere informações sobre o fornecedor do hardware do cliente em pacotes DHCPv6.

• Inspeção dinâmica de ARP (DAI)— evita ataques spoofing do Protocolo de Resolução de Endereços (ARP). As solicitações e respostas de ARP são comparadas com as entradas no banco de dados de espionagem DHCP, e as decisões de filtragem são tomadas com base nos resultados dessas comparações.

• Proteção de origem IP — reduz os efeitos dos ataques de spoofing de endereço IP na LAN Ethernet; valida o endereço IP de origem no pacote enviado de uma interface de acesso não confiável contra o banco de dados de espionagem DHCP. Se o pacote não puder ser validado, ele será descartado.

• Proteção de origem IPv6 — proteção de origem IP para IPv6.

• Inspeção de descoberta de vizinhos IPv6 — evita ataques de spoofing de endereçoS IPv6; compara solicitações de descoberta de vizinhos e respostas contra entradas no banco de dados de espionagem DHCPv6, e as decisões de filtragem são tomadas com base nos resultados dessas comparações.

Tenha em mente as seguintes diretrizes e limitações para configurar recursos de segurança de porta de acesso em PVLANs:

• Você deve aplicar os mesmos recursos de segurança da porta de acesso tanto no vlan primário quanto em todas as suas VLANs secundárias.

• Uma PVLAN pode ter apenas uma interface integrada de roteamento e ponte (IRB), e a interface IRB deve estar na VLAN primária.

• As limitações nas configurações de segurança da porta de acesso em PVLANs são as mesmas para configurações de recursos de segurança de porta de acesso que não estão em PVLANs. Consulte a documentação de segurança da porta de acesso no Guia de Administração de Serviços de Segurança.

• Problema
• Solução

• Problema
• Solução

• Problema
• Solução