Для чего применяются Private VLAN? Насколько они нужны?

3
0

Я для себя не могу решить, Private VLAN — полезная фича, которая будет применяться в Production, или это корове пятая нога, как VTP?

Что я погуглил на эту тему:

http://vxpertise.net/2012/11/pvlan-a-widely-underutilized-feature/

http://blog.ine.com/tag/private-vlan/

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/pvlans.html

Т.е. я могу понять аргументы, приведённые по ссылкам выше:

  • мы сэкономим VLAN ID, запихав все устройства, которые нужно изолировать на L2, не в разные VLAN, а в один isolated VLAN
  • мы добавим абстрактной «безопасности», изолировав устройства друг от друга (применим isolated/community порты)
  • у нас меньше уйдёт адресов на стыковочную адресацию, т.к. мы все устройства загоним в один Primary VLAN и выдадим на него одну общую сеть, не нужно выделять как минимум /30 на каждый VLAN в отдельности
  • и т.д.

Но на все эти аргументы мне хочется сказать: «Дак может, не так весомы эти аргументы? И всё-таки не надо городить странную непривычную схему с Private VLAN? Попилить все устройства по разным VLAN’ам, и всё-таки это будет приемлемо».

Ведь у Private VLAN есть и недостатки. Как минимум, нельзя Etherchannel делать на портах, куда выдан Private VLAN. А как будут работать всякие L2-фичи в Private VLAN? Какой-нибудь STP, IGMP Snooping и т.д. — Cisco ничего об этом не пишет, а вдруг там будут глюки из-за «необычности» Private VLAN?

В связи с этим, хотелось бы услышать:

  1. Может быть, вы знаете примеры использования Private VLAN? Вы использовали или слышали от знакомых.
  2. Может быть, вы приведёте аргументы «за» и «против» использования Private VLAN, чтобы понять, «Private VLAN — полезная фича, которая будет применяться в Production, или это корове пятая нога, как VTP?»
3
0

Вот тут и тут Иван Пепельняк пишет, что PVLAN с успехом применяются в датацентрах небольших хостинг-провайдеров, где каждому клиенту выделяется одна VM, и требуется обеспечить изоляцию между VM разных клиентов.

(Если клиенту нужно масштабируемое решение, то тут уже одной виртуалкой не обойтись. При большом количестве запросов на одного клиента выделяется множество взаимодействующих между собой виртуалок — лоад-балансеры, кеширующие сервера, веб-серверы, серверы баз данных, и все эти виртуалки тоже нужно обезопасить друг от друга. В этом случае применяются отдельные L3 подсети для разных клиентских сегментов, iptables или проприетарный файрвол на каждой виртуалке, VXLAN для обеспечения L2-связности (если надо).)

 

В домовых сетях провайдеров PVLAN, конечно, тоже может применяться, но много ли вы знаете провайдеров с цисками на чердаках? Домовые провайдеры закупают коммутаторы из расчета наименьшей цены за порт (при условии соответствии техническим требованиям). А изоляцию пользователей можно обеспечить и другим способом — например, используя QinQ (по одному C-VLAN на каждый пользовательский порт, по одному S-VLAN на каждый пользовательский свич,  терминация S-VLANов на сабинтерфейсах сервисного роутера, аутентификация пользователя по порту, к которому он подключен (DHCP option 82)). D-link’и это на ура поддерживают.

  • Manana
    Спасибо за ссылки на Пепельняка!:) Правда, не понятно, где логика? Если наш дата-центр небольшой, и надо изолировать не так много VM друг от друга — нам хватит и 4096 VLAN’ов, и можно каждому выделить свою /30 сеть (это же даёт большую гибкость при переносе VM с одного роутера на другой, если вдруг понадобится). Ну да ладно, поверим Пепельняку, что есть такой use case для Private VLAN — изолировать серверы/VM друг от друга на L2 в датацентре. Да про домовые сети провайдеров никто ничего не говорил.:) Для меня вообще не понятно, зачем там изолировать пользователей друг от друга? Насколько это необходимо? Но это уже другая тема.
  • YEVGENIY ARTEMENKO
    Manana, т.е. тебе бы хотелось, чтобы на твой роутер (какой-нибудь там Dlink dir 300) сосед мог провести атаку с использованием любого протокола на L2 и выше ?
0
0

Пока не использовал сам эту технологию, но присматриваюсь с точки зрения следующей ситуации:

допустим, есть некий набор VLAN, выделенный исключительно для серверов. Серверы группируются по vlan в соответствии с каким-то своим функциональным назначением, между vlan трафик фильтруется в соответствии с к.л. требованиями информационной безопасности. Все работает, все довольны и тут вдруг новый сотрудник информационной безопасности выдвигает идею о том, чтобы трафик от сервера z.z.z.8 фильтровался в том числе и при взаимодействии с серверами принадлежащими той же подсети z.z.z.0/24. Что делать? Перенос сервера в другую подсеть, при условии, что он уже достаточно плотно вписан в инфраструктуру общего взаимодействия — процесс достаточно болезненный. Тут, насколько я вижу, можно применить схему с private-vlan т.е. неугодный безопаснику сервер помещается в изолированный vlan, адресация остается той же — нужно сосредоточится только на написании правил фильтрации для этого сервера.

Это если я правильно понял как это работает))

  • Manana
    Ну, я не знаю, если безопасник такой умный — пусть фильтрует трафик на самих серверах. Но это так, эмоционально.:) Наверное, да, вполне может быть такой сценарий применения.
  • mr.fr3ak3r
    Образ мысли безопасников не всегда ясен простым смертным ))
0
0

ИМХО, надо смотреть на всё это шире. Это просто дополнительное средство изоляции в L2, доступное на старших каталистах. Так же как на d-link есть трафик сегментейшен или vlan_translation. Или на зухелях. Или uni-порт на коммутаторах ME.

Это базовая технология, как буква алфавита. В каких-то словах может использоваться, в каких-то не нужна.

В каких именно случаях это может пригодиться — вопрос отдельный. Можно для изолирования клиентов, можно в купе с proxy-arp — для исключения взаимодействия по L2 и принудительного провода трафика через L3.

  • Manana
    Дак вопрос и был в том, применяет кто-то Private VLAN в реальности или нет? Т.е. можно прочитать о возможностях Private VLAN, пофантазировать о сценариях их применения — а там могут быть «подводные камни», из-за которых на самом деле никто не будет его применять. Так и на VTP можно посмотреть «в общем»: вон сколько интересных возможностей предлагает VTP, избавляет от рутинной работы по созданию VLAN! Я для себя, субъективно, пришёл к выводу — что Private VLAN можно попробовать использовать, когда надо добавить «безопасности» путём изоляции хостов на L2 — в тех случаях, когда лишней безопасности не помешает. Типа, серверы DMZ или VM на хостинге изолировать друг от друга. Ну и это, видимо, небольшое количество хостов и несколько коммутаторов; видимо, сценарий с большой L2-топологией — не для применения Private VLAN.
  • Larchen
    Применяет. Видел контору с крупным IT, где изолированы все рабочие станции. При помощи proxy-arp связь возможна по L3 после прохождения довольно сложных ACL маршрутизаторов, определяющих кому куда можно. Так было сделано с целью дополнительного контроля, избавления сети от boroadcast и как дополнительная антивирусная защита.
Показано 3 результата
Ваш ответ

для ответа.