VLANY na jednej klasie warstwy trzeciej PVLAN - sposób na CGNAT [oddzielony]

Jeśli mamy sieć NATowaną przez operatora, to możemy zgodzić się na routowanie przez operatora (CGNAT). VLANów nie można wtedy zastosować, bo nie można routować samemu za maskaradą.
Jeśli nie chcemy kupować drugiego routera, to istnieje opcja podziału sieci na VLANy w warstwie drugiej, tak zwane private VLANy PVLAN. Technologia ta została opisana przez Cisco w RFC 5517 i jest na szczęście używana w sporej ilości urządzeń innych producentów (m.in. Arista, Brocade, Extreme, FortiNet, Juniper, MICROSENS, Ubiquiti, Alcatel-Lucent). Nie każde urządzenie sieciowe ją obsługuje.

Sam podział na VLANy nie załatwi sprawy bezpieczeństwa - potrzeba jeszcze stworzyć przeźroczysty filtrujący most - Element ukryty. Rejestracja zajmie tylko minutę!.

Router, który ma prywatny adres ip i ewentualnie wewnętrzny serwer będą widoczne dla wszystkich w primary vlanie (promiscuous port), a grupy portów odpowiedniki zwykłych VLANów każda do Community VLANu. Istnieje też możliwość użycia isolated VLAN. Wszystko odbywa się na warstwie II w jednej podsieci.
Konfiguracja na poziomie CCNP. Tutaj trochę opisuElement ukryty. Rejestracja zajmie tylko minutę!

//To tyko koncepcje z forum, brakuje PoC-a.
//Kolejna runda łączenia.

Switche Huawei S5720-Li obsługują private VLANy. Dałoby się zrobić test.
Bez zmian na routerze można zarządzać wewnętrznymi VLANami według uznania mając hasło tylko do switcha.
Niech ktoś sprawdzi, kto ma takiego switcha
Technologia nazywa się nie PVLAN tylo MUX vlan. Nazwy też inne
HUAWEI   -   CISCO
MUX-VLAN -   PVLAN(Private VLAN)
I teraz nazwy wewnętrzne
Principal VLAN - Primary VLAN
Subordinate VLAN - Secondary VLAN
Separate VLAN - Isolation VLAN
Group VLAN - Community VLAN
Tutaj ciscowy schemat jak to działa. Nazewnictwo przetłumaczone zgodnie z powyższym na HUAWEI

Wątek supportu z którego to Element ukryty. Rejestracja zajmie tylko minutę!.
   

Tutaj znalazłem po hiszpańsku na Huawei , MUX VLAN konfiguruje się podobnie jak na Cisco. Polecam wyłączyć dźwięki i oglądać, da się zrozumieć.

Mając dostęp tylko do switcha da się zarządzać private VLANami. Da się część portów wydzielić osobno. PVLAN stosuje się wtedy, gdy nie można zastosować normalnych VLANów. W szkole normalne VLANy z osobną adresacją są lepsze. Jak coś źle działa, to można rozpoznać port i VLAN do którego jesteśmy podłączeni po adresacji.

W przypadku PVLAN chyba nie da się tak zrobić. Serwer DHCP w do PVLAN daje adresy, które trafiają do komputerów we wszystkich grupach. Komputery są oddzielone według grup w warstiwe drugiej widzą tylko te komputery w tej samej grupie, ale nie da się z danego komputera zobaczyć, w którym PVLANie jest - a może się da? Jeśli się nie da, to zwykłe VLANy lepsze.

PVLANy standardowo stosuje się w hotelu, żeby goście hotelowi się nie widzieli, żeby każdemu nie trzeba było zakładać osobnego VLANu z serwerem DHCP i adresacją, zwykle na isolated VLAN.

Switch warstwy trzeciej obsługuje protokoły routingu.
Wewnętrzne VLANy na swoim switchu warstwy 3 wystarczy przeroutować, włączyć "router rip" na obu switchach, żeby pozbyć się NATu i mieć swoje VLANy. Na swoim routerze trzeba też ustawić default GW na switch OSE.

Chyba lepiej niż ten PVLAN. Sprawa firewalla pozostaje nie rozwiązana, w tej sytuacji musimy mieć pełne zaufanie do OSE.

Czy można prosić rysunek? Wydzielę do nowego wątku.