O configurație privată VLAN ( Private VLAN ) este o rețea de calculatoare în care sunt restricționate unele porturi de comutatoare pe care sunt definite VLAN-uri . De obicei, li se permite să comunice doar cu un anumit „ uplink ” . Prin urmare, nu toate computerele care sunt membre ale unei VLAN pot comunica între ele.
Porturile mici se numesc „porturi private” ( porturi private ). Fiecare VLAN privat conține de obicei multe porturi private și un singur port de legătură în sus . De obicei, acesta este portul care duce la router , firewall , server de rețea ISP sau resursă centrală similară.
Comutatorul permite ca toate cadrele pe care le primește pe un port privat să treacă către portul din amonte, indiferent de numărul VLAN sau de adresa MAC de destinație. Cadrele primite pe portul din amonte sunt transmise în mod normal, adică prin trimiterea lor pe portul asociat cu adresa MAC de destinație sau către toate porturile VLAN atunci când această destinație este necunoscută sau dacă aceasta este o cadru de difuzare . Traficul „de la stație la stație” este blocat.
Chiar dacă VLAN-urile private izolează stațiile la stratul de legătură , comunicarea peer-to-peer se poate face în continuare prin protocoale de nivel superior. În special, nu pentru că sunt izolate la nivel Ethernet, nu pot fi plasate în aceeași subrețea IP (adrese care încep cu același prefix). Într-un astfel de caz, comunicarea directă între mașini pe porturi private este posibilă numai folosind un proxy ARP sau o soluție similară.
O aplicație tipică a VLAN-urilor private este o rețea hotelieră în care fiecare cameră are un port pentru acces la Internet. Același lucru este valabil și pentru un FTTH sau un cablu de rețea pentru abonați, sau într - un ADSL DSLAM : permițând directă legătură într-strat de comunicare între stațiile client ar expune rețeaua locală la diferite atacuri de securitate, cum ar fi ARP spoofing. , Și ar crește consecințele unei configurare greșită.
VLAN-urile private împart un VLAN (numit „primar”) în mai multe sub-VLAN-uri („secundar”). Un VLAN obișnuit formează un singur domeniu de difuzare , în timp ce VLAN-urile private formează domenii de difuzare mai mici. Cu alte cuvinte, un VLAN privat este un VLAN primar împărțit în mai multe VLAN secundare.
Există două tipuri principale de porturi în VLAN privat: port promiscu ( port promiscu , port P) și porturi gazdă . Porturile gazdă sunt la rândul lor împărțite în două tipuri: porturi izolate (porturi izolate , porturi I) și porturi comunitare ( porturi comunitare , porturi C).