Частная вирт. локал. сеть – группа сетевых портов, которая специально настроена на изоляцию от прочих портов той же виртуальной сети. Они позволяют ограничивать взаимодействие хостов, размещенных в пределах одной виртуальной сети. Маршрутизаторы и брандмауэры способны накладывать такие ограничения только на пересекающий границы трафик. Частные же VLAN позволяют изолировать друг от друга хосты, расположенные в пределах одной и той же подсети. Такая способность особенно полезна для усиления ограничений на серверной площадке, где серверы часто располагаются в пределах одной и той же физической подсети, но крайне редко нуждаются в неограниченном доступе друг к другу. 1) универсальные порты - способны устанавливать соединение с любым другим портом. (обычно принадлежат маршрутиза-торам и брандмауэрам).
2) изолированные порты - полностью отгорожены от всех прочих портов частной виртуальной сети за исключением универсальных.
3) групповые порты - способны общаться только друг с другом и с универсальными портами.
Атака: можно обойти ограничения частной VLAN за счет маршрутизации внутреннего трафика выделенным маршрутизатором. Расположенные в пределах одной подсети хосты напрямую общаются между собой. Взломщик, получивший доступ к одному из хостов частной виртуальной сети, может маршрутизировать пакеты в направлении соседней системы. Поскольку маршрутизаторы, как правило, соединены с универсальными портами, то они способны перенаправлять сетевой трафик на 3-ем уровне сетевой модели вопреки любой изоляции, созданной средствами частной виртуальной сети на 2-м уровне. Для предотвращения подобной ситуации необхо-димо настроить списки контроля доступа ACL главной виртуальной сети на отказ в доступе трафика, источник и приемник которого расположены в пределах одной подсети.
Вероятность взлома границ виртуальных сетей намного выше аналогичной вероятности для сетей, физически разделенных коммутаторами.
