セキュリティを強化するために、ネットワークを PVLAN を使用するように移行しています。質問は、標準 VLAN (192.168.0.0/24) が指定されている場合、他のポートは正常に動作させながら、いくつかのポートを分離\無差別として指定できるかどうかです。ネットワーク全体をブロックする可能性を排除し、いくつかのホストを使用してテストを行いたいと思います。移行するホストも数百あるため、1 つの設定ですべてを行うことはできないかもしれません。
これをみて:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
一番上のポートをプロミスク ポート (実際そうです) とし、一番左の 2 つのポートを分離ポート (実際そうです) とします。ここで、コミュニティ ポートを一番右の 4 つのポートに割り当てる代わりに、PVLAN パラメータなしで VLAN にそのまま残しておきたいと思います。これは可能ですか?
答え1
PVLAN の動作は、隔離されたポートに送信されたトラフィックが実際には別の VLAN (補助 VLAN) にマッピングされるというものです。次に、プロミスキャス ポートは、プライマリ VLAN と補助 VLAN の両方から接続されたホストにフレームを送信します。プロミスキャス ポートで受信されたフレームは、プライマリ VLAN に送られます。
つまり、無差別ポートと通常のポートは正常に通信でき、通常のポートは隔離ポートにトラフィックを送信できますが、返されるトラフィックは受信されず、隔離ポートから送信されたトラフィックは無差別ポートでのみ表示されます。通常のポートは、期待どおりに動作し続けます。
したがって、通常のポートが分離されたポートにトラフィックを送信できること (ただしその逆は不可) に問題がなければ、セットアップの残りの部分は機能するはずです。
コミュニティ ポート (通常の/非 PVLAN ポートの代わりに) を使用すると、これらのポートから送信されたトラフィックが分離されたポートで確認されることがなくなり、それ以外の場合は完全な通信が可能になります。分離されたホストを完全に分離したい場合は、通常この方法を使用します。