Aus Sicherheitsgründen migriere ich unser Netzwerk, um PVLANs zu verwenden. Meine Frage ist, ob ich angesichts des Standard-VLAN (192.168.0.0/24) einige Ports als isoliert/promiskuitiv kennzeichnen kann, während die anderen weiterhin normal funktionieren. Ich möchte die Dinge mit einigen Hosts testen, anstatt möglicherweise das gesamte Netzwerk zu blockieren. Es müssen auch Hunderte von Hosts migriert werden, sodass ich möglicherweise nicht alles in einer Einstellung erledigen kann.
Schau dir das an:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
Stellen Sie sich den oberen Port als Promisc-Port vor (was er ist) und die beiden ganz linken als isolierte Ports (was sie sind). Anstatt den vier ganz rechten Ports Community-Ports zuzuweisen, möchte ich sie einfach im VLAN belassen, ohne PVLAN-Parameter. Ist das möglich?
Antwort1
PVLAN funktioniert so, dass der an einen isolierten Port übertragene Datenverkehr tatsächlich einem anderen VLAN (dem Aux-VLAN) zugeordnet wird. Der Promiscuous-Port überträgt wiederum Frames sowohl vom primären als auch vom Aux-VLAN an den verbundenen Host. Auf dem Promiscuous-Port empfangene Frames gelangen in das primäre VLAN.
Das bedeutet, dass der Promiscuous-Port und die normalen Ports normal kommunizieren können, die normalen Ports können Datenverkehr an die isolierten Ports senden, aber keinen Datenverkehr zurückerhalten und der von den isolierten Ports gesendete Datenverkehr nur am Promiscuous-Port sichtbar ist. Die normalen Ports funktionieren weiterhin wie erwartet.
Wenn es für Sie also kein Problem ist, dass die normalen Ports Datenverkehr an die isolierten Ports senden können (aber nicht umgekehrt), sollte der Rest der Konfiguration funktionieren.
Die Verwendung von Community-Ports (anstelle von normalen/nicht PVLAN-Ports) würde sicherstellen, dass der von diesen Ports gesendete Datenverkehr niemals auf den isolierten Ports zu sehen wäre, während ansonsten weiterhin die vollständige Kommunikation möglich wäre. Dies wäre im Allgemeinen die richtige Vorgehensweise, wenn Sie die isolierten Hosts wirklich isolieren möchten.