Para mayor seguridad, estoy migrando mi red para usar PVLAN. Mi pregunta se refiere a la VLAN estándar (192.168.0.0/24). ¿Puedo designar algunos puertos como aislados\promiscuos y al mismo tiempo hacer que los demás funcionen normalmente? Me gustaría probar cosas usando algunos hosts en lugar de bloquear potencialmente toda la red. También hay cientos de hosts para migrar, por lo que es posible que no pueda hacerlo todo en una sola configuración.
Mira esto:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
Imagine el puerto superior como un puerto promisco (que lo es) y los dos más a la izquierda como puertos aislados (que lo son). Ahora, en lugar de asignar puertos comunitarios a los cuatro puertos situados más a la derecha, me gustaría simplemente dejarlos en la VLAN sin ningún parámetro PVLAN. Se puede hacer esto?
Respuesta1
La forma en que funciona PVLAN es que el tráfico transmitido a un puerto aislado en realidad se asigna a otra VLAN (la VLAN auxiliar). El puerto promiscuo, a su vez, transmite tramas desde la VLAN primaria y auxiliar a su host conectado. Las tramas recibidas en el puerto promiscuo van a la VLAN principal.
Lo que esto significa es que el puerto promiscuo y los puertos normales pueden comunicarse normalmente, los puertos normales pueden enviar tráfico a los puertos aislados pero no recibirán tráfico de regreso y el tráfico enviado desde los puertos aislados solo se verá en el puerto promiscuo. Los puertos normales seguirán funcionando como se esperaba.
Entonces, si está de acuerdo con que los puertos normales puedan enviar tráfico a los puertos aislados (pero no al revés), entonces el resto de la configuración debería funcionar.
El uso de puertos comunitarios (en lugar de puertos normales/no PVLAN) aseguraría que el tráfico enviado desde dichos puertos nunca se vea en los puertos aislados y, de lo contrario, permitiría una comunicación completa. En general, este sería el camino a seguir si desea que los hosts aislados estén realmente aislados.