보안을 강화하기 위해 PVLAN을 사용하도록 네트워크를 마이그레이션하고 있습니다. 내 질문은 표준 VLAN(192.168.0.0/24)입니다. 다른 포트는 정상적으로 작동하면서 몇 개의 포트를 격리\무차별로 지정할 수 있습니까? 잠재적으로 전체 네트워크를 차단하는 대신 몇 개의 호스트를 사용하여 테스트하고 싶습니다. 또한 마이그레이션할 호스트가 수백 개이므로 하나의 설정에서 모든 작업을 수행하지 못할 수도 있습니다.
이것을 살펴보십시오:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
상단 포트는 약속된 포트(즉)이고 가장 왼쪽 두 포트는 격리된 포트(즉)라고 상상해 보십시오. 이제 가장 오른쪽에 있는 4개의 포트에 커뮤니티 포트를 할당하는 대신 PVLAN 매개변수 없이 VLAN에 그대로 두겠습니다. 이것이 가능합니까?
답변1
PVLAN의 작동 방식은 격리된 포트로 전송된 트래픽이 실제로 다른 VLAN(보조 VLAN)에 매핑되는 것입니다. 무차별 포트는 기본 및 보조 VLAN 모두에서 연결된 호스트로 프레임을 전송합니다. 무차별 포트에서 수신된 프레임은 기본 VLAN으로 이동합니다.
이것이 의미하는 바는 무차별 포트와 일반 포트가 정상적으로 통신할 수 있고 일반 포트는 격리된 포트로 트래픽을 보낼 수 있지만 다시 트래픽을 수신하지 않으며 격리된 포트에서 전송된 트래픽은 무차별 포트에서만 볼 수 있다는 것입니다. 일반 포트는 예상대로 계속 작동합니다.
따라서 일반 포트가 격리된 포트로 트래픽을 보낼 수 있어도 괜찮다면(그 반대는 아님) 나머지 설정이 작동해야 합니다.
일반/비 PVLAN 포트 대신 커뮤니티 포트를 사용하면 해당 포트에서 전송된 트래픽이 격리된 포트에 표시되지 않는 동시에 전체 통신이 허용되는 것을 보장할 수 있습니다. 격리된 호스트를 실제로 격리하려는 경우 일반적으로 이 방법을 사용합니다.