Para maior segurança, estou migrando a rede para usar PVLANs. Minha pergunta é dada à VLAN padrão (192.168.0.0/24). Posso designar algumas portas como isoladas\promíscuas enquanto as outras funcionam normalmente. Eu gostaria de testar as coisas usando alguns hosts, em vez de potencialmente bloquear toda a rede. Há também centenas de hosts para migrar, então talvez eu não consiga fazer tudo em uma única configuração.
Dê uma olhada neste:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
Imagine a porta superior como uma porta promisc (o que é), e as duas portas mais à esquerda como portas isoladas (o que são). Agora, em vez de atribuir portas comunitárias às quatro portas mais à direita, gostaria simplesmente de deixá-las na VLAN sem quaisquer parâmetros PVLAN. Isso pode ser feito?
Responder1
A maneira como a PVLAN opera é que o tráfego transmitido para uma porta isolada é, na verdade, mapeado para outra VLAN (a VLAN auxiliar). A porta promíscua, por sua vez, transmite quadros das VLANs primária e auxiliar para o host conectado. Os quadros recebidos na porta promíscua vão para a VLAN primária.
O que isto significa é que a porta promíscua e as portas normais podem comunicar normalmente, as portas normais podem enviar tráfego para as portas isoladas, mas não receberão tráfego de volta e o tráfego enviado das portas isoladas só será visto na porta promíscua. Os portos normais continuarão a operar conforme esperado.
Então - se você concorda com as portas normais sendo capazes de enviar tráfego para as portas isoladas (mas não vice-versa), o resto da configuração deve funcionar.
O uso de portas comunitárias (em vez de portas normais/não PVLAN) garantiria que o tráfego enviado dessas portas nunca seria visto nas portas isoladas, ao mesmo tempo que permitiria comunicação total de outra forma. Geralmente, esse seria o caminho a seguir se você deseja que os hosts isolados sejam realmente isolados.