Для дополнительной безопасности я перевожу сеть на использование PVLAN. Мой вопрос: если у меня стандартная VLAN (192.168.0.0/24), могу ли я назначить несколько портов как изолированные\неразборчивые, при этом остальные будут работать нормально. Я хотел бы протестировать все с использованием нескольких хостов, а не потенциально блокировать всю сеть. Также нужно перенести сотни хостов, поэтому я не смогу сделать все это в одной настройке.
Взгляни на это:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
Представьте себе верхний порт как promisc-порт (каким он и является), а два самых левых — как изолированные порты (какими они и являются). Теперь вместо назначения общественных портов четырем самым правым портам я хотел бы просто оставить их в VLAN без каких-либо параметров PVLAN. Можно ли это сделать?
решение1
Принцип работы PVLAN заключается в том, что трафик, передаваемый в изолированный порт, фактически отображается в другой VLAN (вспомогательный VLAN). В свою очередь, смешанный порт передает кадры как из первичного, так и из вспомогательного VLAN на подключенный к нему хост. Кадры, полученные на смешанном порту, поступают в первичный VLAN.
Это означает, что неразборчивый порт и нормальные порты могут нормально взаимодействовать, нормальные порты могут отправлять трафик на изолированные порты, но не будут получать трафик обратно, а трафик, отправленный с изолированных портов, будет виден только на неразборчивом порту. Нормальные порты продолжат работать, как и ожидалось.
Итак, если вас устраивает то, что обычные порты могут отправлять трафик на изолированные порты (но не наоборот), то остальная часть настройки должна работать.
Использование портов сообщества (вместо обычных/не-PVLAN портов) гарантирует, что трафик, отправленный с указанных портов, никогда не будет виден на изолированных портах, при этом в противном случае позволяя полную связь. Обычно это будет правильным способом, если вы хотите, чтобы изолированные хосты были действительно изолированы.