為了增加安全性,我將網路遷移到使用 PVLAN。我的問題是給定標準 VLAN (192.168.0.0/24),我可以將一些連接埠指定為隔離\混雜,同時仍然讓其他連接埠正常工作。我想使用一些主機進行測試,而不是可能破壞整個網路。還有數百台主機需要遷移,因此我可能無法在一種設定中完成所有操作。
看看這個:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
將頂部連接埠想像為混雜連接埠(確實如此),最左邊的兩個連接埠作為隔離連接埠(確實如此)。現在,我不想將社區端口分配給最右邊的四個端口,而是將它們保留在 VLAN 中,而不使用任何 PVLAN 參數。這可以做到嗎?
答案1
PVLAN 的運作方式是傳輸到隔離連接埠的流量實際上會對應到另一個 VLAN(輔助 VLAN)。混雜連接埠再將訊框從主 VLAN 和輔助 VLAN 傳送到其連接的主機。混雜連接埠上收到的訊框進入主 VLAN。
這意味著混雜連接埠和普通連接埠可以正常通信,普通連接埠可以向隔離連接埠發送流量,但不會收到返回的流量,而從隔離連接埠發送的流量只能在混雜連接埠看到。正常港口將繼續如預期運作。
因此,如果您同意普通連接埠能夠將流量傳送到隔離連接埠(反之亦然),那麼其餘的設定應該可以工作。
使用社群連接埠(而不是正常/非 PVLAN 連接埠)將確保從所述連接埠發送的流量永遠不會在隔離連接埠上看到,同時仍允許完全通訊。如果您希望隔離的主機真正隔離,這通常是可行的方法。