私有VLAN (Cisco)上的孤立VLAN成员

Question

我一直在想这件事。

在Cisco交换机上，您可以配置VLAN并将私有社区和私有隔离VLAN嵌套到其中。您还可以配置可以由子VLAN的任何成员访问的杂乱端口。我知道一个社区的VLAN成员可以在不需要网关的情况下互相通信，他们不能与不同的社区VLAN通信。另外，还有一些孤立的VLAN成员只能与杂乱的端口通信。我的问题是，如果我仍然想从我所在的同一个孤立的VLAN访问另一个主机，它是如何工作的？路由器还能把你送到那里吗？(这就是第一个问题)

但是如果是这样的话，那么VACL呢？如果我理解正确的话，他们会禁止离开VLAN并返回，还是仅仅是限制坐在一个前缀/掩码不正确的VLAN中？(问题二)

编辑

因此，我想问一下，例如，如何获得from host .24 to host .25或from host .66 to host .24 (在辅助VLAN之间)？我对路由的发生感到困惑。我知道你不能通过第二层访问它们。那么这些PC是如何到达那里的呢？他们还用路由器吗？路由器是如何处理这个问题的？我是说，这是同一个子网，但那是不同的。VLAN。

对不起，如果听起来有点混乱的话。

Answer 1

当隔离端口传输数据时，该数据被映射到辅助VLAN中。辅助VLAN中的数据将映射到仅用于VLAN的主VLAN，以便传输到杂乱的端口。杂乱的端口依次将数据传输到主VLAN。所有端口都可以在主VLAN中接收信息。

将一个隔离端口放入社区VLAN意味着它传输的通信量将被映射到辅助VLAN和社区VLAN。社区端口将从主站和社区VLAN接收数据。

在下列条件下，给定的一对端口将具有双向通信-

1. 其中一个或两者都是滥交的，或者.
2. 两者都在同一个PVLAN社区中。

VACL是一种完全不同的机制，它提供了对给定VLAN内桥接的通信量(通常是基于协议的)的某种措施。例如，您可以阻止VLAN中所有主机之间TCP/80上的通信量，同时允许所有其他通信量通过。

可以通过使用VACL来近似PVLAN的效果，但这往往有点脆弱，难以管理，并且常常存在需要应付的固有硬件限制(...highly依赖于平台)。