如何在交换机不支持PVLAN的情况下实现专用VLAN (PVLAN)隔离

Question

我在我们的公共IPv4 VLAN上寻找一些有线客户端隔离。因为我们有一个/23块，所以隔离是一种非常有用的特性。

但我们没有能够使用PVLAN的交换机。为了避免在IPv4链接中浪费公共/30地址，我遇到了一种解决方案，该解决方案涉及在给定交换机上设置一个端口，使其成为带有一些未加标记的VLAN的“上行端口”，并且在访问端口上只设置一个VLAN。

例如：

Port 24: VLAN 100,101,102,103,104 => Untagged
Port 01: VLAN 101                 => Untagged
Port 02: VLAN 102                 => Untagged
Port 03: VLAN 103                 => Untagged
Port 04: VLAN 104                 => Untagged

最后一个问题是:这真的会像预期的那样起作用吗？如果是，我如何使用这种方法级联开关？

Answer 1

简单来说，答案是否定的-- PVLAN功能的存在是有原因的--它改变了默认的洪泛和学习机制的工作方式，以确保VLAN中的主机在能够看到它们的网关设备和其他“公共”资源的同时，看不到彼此。

尽管如此，您可以在交换机上(在L2或L3上，视硬件功能而定)或在主机本身(L3)上重新创建功能等效的东西，以限制所有公共主机之间的流量。

根据您的需求/规则集，这可以是非常简单的(除了网关之外，其他任何子网上的任何主机)，或者非常繁琐(允许某些主机间的通信，但每个主机的流量不同)。

如果您沿着这条路走下去，请查看一些自动化工具(Ansible等)。让事情变得更简单。