替代私有VLAN？

Question

我需要在HP阿鲁巴交换机上实现PVLAN，不幸的是，HP-2530交换机不支持私有PVLAN。有其他方法可以实现类似的结果吗？

Answer 1

有些人建议(链接在这里)你可以使用源端口滤波器。

Answer 2

您可以为此使用ACL，例如VLAN 99中的192.168.1.0/24子网的pvlan，允许在192.168.1.10与路由器联系

ip access-list extended pvlan
1000 permit ip 192.168.1.0/24 192.168.1.1/32
1010 permit ip 192.168.1.1/32 192.168.1.0/24
1020 permit ip 192.168.1.0/24 192.168.1.10/32
1030 permit ip 192.168.1.10/32 192.168.1.0/24
1100 deny ip 192.168.1.0/24 192.168.1.0/24
9999 permit ip any any
exit
vlan 99 ip access-group pvlan vlan-in

这将抑制此子网中节点之间的所有IP通信量，但路由器和DHCP服务器之间的所有IP通信量除外，同时允许所有其他内容。

路由器并不是真正需要的，但是对于一个简单的连接性测试来说，它是很好的。注意，ACL是从顶部和第一个匹配计数计算的。在最后有一个隐式deny ip any any，所以您需要在它前面放置一个permit ip any any来对抗它。

还请注意，ACL只杀死使用过滤子网的IP通信量。没有使用其他协议或子网。

源端口过滤器从指定的源-目的地端口组合中删除所有通信量。

对于端口1上的交换机上行链路和2-48上的客户端，您可以使用

filter source-port named-filter pvlan drop 2-48
filter source-port 2-48 named-filter pvlan

Answer 3

访问列表配置传统上是限制或控制VLAN之间的tràffic的方法和替代方式。为了克服在配置access -list时遇到的挑战，引入了私有Vlan概念。

如果网络设置是大规模的网络，很难管理和配置访问列表，这将成为对网络管理员.To克服的挑战，思科引入了私有-Vlan的概念来限制不同相同和不同Vlans之间的通信量。

如果设备与专用Vlan不兼容，则可以配置.Then访问列表.