将PVLANS与标准VLAN结合使用

Question

为了增加安全性，我要迁移出网络来使用PVLAN。我的问题是标准的VLAN (192.168.0.0/24)，我可以在其他端口正常工作的同时，将几个端口指定为孤立\杂乱的端口。我想使用几个主机来测试一些东西，而不是潜在地对整个网络进行分组。还有数以百计的主机要迁移，所以我可能无法在一个环境中完成所有的工作。

看一看这个：

http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg

假设顶部端口是一个混杂端口(它是这样的)，而最左边的两个端口是孤立的端口(它们是)。现在，我不想将社区端口分配给最右边的四个端口，而只是将它们留在VLAN中，而不需要任何PVLAN参数。这能办到吗？

Answer 1

PVLAN的操作方式是将传输到隔离端口的通信量实际上映射到另一个VLAN (辅助VLAN)。杂乱的端口依次将帧从主节点和辅助VLAN传输到其连接的主机。在杂乱端口上接收到的帧进入主VLAN。

这意味着杂乱的端口和正常的端口可以正常通信，正常的端口可以将流量发送到孤立的端口，但不会接收回流量，从隔离端口发送的通信只能在杂乱的端口上看到。正常港口将继续按预期运作。

因此-如果正常端口能够向隔离端口发送通信量(反之亦然)，则设置的其余部分应该可以工作。

使用社区端口(而不是正常/非PVLAN端口)将确保从上述端口发送的通信永远不会出现在隔离端口上，同时仍然允许完全通信。如果您希望孤立的主机真正独立，这通常是可行的。