为了增加安全性,我将networking迁移到使用PVLAN。 我的问题是给定的标准VLAN(192.168.0.0/24)我可以指定一些端口作为孤立的\混杂,而其他还有其他的工作正常。 我想用less数几个主机来testing,而不是有可能对整个networking进行分块。 也有数百个主机迁移,所以我可能无法在一个设置中完成。
看看这个:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
想象一下顶端端口是promisc端口(它就是这样),而最左边的两个端口是隔离端口(它们是)。 现在不用将社区端口分配给最右边的四个端口,我想简单地将它们留在VLAN中,而不需要任何PVLAN参数。 可以这样做吗?
PVLAN的工作方式是将传输到隔离端口的stream量实际映射到另一个VLAN(辅助VLAN)。 混合端口又将来自主VLAN和辅助VLAN的帧传送到其连接的主机。 在混杂端口上收到的帧进入主VLAN。
这意味着混杂端口和普通端口可以正常通信,正常端口可以将stream量发送到隔离端口,但是不会收到stream量,隔离端口发送的stream量只能在混杂端口看到。 正常港口将继续按预期运营。
所以 – 如果你正常的端口能够发送stream量到隔离的端口(但反之亦然),那么其余的设置应该工作。
使用社区端口(而不是正常/非PVLAN端口)将确保从所述端口发送的stream量永远不会在隔离端口上看到,同时仍然允许完全通信。 如果你想孤立的主机真正孤立,这通常是要走的路。