为了增加安全性,我正在迁移网络以使用 PVLAN。我的问题是,给定标准 VLAN (192.168.0.0/24),我是否可以将一些端口指定为隔离\混杂,同时仍让其他端口正常工作。我想使用一些主机进行测试,而不是可能使整个网络瘫痪。还有数百台主机需要迁移,所以我可能无法在一个设置中完成所有操作。
看看这个:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
假设顶部端口为 promisc 端口(确实如此),最左边的两个端口为隔离端口(确实如此)。现在,我不想将公共端口分配给最右边的四个端口,而是将它们留在 VLAN 中,不带任何 PVLAN 参数。可以这样做吗?
答案1
PVLAN 的运作方式是,传输到隔离端口的流量实际上被映射到另一个 VLAN(辅助 VLAN)。而混杂端口则将来自主 VLAN 和辅助 VLAN 的帧传输到其连接的主机。在混杂端口上接收到的帧将进入主 VLAN。
这意味着混杂端口和正常端口可以正常通信,正常端口可以向隔离端口发送流量,但不会收到任何流量,而从隔离端口发送的流量只会在混杂端口上看到。正常端口将继续按预期运行。
因此 - 如果您同意正常端口能够将流量发送到隔离端口(但反之则不行),那么其余设置应该可以工作。
使用社区端口(而不是普通/非 PVLAN 端口)将确保从上述端口发送的流量永远不会出现在隔离端口上,同时仍允许完全通信。如果您希望隔离主机真正隔离,这通常是可行的方法。