我在 Visio 中模拟了一个图表,因为它可以比我更好地解释网络拓扑:
https://i.stack.imgur.com/F7izG.jpg
VLAN 1 是标准 VLAN
基本上,顶部交换机包含 VLAN 1 上的主机和一条到路由器的中继。底部交换机包含 VLAN 1 和 VLAN 10(私有 VLAN,其中 VLAN 11 是隔离 VLAN)上的主机。
由于所有交换机的中继都必须通过 VLAN 1 和 10(或 11?)流量,因此我没有将它们设为私有 VLAN 的成员。此外,由于单板路由器同时为 VLAN 1 和 10(或者应该是 11)进行中继,因此我没有将其指定为任何私有 VLAN 的混杂成员。
期望的结果是:
1)VLAN 1 中的主机可以与单板路由器通信(该路由器还具有未显示的到互联网的默认路由)
2)隔离 VLAN 中的主机能够与单板路由器通信,以便与 VLAN 1 上的服务器以及互联网进行通信
答案1
我不确定您使用的是哪种型号的 Cisco 交换机,但有支持中继上的 PVLAN 的功能,我建议您运行这样的功能。当您的隔离主机传输数据包时,它将最终进入 VLAN 11(辅助 VLAN)。混杂端口的目的部分是将辅助 VLAN 中的数据包映射到主 VLAN。当路由器响应时,它只会发送到 VLAN 10。各种隔离主机都以 VLAN 10 为主要设置。因此,路由器可以发送到 VLAN10 中的任何内容,但隔离主机只能向路由器发送流量(...而不能相互发送)。
如果您没有映射 11 -> 10 的某些功能,那么路由器将看不到来自主机的流量。如果您有上述功能,那么结果应该如您所述。