Использование PVLANS в сочетании со стандартными VLAN
Для дополнительной безопасности я перехожу из сети для использования PVLAN. У меня вопрос по стандартной VLAN (192.168.0.0/24). Могу ли я обозначить несколько портов как изолированные \ разнородные, в то время как другие работают нормально. Я хотел бы протестировать вещи, используя несколько хостов, а не блокировать всю сеть. Есть также сотни хостов для миграции, поэтому я не смогу сделать все это в одной настройке.
Взгляните на это:
http://www.cisco.com/en/US/i/100001-200000/180001-190000/182001-183000/182773.jpg
Представьте себе верхний порт как порт Promisc (который он есть), а два крайних левых порта - как изолированные порты (который они есть). Теперь вместо того, чтобы назначать порты сообщества четырем самым правым портам, я хотел бы просто оставить их в VLAN без каких-либо параметров PVLAN. Можно ли это сделать?
1 ответ
Способ работы PVLAN заключается в том, что трафик, передаваемый в изолированный порт, фактически отображается в другую VLAN (вспомогательную VLAN). Случайный порт, в свою очередь, передает кадры из основной и вспомогательной VLAN на подключенный хост. Кадры, полученные на случайном порте, поступают в основную VLAN.
Это означает, что случайный порт и обычные порты могут нормально взаимодействовать, обычные порты могут отправлять трафик на изолированные порты, но не будут возвращать трафик, и трафик, отправленный с изолированных портов, будет виден только на случайном порте. Нормальные порты будут продолжать работать как положено.
Так что - если вы в порядке с обычными портами, способными отправлять трафик на изолированные порты (но не наоборот), тогда остальные настройки должны работать.
Использование общих портов (вместо обычных / не PVLAN-портов) гарантирует, что трафик, отправленный с указанных портов, никогда не будет виден на изолированных портах, и в то же время будет разрешен полный обмен данными в противном случае. Это, как правило, будет хорошим способом, если вы хотите, чтобы изолированные хосты были действительно изолированы.