分类: 系统运维
2011-10-20 08:28:34
你可以使用使用PVLAN用以下方法来控制到终端站点的访问:
n 配置连接到终端站点的接口为隔离端口,以阻止任何二层通信。例如,如果终端站点是服务器,则这个配置阻止服务器之间的二层通信。
n 配置连接到默认网关和选择的终端站点(如备份服务器)的接口作为混杂端口,以允许所有终端站点可以访问到默认网关。
你可以通过中继主、隔离和区有VLAN到其他支持PVLAN的设备,来扩展PVLAN穿过多个设备。为了维护你的PVLAN安全,避免其他VLAN配置为PVLAN,在所有中间设备上配置PVLAN,包括没有PVLAN端口的设备。
8.4.4 PVLAN的IP地址架构在你为每个客户指派一个独立的VLAN时,请按照以下指南部署有效的IP地址架构:
n 为客户VLAN分配一个地址块可能导致未使用的IP地址;
n 如果VLAN中的设备数增加,分配的地址数可能不能满足这个要求。
这些问题可以通过使用PVLAN来减少,因为在一个PVLAN中的所有成员共享一个公用的地址空间。这个公用的地址空间就是分配给主VLAN的地址空间。连接到从VLAN的主机,DHCP服务器可以使用主VLAN中的地址块为他们分配IP地址。后面的IP地址可以分配给在不同从VLAN(但是同一个主VLAN中)中的客户端设备。在添加新设备时,DHCP服务器可以从一个大的子网地址池中为他们分配后面可用的地址。
本文摘自《Catalyst交换机VLAN、VMPS配置与管理》第八章
