Я создал схему в Visio, поскольку она лучше меня объясняет топологию сети:
VLAN 1 - это стандартный VLAN.
В основном верхние коммутаторы содержат хосты в VLAN 1 и магистраль к маршрутизатору на флешке. Нижние коммутаторы содержат хосты в VLAN 1 и VLAN 10 (частная VLAN, при этом VLAN 11 является изолированной VLAN).
Поскольку транки для всех коммутаторов должны пропускать трафик VLAN 1 и 10 (или 11?), Я не делал их членами частной VLAN. Кроме того, поскольку маршрутизатор на флешке является транковым как для vlan 1, так и для 10 (или должен быть bee 11), я не назначал его в качестве неразборчивого члена какого-либо частного vlan.
Желаемый результат:
1) Хосты в VLAN 1 могут связываться с маршрутизатором на флешке (которая также имеет маршрут в Интернет по умолчанию, который не показан).
2) Хосты в изолированной VLAN могут обмениваться данными с маршрутизатором на флешке для связи с сервером в VLAN 1, а также с Интернетом.
Я не уверен, какая у вас модель коммутатора Cisco, но есть функции для поддержки PVLAN на магистралях, и я бы рекомендовал вам запустить такую функцию. Когда ваши изолированные хосты передают пакет, он попадает в VLAN 11 (вспомогательную VLAN). Частично назначение случайного порта состоит в том, чтобы сопоставить пакеты в вспомогательной VLAN с основной VLAN. Когда маршрутизатор отвечает, он просто отправляет в VLAN 10. Различные изолированные хосты устанавливаются с VLAN 10 в качестве основного. Таким образом, маршрутизатор может отправлять что угодно в VLAN10, но изолированные узлы могут отправлять трафик только на маршрутизатор (... а не друг другу).
Если у вас нет средств для сопоставления 11 -> 10, тогда маршрутизатор не будет видеть трафик, исходящий от хостов. Если у вас есть указанное средство, результат должен работать так, как вы описываете.
