В среде многопользовательского коммутатора стандартной практикой является разделение арендаторов по сетям VLAN. Если этим арендаторам по какой-либо причине необходимо находиться в одном адресном пространстве, реализуются PVLAN, чтобы добавить разделение между арендаторами, позволяя им всем получать доступ к определенному ресурсу (например, маршрутизатору).
У меня вопрос: что происходит с трафиком в PVLAN, когда он покидает коммутатор с включенным PVLAN? И что произойдет, если у вас есть магистральный порт, соединяющий основной коммутатор с поддержкой PVLAN с коммутатором без поддержки PVLAN.
Вот пара примеров отработанных сценариев:
Главный коммутатор в обслуживаемом здании имеет 10 VLAN с PVLANS 101,102,103. Маршрутизатор входит в VLAN10 как член сообщества. Порты предоставляются арендаторам с PVLANS 102,102,103. Если арендатор подключит коммутатор без поддержки PVLAN к 103, он будет работать?
Несколько хостов VMWare ESX, на которых работает распределенный коммутатор (vDS). В vDS настроена VLAN для DMZ общедоступных адресов, а затем PVLAN внутри нее для каждого сервера. Маршрутизатор находится в DMZ VLAN, и хосты могут связываться с ним. Коммутатор между маршрутизатором и хостами ESX поддерживает VLANS, но не поддерживает явно PVLAN. Что происходит с трафиком, проходящим между хостами ESX?
В среде, в которой мы работаем, используются коммутаторы Cisco 39xx и Dell 63xx.
Частные VLAN существуют только на коммутаторах, которые их поддерживают. Если в вашей сети есть коммутаторы, которые не поддерживают PVLAN, тогда устройства на этом коммутаторе будут работать нормально, но смогут свободно общаться друг с другом. Некоторые коммутаторы Cisco действительно поддерживают магистрали PVLAN, поэтому вы можете подключить коммутатор, не поддерживающий PVLAN, и он сможет получить доступ только к вашим случайным или групповым портам на вашем коммутаторе Cisco. Имейте в виду, что сети PVLAN защищают только на уровне 2, и что ваш маршрутизатор также должен быть настроен для блокировки связи внутри подсети.