這樣一些情況,PC之間不允許通信,但所有PC允許與某一服務器或網關通信,拓撲如下圖示:
實現如上的功能,使用基於MAC地址的訪問控制可以實現,但是,操作起來比較繁瑣。此時,我們可以使用私有VLAN來實現如上功能:
1、將連接服務器和路由器的交換機接口放置到VLAN 10中,設置VLAN 10爲主VLAN:
- switch(Config)#vlan 10
- switch(Config-Vlan10)#private-vlan primary
2、將PC所在的接口放置到VLAN 20中,設置其爲隔離VLAN:
- switch(Config)#vlan 20
- switch(Config-Vlan20)#private-vlan isolated
3、在主VLAN 10中聯合隔離VLAN 20,以便VLAN 10內接口可以和VLAN 20內接口通信:
- switch(Config-Vlan10)#private-vlan association 20
4、安裝如上圖的IP配置,即可實現PC間不可通信,PC與網關和服務器可以通信。