这样一些情况,PC之间不允许通信,但所有PC允许与某一服务器或网关通信,拓扑如下图示:

实现如上的功能,使用基于MAC地址的访问控制可以实现,但是,操作起来比较繁琐。此时,我们可以使用私有VLAN来实现如上功能:

1、将连接服务器和路由器的交换机接口放置到VLAN 10中,设置VLAN 10为主VLAN:

 

   
   
   
   
    
    
    
    
    
  1. switch(Config)#vlan 10  
    2. 
    
    
    
    
  2.  
    3. 
    
    
    
    
  3. switch(Config-Vlan10)#private-vlan primary 
    4.

 

2、将PC所在的接口放置到VLAN 20中,设置其为隔离VLAN:

 

   
   
   
   
    
    
    
    
    
  1. switch(Config)#vlan 20  
    2. 
    
    
    
    
  2.  
    3. 
    
    
    
    
  3. switch(Config-Vlan20)#private-vlan  isolated 
    4.

 

3、在主VLAN 10中联合隔离VLAN 20,以便VLAN 10内接口可以和VLAN 20内接口通信:

 

   
   
   
   
    
    
    
    
    
  1. switch(Config-Vlan10)#private-vlan association 20 
    2.

 

4、安装如上图的IP配置,即可实现PC间不可通信,PC与网关和服务器可以通信。