Cisco Systems WSC2960XR48FPSI Manual De Usuario

• Configure selected interfaces connected to end stations as isolated ports to prevent any communication

at Layer 2. For example, if the end stations are servers, this configuration prevents Layer 2 communication
between the servers.

• Configure interfaces connected to default gateways and selected end stations (for example, backup

servers) as promiscuous ports to allow all end stations access to a default gateway.

You can extend private VLANs across multiple devices by trunking the primary, isolated, and community
VLANs to other devices that support private VLANs. To maintain the security of your private VLAN
configuration and to avoid other use of the VLANs configured as private VLANs, configure private VLANs
on all intermediate devices, including devices that have no private VLAN ports.

Assigning a separate VLAN to each customer creates an inefficient IP addressing scheme:

• Assigning a block of addresses to a customer VLAN can result in unused IP addresses.

• If the number of devices in the VLAN increases, the number of assigned address might not be large

enough to accommodate them.

These problems are reduced by using private VLANs, where all members in the private VLAN share a common
address space, which is allocated to the primary VLAN. Hosts are connected to secondary VLANs, and the
DHCP server assigns them IP addresses from the block of addresses allocated to the primary VLAN. Subsequent
IP addresses can be assigned to customer devices in different secondary VLANs, but in the same primary
VLAN. When new devices are added, the DHCP server assigns them the next available address from a large
pool of subnet addresses.

As with regular VLANs, private VLANs can span multiple switches. A trunk port carries the primary VLAN
and secondary VLANs to a neighboring switch. The trunk port treats the private VLAN as any other VLAN.