Entendendo os filtros de firewall de saída com PVLANs
Se você aplicar filtros de firewall em VLANs privadas na direção de saída, o comportamento dos filtros pode ser inesperado. Este tópico explica como os filtros de saída se comportam quando aplicados a VLANs privadas.
Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro também se aplica às VLANs secundárias que são membros da VLAN primária quando o tráfego se egressa com a tag VLAN primária ou tag VLAN isolada, conforme listado abaixo:
Tráfego encaminhado de uma porta-tronco VLAN secundária para uma porta promíscua (tronco ou acesso)
Tráfego encaminhado de uma porta-tronco VLAN secundária para uma porta-tronco PVLAN.
Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta de tronco de VLAN secundária
Tráfego encaminhado a partir de uma porta-tronco PVLAN. a uma porta-tronco VLAN secundária
Tráfego encaminhado de uma porta da comunidade para uma porta promíscua (tronco ou acesso)
Se você aplicar um filtro de firewall na direção de saída a uma VLAN primária, o filtro não se aplica ao tráfego que se egressa com uma tag VLAN da comunidade, conforme listado abaixo:
Tráfego encaminhado de uma porta de tronco da comunidade para uma porta-tronco PVLAN
Tráfego encaminhado de uma porta promíscua (tronco ou acesso) para uma porta de tronco da comunidade
Tráfego encaminhado a partir de uma porta-tronco PVLAN. a uma porta de tronco da comunidade
Se você aplicar um filtro de firewall na direção de saída a uma VLAN da comunidade, os seguintes comportamentos se aplicam:
O filtro é aplicado ao tráfego encaminhado de uma porta promíscua (tronco ou acesso) a uma porta de tronco da comunidade (porque o tráfego se egressa com a tag VLAN da comunidade).
O filtro é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta-tronco PVLAN (porque o tráfego se egressa com a tag VLAN da comunidade).
O filtro não é aplicado ao tráfego encaminhado de uma porta da comunidade para uma porta promíscua (porque o tráfego se egressa com a tag VLAN primária ou não conectado).