Скажите пожалуйста, если я на двух коммутаторах DGS-3200-10 создам одинаковые Private VLAN'ы и соединю "транком" два свича, например как в примере:
то компьютеры из соседних коммутаторов в Isolated VLAN 20 друг с другом будут напрямую общаться или нет?

внутри одного свича они общаться не должны...

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

А traffic_segmentation не спасет отца русской демократии?
Задача ведь состоит в том, чтобы запретить хостам из одного вилана общаться в пределах одного свича, но разрешить общение с хостами на другом свиче,

_________________
не важно, из какого места растут золотые руки

как раз интеренсно чтобы "рядовые" компьютеры внутри одного влана не могли общаться друг с другом находясь даже на разных коммутаторах

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

Провёл некоторые испытания.
Два свича DGS-3200-10 соединены портами номер 2 между собой
Private VLAN 100
------------------
Promiscuous Ports: 1
Trunk Ports : 2,3
Isolated Ports : 4-5 Isolated VLAN : 20
Community Ports : 6-8 Community VLAN: 30
Community Ports : 9-10 Community VLAN: 40

Вся схема с private vlan'ами работает, за исключением случая, когда в порт 3 (теггерированый порт) воткнут клиент, например когда компьютер в этот 100 влан отправляет пакеты получателем которых должен быть VLAN 20,30,40 (в самом влане 100 пакеты бегают успешно), при чём если я в ручную на компьютере засуну себя в например 30 влан, то до клиентов в 30 влане я смогу достучаться (хотя это по меньшей мере странно), но до кликента в Promiscuous Ports 1 всё равно не смогу отправить пакеты. Банально теггерированый порт не может общаться равноценно как Promiscuous порт.

как быть с private vlan'ами, если нужен вариант когда компьютер отправляет уже теггерированые пакеты в Private VLAN 100?

зы. огромное кол-во глюков, особенно с PVID'ами когда порт побыл в одном из second-vlan'е, потом при попытке прописать PVID на порту получаешь Fail, сбрасываешь конфиг, загружаешь из файла конфиг и отображается правильно PVID для портов в обычных вланах
да и потеря всякого управления свичом когда "задеваешь" нетеггерированый порт в managment-влане, не дай бог назначить second-влану нетеггерированый порт managment vlan'а

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)

Не знаю, но мне кажется, что схема traffic_segmentation+ACL будет более простая и универсальная.
traffic_segmentation - запретит общение в пределах одного свича;
ACL - запретит кому не надо или разрешит кому надо ходить на какие надо порты - для тех, кто сидит на разных свичах.

_________________
не важно, из какого места растут золотые руки