有些人建议（链接在这里）您可以使用源端口过滤器。

您可以为此使用ACL，例如pvlanVLAN 99 中的 192.168.1.0/24 子网，允许联系 192.168.1.10 上的 DHCP 服务器和 192.168.1.1 上的路由器

ip access-list extended pvlan
1000 permit ip 192.168.1.0/24 192.168.1.1/32
1010 permit ip 192.168.1.1/32 192.168.1.0/24
1020 permit ip 192.168.1.0/24 192.168.1.10/32
1030 permit ip 192.168.1.10/32 192.168.1.0/24
1100 deny ip 192.168.1.0/24 192.168.1.0/24
9999 permit ip any any
exit
vlan 99 ip access-group pvlan vlan-in

这会禁止该子网内节点之间的所有 IP 流量，但进出路由器和 DHCP 服务器的流量除外，同时允许其他所有流量。

路由器并不是真正必需的，但它非常适合简单的连接测试。请注意，ACL 是从顶部和第一个匹配计数开始计算的。最后有一个隐式deny ip any any，所以你需要permit ip any any在它前面放一个来反击。

另请注意，ACL 只会终止使用过滤子网的 IP 流量。其他协议或子网不会受到影响。

源端口过滤器会丢弃来自指定源-目标端口组合的所有流量。

通过端口 1 上的交换机上行链路和 2-48 上的客户端，您可以使用

filter source-port named-filter pvlan drop 2-48
filter source-port 2-48 named-filter pvlan

访问列表配置是限制或控制 VLAN 间流量的传统方式和替代方式。引入私有 Vlan 概念以克服配置访问列表的挑战。

如果网络设置是大型网络，管理和配置访问列表很困难，这将成为网络管理员的挑战。为了克服这个挑战，思科引入了私有-Vlan 概念来限制不同Same 和不同Vlan 之间的流量。

如果设备与私有 Vlan 不兼容，则可以配置访问列表。