Всем доброго дня !

 

Вопрос адресован к спецам по циско, для того чтобы юзать PVLAN в доках пишут нужно юзать vtp домен, а возможно ли это делать без vtp, колличество vlan у меня не большое. Хочется настроить так чтобы ограничивать общение хостов на втором уровне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Alex_net сказал:

Всем доброго дня !

 

Вопрос адресован к спецам по циско, для того чтобы юзать PVLAN в доках пишут нужно юзать vtp домен, а возможно ли это делать без vtp, колличество vlan у меня не большое. Хочется настроить так чтобы ограничивать общение хостов на втором уровне.

Ограничивать в плане урезать права или ограничивать в плане исключить полностью. Если второе то, используйте VLAN на коммутатор и switchport protected.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

PVLAN не требует VTP для работы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
31 минуту назад, Chrst сказал:

Ограничивать в плане урезать права или ограничивать в плане исключить полностью. Если второе то, используйте VLAN на коммутатор и switchport protected.

схема примерно такая

есть vlan - сервер и сетка с диапазоном айпишников. В сети есть контроллеры которые работают по своим протоколам,  я хочу поместить их в влан, но сделать так, чтобы контроллеры могли общаться только с сервером, то есть сделать изолированные порты (связь контроллер-сервер и все в рамка в этой сети, чтобы минимизировать широковещательный и тому подобный трафик), но чтобы к серверу был доступ из vlan управления. Вот и PVLAN для таких целей подходит, но в описании пишут (http://telecombook.ru/archive/network/cisco/directory/67-private-vlan), чтобы он работал коммутатор должен быть в транспарент режиме, а мне VTP не нужен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

vtp transparent = выключение vtp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если у вас IOS > 15 можете включить VTP version 3 - в нем есть vtp mode off.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, v_r сказал:

Если у вас IOS > 15 можете включить VTP version 3 - в нем есть vtp mode off.

то есть алгоритм такой

1 настроить на коммутаторах VTP v3

2. Настроить VLAN обычные

3 Настроить PVLAN и добавлять туда порты которые мне нужно.

4. По итогу у меня будет vlan маршрутизация (то есть сервер будет иметь взаимодействие с другим хостом из другого влана )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

4. По итогу у вас будет связь изолированных портов с сервером, а связи между изолированными портами не будет.
Маршрутизация здесь не при чем, ни в одном сообщении IP-адреса не упоминались.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
26 минут назад, v_r сказал:

4. По итогу у вас будет связь изолированных портов с сервером, а связи между изолированными портами не будет.
Маршрутизация здесь не при чем, ни в одном сообщении IP-адреса не упоминались.

А сервер с айпишниками из другого влана сможет общаться или нет ? Или у меня получится чисто изолированный сервер и устройства, но насколько я понял порт сервера можно установить в таком режиме что связь будет и с другими хостами по IP.

Изменено пользователем Alex_net

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Получится изолированный сервер и устройства. Чтобы была связь между двумя серверами понадобятся дополнительные настройки. 

Описаний и примеров в сети масса, например вот.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я так понимаю, что у сервера будет несколько сетевых интерфейсов (виртуальных, количеством равным кол-ву VLAN которые вы ему отдадите со свитча), и соответственно, каждый из этих отдельных интерфейсов вы можете настроить как вам нужно (IP, mask, etc...)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем спасибо!

v_r -спасибо  за ссылочку

 

буду тестировать.

 

На моем коммутаторе не поднять PVLAN, но есть switchport protected.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вам guеst правильно посоветовал, функционал можно реализовать средствами маршрутизации поделив сеть на виланы, в таком случае L2 фичи свитча типа pvlan, switchport protected не понадобятся, и главное схема будет работать на всех управляемых свитчах понимающих виланы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, v_r сказал:

Вам guеst правильно посоветовал, функционал можно реализовать средствами маршрутизации поделив сеть на виланы, в таком случае L2 фичи свитча типа pvlan, switchport protected не понадобятся, и главное схема будет работать на всех управляемых свитчах понимающих виланы.

интерфейс у сервера  один 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Alex_net , большинство сегодня актуальных серверных ОС (windows, linux, bsd и т.д.) прекрасно умеют работать 1 физическим интерфейсом с поданным на него со свитча тэгированным (trunk) потоком, терминируя его потом на нужное кол-во виртуальных интерфейсов. При этом если на сервере не будет активирован форвардинг, тогда то что находится в отдельных vlan будет видеть только этот сервер и не будет знать о других vlan.

У вас конкретно какая ОС на сервере?

Изменено пользователем guеst

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти