Alex_TTT Опубликовано 12 сентября, 2017 · Жалоба Всем доброго дня ! Вопрос адресован к спецам по циско, для того чтобы юзать PVLAN в доках пишут нужно юзать vtp домен, а возможно ли это делать без vtp, колличество vlan у меня не большое. Хочется настроить так чтобы ограничивать общение хостов на втором уровне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 12 сентября, 2017 · Жалоба 2 часа назад, Alex_net сказал: Всем доброго дня ! Вопрос адресован к спецам по циско, для того чтобы юзать PVLAN в доках пишут нужно юзать vtp домен, а возможно ли это делать без vtp, колличество vlan у меня не большое. Хочется настроить так чтобы ограничивать общение хостов на втором уровне. Ограничивать в плане урезать права или ограничивать в плане исключить полностью. Если второе то, используйте VLAN на коммутатор и switchport protected. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 12 сентября, 2017 · Жалоба PVLAN не требует VTP для работы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_TTT Опубликовано 12 сентября, 2017 · Жалоба 31 минуту назад, Chrst сказал: Ограничивать в плане урезать права или ограничивать в плане исключить полностью. Если второе то, используйте VLAN на коммутатор и switchport protected. схема примерно такая есть vlan - сервер и сетка с диапазоном айпишников. В сети есть контроллеры которые работают по своим протоколам, я хочу поместить их в влан, но сделать так, чтобы контроллеры могли общаться только с сервером, то есть сделать изолированные порты (связь контроллер-сервер и все в рамка в этой сети, чтобы минимизировать широковещательный и тому подобный трафик), но чтобы к серверу был доступ из vlan управления. Вот и PVLAN для таких целей подходит, но в описании пишут (http://telecombook.ru/archive/network/cisco/directory/67-private-vlan), чтобы он работал коммутатор должен быть в транспарент режиме, а мне VTP не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 12 сентября, 2017 · Жалоба vtp transparent = выключение vtp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 12 сентября, 2017 · Жалоба Если у вас IOS > 15 можете включить VTP version 3 - в нем есть vtp mode off. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_TTT Опубликовано 12 сентября, 2017 · Жалоба 2 часа назад, v_r сказал: Если у вас IOS > 15 можете включить VTP version 3 - в нем есть vtp mode off. то есть алгоритм такой 1 настроить на коммутаторах VTP v3 2. Настроить VLAN обычные 3 Настроить PVLAN и добавлять туда порты которые мне нужно. 4. По итогу у меня будет vlan маршрутизация (то есть сервер будет иметь взаимодействие с другим хостом из другого влана ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 12 сентября, 2017 · Жалоба 4. По итогу у вас будет связь изолированных портов с сервером, а связи между изолированными портами не будет. Маршрутизация здесь не при чем, ни в одном сообщении IP-адреса не упоминались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_TTT Опубликовано 12 сентября, 2017 (изменено) · Жалоба 26 минут назад, v_r сказал: 4. По итогу у вас будет связь изолированных портов с сервером, а связи между изолированными портами не будет. Маршрутизация здесь не при чем, ни в одном сообщении IP-адреса не упоминались. А сервер с айпишниками из другого влана сможет общаться или нет ? Или у меня получится чисто изолированный сервер и устройства, но насколько я понял порт сервера можно установить в таком режиме что связь будет и с другими хостами по IP. Изменено 12 сентября, 2017 пользователем Alex_net Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 12 сентября, 2017 · Жалоба Получится изолированный сервер и устройства. Чтобы была связь между двумя серверами понадобятся дополнительные настройки. Описаний и примеров в сети масса, например вот. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 13 сентября, 2017 · Жалоба я так понимаю, что у сервера будет несколько сетевых интерфейсов (виртуальных, количеством равным кол-ву VLAN которые вы ему отдадите со свитча), и соответственно, каждый из этих отдельных интерфейсов вы можете настроить как вам нужно (IP, mask, etc...) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_TTT Опубликовано 13 сентября, 2017 · Жалоба Всем спасибо! v_r -спасибо за ссылочку буду тестировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_TTT Опубликовано 13 сентября, 2017 · Жалоба Всем спасибо! v_r -спасибо за ссылочку буду тестировать. На моем коммутаторе не поднять PVLAN, но есть switchport protected. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 13 сентября, 2017 · Жалоба Вам guеst правильно посоветовал, функционал можно реализовать средствами маршрутизации поделив сеть на виланы, в таком случае L2 фичи свитча типа pvlan, switchport protected не понадобятся, и главное схема будет работать на всех управляемых свитчах понимающих виланы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_TTT Опубликовано 13 сентября, 2017 · Жалоба 5 часов назад, v_r сказал: Вам guеst правильно посоветовал, функционал можно реализовать средствами маршрутизации поделив сеть на виланы, в таком случае L2 фичи свитча типа pvlan, switchport protected не понадобятся, и главное схема будет работать на всех управляемых свитчах понимающих виланы. интерфейс у сервера один Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 14 сентября, 2017 (изменено) · Жалоба Alex_net , большинство сегодня актуальных серверных ОС (windows, linux, bsd и т.д.) прекрасно умеют работать 1 физическим интерфейсом с поданным на него со свитча тэгированным (trunk) потоком, терминируя его потом на нужное кол-во виртуальных интерфейсов. При этом если на сервере не будет активирован форвардинг, тогда то что находится в отдельных vlan будет видеть только этот сервер и не будет знать о других vlan. У вас конкретно какая ОС на сервере? Изменено 14 сентября, 2017 пользователем guеst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...