[Alex_TTT]

Всем доброго дня !

 

Вопрос адресован к спецам по циско, для того чтобы юзать PVLAN в доках пишут нужно юзать vtp домен, а возможно ли это делать без vtp, колличество vlan у меня не большое. Хочется настроить так чтобы ограничивать общение хостов на втором уровне.

[Chrst]

2 часа назад, Alex_net сказал:

Всем доброго дня !

 

Вопрос адресован к спецам по циско, для того чтобы юзать PVLAN в доках пишут нужно юзать vtp домен, а возможно ли это делать без vtp, колличество vlan у меня не большое. Хочется настроить так чтобы ограничивать общение хостов на втором уровне.

Ограничивать в плане урезать права или ограничивать в плане исключить полностью. Если второе то, используйте VLAN на коммутатор и switchport protected.

[v_r]

PVLAN не требует VTP для работы.

[Alex_TTT]

31 минуту назад, Chrst сказал:

Ограничивать в плане урезать права или ограничивать в плане исключить полностью. Если второе то, используйте VLAN на коммутатор и switchport protected.

схема примерно такая

есть vlan - сервер и сетка с диапазоном айпишников. В сети есть контроллеры которые работают по своим протоколам,  я хочу поместить их в влан, но сделать так, чтобы контроллеры могли общаться только с сервером, то есть сделать изолированные порты (связь контроллер-сервер и все в рамка в этой сети, чтобы минимизировать широковещательный и тому подобный трафик), но чтобы к серверу был доступ из vlan управления. Вот и PVLAN для таких целей подходит, но в описании пишут (http://telecombook.ru/archive/network/cisco/directory/67-private-vlan), чтобы он работал коммутатор должен быть в транспарент режиме, а мне VTP не нужен.

[zstas]

vtp transparent = выключение vtp

[v_r]

Если у вас IOS > 15 можете включить VTP version 3 - в нем есть vtp mode off.

[Alex_TTT]

2 часа назад, v_r сказал:

Если у вас IOS > 15 можете включить VTP version 3 - в нем есть vtp mode off.

то есть алгоритм такой

1 настроить на коммутаторах VTP v3

2. Настроить VLAN обычные

3 Настроить PVLAN и добавлять туда порты которые мне нужно.

4. По итогу у меня будет vlan маршрутизация (то есть сервер будет иметь взаимодействие с другим хостом из другого влана )

[v_r]

4. По итогу у вас будет связь изолированных портов с сервером, а связи между изолированными портами не будет.
Маршрутизация здесь не при чем, ни в одном сообщении IP-адреса не упоминались.

[Alex_TTT]

26 минут назад, v_r сказал:

4. По итогу у вас будет связь изолированных портов с сервером, а связи между изолированными портами не будет.
Маршрутизация здесь не при чем, ни в одном сообщении IP-адреса не упоминались.

А сервер с айпишниками из другого влана сможет общаться или нет ? Или у меня получится чисто изолированный сервер и устройства, но насколько я понял порт сервера можно установить в таком режиме что связь будет и с другими хостами по IP.

Изменено 12 сентября, 2017 пользователем Alex_net

[v_r]

Получится изолированный сервер и устройства. Чтобы была связь между двумя серверами понадобятся дополнительные настройки. 

Описаний и примеров в сети масса, например вот.

[guеst]

я так понимаю, что у сервера будет несколько сетевых интерфейсов (виртуальных, количеством равным кол-ву VLAN которые вы ему отдадите со свитча), и соответственно, каждый из этих отдельных интерфейсов вы можете настроить как вам нужно (IP, mask, etc...)

[Alex_TTT]

Всем спасибо!

v_r -спасибо  за ссылочку

 

буду тестировать.

[Alex_TTT]

Всем спасибо!

v_r -спасибо  за ссылочку

 

буду тестировать.

 

На моем коммутаторе не поднять PVLAN, но есть switchport protected.

[v_r]

Вам guеst правильно посоветовал, функционал можно реализовать средствами маршрутизации поделив сеть на виланы, в таком случае L2 фичи свитча типа pvlan, switchport protected не понадобятся, и главное схема будет работать на всех управляемых свитчах понимающих виланы.

[Alex_TTT]

5 часов назад, v_r сказал:

Вам guеst правильно посоветовал, функционал можно реализовать средствами маршрутизации поделив сеть на виланы, в таком случае L2 фичи свитча типа pvlan, switchport protected не понадобятся, и главное схема будет работать на всех управляемых свитчах понимающих виланы.

интерфейс у сервера  один 

[guеst]

Alex_net , большинство сегодня актуальных серверных ОС (windows, linux, bsd и т.д.) прекрасно умеют работать 1 физическим интерфейсом с поданным на него со свитча тэгированным (trunk) потоком, терминируя его потом на нужное кол-во виртуальных интерфейсов. При этом если на сервере не будет активирован форвардинг, тогда то что находится в отдельных vlan будет видеть только этот сервер и не будет знать о других vlan.

У вас конкретно какая ОС на сервере?

Изменено 14 сентября, 2017 пользователем guеst