alex_u-94 Posted September 10, 2018 · Report post Требуется помощь в выборе оптимального решения по изоляции портов на коммутаторе. Сабжем планируется заменить свич на агрегации в центре звезды. На каждый сервис свой vlan, соответственно в два десятка портов уходит стопка одних и тех же вланов. Разрешить бесконтрольное хождение трафика между лучами звезды нельзя. Сейчас изоляция выполнена максимально просто - при помощи isolate-port group и это решение полностью устраивает. Изучение мануала и консоли к просветлению не привели... Заранее благодарен за любые идеи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 10, 2018 · Report post 36 минут назад, alex_u-94 сказал: при помощи isolate-port group и это решение полностью устраивает И? Если у вас звезда, то ничего лучше изоляции портов нет. Ее можно только дополнить lbd, storm-control, dlf и прочими функциями, если они есть и не грузят CPU. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dignity Posted September 10, 2018 · Report post Честно говоря, описано непонятно. Не до конца ясно, чем обычные VLAN-ы не угодили? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 10, 2018 · Report post Так VLAN не на порт/ветку, а на сервис, поэтому одни и те же VLAN есть во всех портах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_u-94 Posted September 10, 2018 · Report post 1 час назад, alibek сказал: И? Если у вас звезда, то ничего лучше изоляции портов нет. Ее можно только дополнить lbd, storm-control, dlf и прочими функциями, если они есть и не грузят CPU. Сейчас в центре стоит SNR и у него есть isolate-port group, его заменим на Force10... не нашел я у него такого функционала ( 1 час назад, dignity сказал: Честно говоря, описано непонятно. Не до конца ясно, чем обычные VLAN-ы не угодили? @alibek все верно написал, список VLAN в каждый порт одинаковый. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted September 10, 2018 · Report post 14 минут назад, alex_u-94 сказал: не нашел я у него такого функционала Он может называться по другому. Например port-protect. Судя по документации, изоляция делается через switchport protected или через PVLAN. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_u-94 Posted September 10, 2018 · Report post Вывод Dell(conf)#? Все такое "вкусное", что глаза разбегаются от того куда копать... Скрытый текст aaa Authentication, Authorization and Accounting acl-vlan-group Create an acl vlan group arp Set a static ARP entry asf-mode Enable Cut-Thru Mode banner Define a login banner bfd Configure BFD protocol boot Modify system boot parameters bpdu-destination-mac-address Use Provider Bridge Address for xStp/Gvrp buffer-profile Configure buffer-carving profile cam-acl Configure CAM ACL cam-acl-egress Configure Egress CAM ACL cam-acl-vlan Configure Vlan CAM ACL cam-audit Configure CAM auditing parameters cam-optimization Optimize Cam utilization class-map Configure Class Map for QoS clock Configure time-of-day clock configuration Enables exclusive configuration mode control-plane-cpuqos Control plane CPU Qos configuration crypto SSH key, IPSec policy and X509 configuration dcb Data Center Bridging dcb-buffer-threshold Configure DCB buffer profile dcb-map Configure DCB MAP dcb-policy Configure DCB policy default Set a command to its default default-vlan Change flooding on default vlan define Interface range macro definition dei Configure DEI dot1x Configure 802.1x ecmp-group ECMP group configuration enable Modify enable parameters end Exit from configuration mode environment Configure Environment related paramenters ethernet Ethernet options eula-consent End User License Agreement consent selection exit Exit from configuration mode feature Feature enable options fefd-global Enable FEFD globally fips FIPS Configuration fip-snooping FIP snooping options ftp-server FTP configuration subcommands garp Configure GARP parameters hardware Define hardware settings and actions on hardware events hash-algorithm Hash algorithm command hostname Set system's network name http-server Configure the HTTP server hypervisor Configure the hypervisor to perform VSN interface Select an interface to configure ip Global IP configuration subcommands ipv6 Global IPv6 configuration subcommands iscsi Enable iSCSI Optimizations lacp Configure LACP line Configure a terminal line link-bundle-distribution Configure link-bundle load-balance Global traffic load-balance configuration logging Modify message logging facilities login Configure login statistics, concurrent-session settings mac Global MAC configuration subcommands mac-address-table Mac Address Table Configuration Subcommands management Create a management crypto or route, etc monitor Monitor monitored ports mount Mount target directory no Reset a command ntp Configure NTP openflow Add OpenFlow configurations password-attributes Configure password attributes policy-map-input Configure input QoS policy map policy-map-output Configure output QoS policy map port-channel Configure port-channel group parameters privilege Command privilege parameters protocol Select a protocol to configure protocol-tunnel Configure protocol tunneling qos QoS configuration qos-policy-input Configure input QoS policy qos-policy-output Configure output QoS policy qos-rate-adjust Configure the number of bytes added to each frame for rate policing/shaping radius-server Set up RADIUS server redundancy Set up stack-unit redundancy configuration reload-type Enter reload-type submode rest-server REST programmable interface rmon Configure RMON alarm/event tables route-map Create route-map or enter route-map command mode router Enable a routing process script Start or stop a script service Service selected component service-class Define service class to policy based QoS/Routing mapping sflow sFlow configuration snmp Modify SNMP parameters snmp-server Modify SNMP parameters stack-unit Configure stack-unit storm-control Configure storm-control strict-priority Configure a Queue as a strict priority queue support-assist SupportAssist service switch Set resource limits for script execution tacacs-server Set up TACACS+ server track Configure object tracking uplink-state-group Uplink state group creation and configurations username Establish user name authentication userrole Add user role util-threshold Cpu or memory utilization configurations virtual-ip Virtual IP address vlan-stack Vlan-stack command vlt Enable Virtual Link Trunk wred-profile Create a WRED profile Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_u-94 Posted September 10, 2018 · Report post 23 минуты назад, alibek сказал: Он может называться по другому. Например port-protect. Судя по документации, изоляция делается через switchport protected или через PVLAN. PVLAN - смотрел, но есть подозрение что сильно зависит от процессора и скорее всего может в какой то момент удивить. switchport protected - упоминается в мануале всего один раз в примере SFTOS Example Running-Configuration. Не совсем понятно как оно работает.. но я пожалуй попробую поставить эксперимент ) @alibek Спасибо за мысль Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted September 10, 2018 · Report post 18 minutes ago, alex_u-94 said: Вывод Dell(conf)# В контекте порта вывод смотреть надо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_u-94 Posted September 10, 2018 · Report post 2 минуты назад, andryas сказал: В контекте порта вывод смотреть надо Скрытый текст Dell(conf-if-te-0/1)#? arp Set ARP information bfd Set BFD parameters dampening Interface dampening dcb Configure DCB mode dcb-map Configure DCB Map dcb-policy Configure DCB policy dei Configure drop eligible indicator description Interface description(max length 240) dot1p-priority IEEE 802.1p/Q priority level dot1x Configure 802.1x end Exit from configuration mode ethernet Ethernet Interface Parameters exit Exit from interface configuration mode fefd Enable FEFD for selected interface fip-snooping FIP snooping options flowcontrol Enable Flow control gvrp Interface GVRP config subcommands ip Interface IP config subcommands ipv6 Interface IPV6 config subcommands iscsi Apply auto-configuration for Compellent Device isis IS-IS commands keepalive Enable keepalive mac Interface MAC config subcommands mtu Configure interface link MTU negotiation Select autonegotiation mode no Negate a command or set its defaults ntp Configure NTP of-instance Configure interface in openflow instance pfc Configure PFC port-channel-protocol Configure port channel protocol on the selected interface portmode Enable port mode on the port protocol Configure a protocol qos Quality of Service rate Configure rate control rate-interval Configure interface rate interval rmon Configures RMON ether statistics/history collection. service-class Define service class to policy based QoS/Routing mapping service-policy Configure QoS service policy sflow sFlow configuration show Show interface configuration information shutdown Shutdown the selected interface snmp Modify SNMP interface parameters spanning-tree Interface Spanning Tree config subcommand speed Interface speed parameter storm-control Configure storm-control switchport Set the selected interface into switchport mode vlan-stack Add vlan-stacking-compatibility on interface vrrp VRRP commands vrrp-group Select a VRRP IPv4 group to configure vrrp-ipv6-group Select a VRRP IPv6 group to configure vsn Interface VSN config subcommands wavelength Interface wavelength parameter Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted September 10, 2018 · Report post обычно switchport protected 1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_u-94 Posted September 10, 2018 · Report post 13 минут назад, andryas сказал: обычно switchport protected 1 если не включить глобально STP и его не настроить, он даже синтаксиса такого не признает... и функция эта используется для размыкания петли... то есть в моем случае получается весьма странная конструкция Скрытый текст Dell(conf-if-te-0/1)#switchport ? backup Backup interface mode Interface mode <cr> Dell(conf-if-te-0/1)#switchport mode ? private-vlan Private Vlan mode Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...