alex_u-94 Posted September 18, 2018 · Report post Добрый день, подскажите оптимальный способ изоляции портов в приделах одного VLAN. Конструкция с PVLAN рабочая, но крайне громоздкая и приводит к перерасходу VLAN. Искомый результат (абстрактный пример): три порта (1, 2, 3), в каждом по три VLAN (10, 11, 12). - Порт №1 разрешено прохождение трафика во всех VLAN между всеми портами портах. - Порт №2 и №3 разрешено прохождение трафика через порт №1 во всех VLAN. - Порт №2 и №3 разрешено прохождение трафика в VLAN10 через любой порт. - Порт №2 и №3 запрещено прохождение трафика в VLAN 11 и 12 между этими портами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted September 18, 2018 · Report post @alex_u-94, добрый! Можно воспользоваться функционалом isolate-port group в пределах упомянутых вланов: vlan 11 isolate-port group p2,3_v11 switchport interface Ethernet1/0/3 isolate-port group p2,3_v11 switchport interface Ethernet1/0/2 ! vlan 12 isolate-port group p2,3_v12 switchport interface Ethernet1/0/3 isolate-port group p2,3_v12 switchport interface Ethernet1/0/2 ! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_u-94 Posted September 18, 2018 · Report post Спасибо, думал что isolate-port group можно применить только для изоляции физ портов друг от друга. Не внимательно читал мануал наверно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_u-94 Posted September 25, 2018 · Report post @Victor Tkachenko Подскажите, а в случае если производится трансляция нескольких VLAN в один и есть необходимость запретить хождение трафика между транслируемыми VLAN, есть способ сделать изоляцию в рамках одного физ порта без использования PVLAN? Interface Ethernet1/0/52 vlan-translation n-to-1 2001;2003 to 2 switchport mode trunk switchport trunk allowed vlan 2;2000-2003 При такой конфигурации узлы из всех трех VLAN свободно обмениваются трафиком друг с другом. Искомый результат: узлы из 2001 и 2003 VLAN свободно обмениваются трафиком с узлами в VLAN 2, но не могут обмениваться трафиком между собой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted September 26, 2018 · Report post @alex_u-94, не понятна данная схема. 1) С такой конфигурацией порта трансляция будет односторонней. 2) Кадр, принятый некоторым портом, не может быть отправлен обратно в него же, даже при трансляции vlan. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_u-94 Posted September 26, 2018 · Report post @Victor Tkachenko , теперь я запутался) Мануал предлагает только один способ трансляции vlan-translation n-to-1 Command: vlan-translation n-to-1 "WORD" to "new-vlan-id" Скрытый текст на других коммутаторах порты на которых требуется трансляция настроены так: Свич№1 Interface Ethernet1/0/1 storm-control broadcast kbps 128 vlan-translation enable vlan-translation 2 to 2001 in vlan-translation 2001 to 2 out switchport mode trunk switchport trunk allowed vlan 2;2001 switchport trunk native vlan 10 loopback-detection specified-vlan 2 loopback-detection control shutdown Свич№2 Interface Ethernet1/0/1 storm-control broadcast kbps 128 vlan-translation enable vlan-translation 2 to 2002 in vlan-translation 2002 to 2 out switchport mode trunk switchport trunk allowed vlan 2;2002 switchport trunk native vlan 10 loopback-detection specified-vlan 2 loopback-detection control shutdown Свич№3 Interface Ethernet1/0/1 storm-control broadcast kbps 128 vlan-translation enable vlan-translation 2 to 2003 in vlan-translation 2003 to 2 out switchport mode trunk switchport trunk allowed vlan 2;2003 switchport trunk native vlan 10 loopback-detection specified-vlan 2 loopback-detection control shutdown Порты смотрящие в строну центрального свича, где делается vlan-translation n-to-1 настроены транками и в каждый добавлены только нужные VLAN С такой конструкцией у меня узлы со всех 3 свичей находящиеся за портами с трансляцией, беспрепятственно видят друг друга и обмениваются трафиком. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted September 26, 2018 · Report post @alex_u-94, стоит воспользоваться изоляцией портов, либо решить задачу на L3. Такими трансляциями вы лишь объедините все вланы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex_u-94 Posted September 26, 2018 · Report post @Victor Tkachenko , подскажите сколько private-vlan поддерживается на порт? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Victor Tkachenko Posted September 27, 2018 · Report post @alex_u-94, все private-vlan должны назначаться на порт как access, соответственно на один порт может быть задан один primary/community/isolated vlan. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...