Jump to content
Калькуляторы

S2990G Изоляция портов в пределах одного VLAN

Добрый день, подскажите оптимальный способ изоляции портов в приделах одного VLAN. 

Конструкция с PVLAN рабочая, но крайне громоздкая и приводит к перерасходу VLAN.

 

Искомый результат (абстрактный пример): три порта (1, 2, 3), в каждом по три VLAN (10, 11, 12).

- Порт №1 разрешено прохождение трафика во всех VLAN между всеми портами портах. 

- Порт №2 и №3 разрешено прохождение трафика через порт №1 во всех VLAN. 

- Порт №2 и №3 разрешено прохождение трафика в VLAN10 через любой порт.

- Порт №2 и №3 запрещено прохождение трафика в VLAN 11 и 12 между этими портами.

Share this post


Link to post
Share on other sites

@alex_u-94, добрый!

Можно воспользоваться функционалом isolate-port group в пределах упомянутых вланов:

vlan 11
 isolate-port group p2,3_v11 switchport interface Ethernet1/0/3
 isolate-port group p2,3_v11 switchport interface Ethernet1/0/2
!
vlan 12
 isolate-port group p2,3_v12 switchport interface Ethernet1/0/3
 isolate-port group p2,3_v12 switchport interface Ethernet1/0/2
!

 

Share this post


Link to post
Share on other sites

Спасибо, думал что isolate-port group можно применить только для изоляции физ портов друг от друга. Не внимательно читал мануал наверно.

Share this post


Link to post
Share on other sites

@Victor Tkachenko  Подскажите, а в случае если производится трансляция нескольких VLAN в один и есть необходимость запретить хождение трафика между транслируемыми VLAN, есть способ сделать изоляцию в рамках одного физ порта без использования PVLAN?  

 

Interface Ethernet1/0/52
 vlan-translation n-to-1 2001;2003 to 2
 switchport mode trunk
 switchport trunk allowed vlan 2;2000-2003 
 

При такой конфигурации узлы из всех трех VLAN свободно обмениваются трафиком друг с другом.

Искомый результат: узлы из 2001 и 2003 VLAN свободно обмениваются трафиком с узлами в VLAN 2, но не могут обмениваться трафиком между собой.

Share this post


Link to post
Share on other sites

@alex_u-94, не понятна данная схема.

1) С такой конфигурацией порта трансляция будет односторонней.

2) Кадр, принятый некоторым портом, не может быть отправлен обратно в него же, даже при трансляции vlan.

Share this post


Link to post
Share on other sites

@Victor Tkachenko , теперь я запутался) 

Мануал предлагает только один способ трансляции vlan-translation n-to-1 

Command: vlan-translation n-to-1 "WORD" to "new-vlan-id"


 

Скрытый текст

 

на других коммутаторах порты на которых требуется трансляция настроены так:

 

Свич№1

Interface Ethernet1/0/1
 storm-control broadcast kbps 128
 vlan-translation enable
 vlan-translation 2 to 2001 in
 vlan-translation 2001 to 2 out
 switchport mode trunk
 switchport trunk allowed vlan 2;2001 
 switchport trunk native vlan 10
 loopback-detection specified-vlan 2
 loopback-detection control shutdown

 

Свич№2

Interface Ethernet1/0/1
 storm-control broadcast kbps 128
 vlan-translation enable
 vlan-translation 2 to 2002 in
 vlan-translation 2002 to 2 out
 switchport mode trunk
 switchport trunk allowed vlan 2;2002 
 switchport trunk native vlan 10
 loopback-detection specified-vlan 2
 loopback-detection control shutdown

 

Свич№3

Interface Ethernet1/0/1
 storm-control broadcast kbps 128
 vlan-translation enable
 vlan-translation 2 to 2003 in
 vlan-translation 2003 to 2 out
 switchport mode trunk
 switchport trunk allowed vlan 2;2003 
 switchport trunk native vlan 10
 loopback-detection specified-vlan 2
 loopback-detection control shutdown
 

Порты смотрящие в строну центрального свича, где делается  vlan-translation n-to-1 настроены транками и в каждый добавлены только нужные VLAN

 

С такой конструкцией у меня узлы со всех 3 свичей находящиеся за портами с трансляцией, беспрепятственно видят друг друга и обмениваются трафиком.


 

 

Share this post


Link to post
Share on other sites

@alex_u-94, стоит воспользоваться изоляцией портов, либо решить задачу на L3. Такими трансляциями вы лишь объедините все вланы.

Share this post


Link to post
Share on other sites

@alex_u-94, все private-vlan должны назначаться на порт как access, соответственно на один порт может быть задан один primary/community/isolated vlan.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.