[alex_u-94]

Добрый день, подскажите оптимальный способ изоляции портов в приделах одного VLAN. 

Конструкция с PVLAN рабочая, но крайне громоздкая и приводит к перерасходу VLAN.

 

Искомый результат (абстрактный пример): три порта (1, 2, 3), в каждом по три VLAN (10, 11, 12).

- Порт №1 разрешено прохождение трафика во всех VLAN между всеми портами портах. 

- Порт №2 и №3 разрешено прохождение трафика через порт №1 во всех VLAN. 

- Порт №2 и №3 разрешено прохождение трафика в VLAN10 через любой порт.

- Порт №2 и №3 запрещено прохождение трафика в VLAN 11 и 12 между этими портами.

[Victor Tkachenko]

@alex_u-94, добрый!

Можно воспользоваться функционалом isolate-port group в пределах упомянутых вланов:

vlan 11
 isolate-port group p2,3_v11 switchport interface Ethernet1/0/3
 isolate-port group p2,3_v11 switchport interface Ethernet1/0/2
!
vlan 12
 isolate-port group p2,3_v12 switchport interface Ethernet1/0/3
 isolate-port group p2,3_v12 switchport interface Ethernet1/0/2
!

 

[alex_u-94]

Спасибо, думал что isolate-port group можно применить только для изоляции физ портов друг от друга. Не внимательно читал мануал наверно.

[alex_u-94]

@Victor Tkachenko  Подскажите, а в случае если производится трансляция нескольких VLAN в один и есть необходимость запретить хождение трафика между транслируемыми VLAN, есть способ сделать изоляцию в рамках одного физ порта без использования PVLAN?  

 

Interface Ethernet1/0/52
 vlan-translation n-to-1 2001;2003 to 2
 switchport mode trunk
 switchport trunk allowed vlan 2;2000-2003 
 

При такой конфигурации узлы из всех трех VLAN свободно обмениваются трафиком друг с другом.

Искомый результат: узлы из 2001 и 2003 VLAN свободно обмениваются трафиком с узлами в VLAN 2, но не могут обмениваться трафиком между собой.

[Victor Tkachenko]

@alex_u-94, не понятна данная схема.

1) С такой конфигурацией порта трансляция будет односторонней.

2) Кадр, принятый некоторым портом, не может быть отправлен обратно в него же, даже при трансляции vlan.

[alex_u-94]

@Victor Tkachenko , теперь я запутался) 

Мануал предлагает только один способ трансляции vlan-translation n-to-1 

Command: vlan-translation n-to-1 "WORD" to "new-vlan-id"

 

Скрытый текст

 

на других коммутаторах порты на которых требуется трансляция настроены так:

 

Свич№1

Interface Ethernet1/0/1
 storm-control broadcast kbps 128
 vlan-translation enable
 vlan-translation 2 to 2001 in
 vlan-translation 2001 to 2 out
 switchport mode trunk
 switchport trunk allowed vlan 2;2001 
 switchport trunk native vlan 10
 loopback-detection specified-vlan 2
 loopback-detection control shutdown

 

Свич№2

Interface Ethernet1/0/1
 storm-control broadcast kbps 128
 vlan-translation enable
 vlan-translation 2 to 2002 in
 vlan-translation 2002 to 2 out
 switchport mode trunk
 switchport trunk allowed vlan 2;2002 
 switchport trunk native vlan 10
 loopback-detection specified-vlan 2
 loopback-detection control shutdown

 

Свич№3

Interface Ethernet1/0/1
 storm-control broadcast kbps 128
 vlan-translation enable
 vlan-translation 2 to 2003 in
 vlan-translation 2003 to 2 out
 switchport mode trunk
 switchport trunk allowed vlan 2;2003 
 switchport trunk native vlan 10
 loopback-detection specified-vlan 2
 loopback-detection control shutdown
 

Порты смотрящие в строну центрального свича, где делается  vlan-translation n-to-1 настроены транками и в каждый добавлены только нужные VLAN

 

С такой конструкцией у меня узлы со всех 3 свичей находящиеся за портами с трансляцией, беспрепятственно видят друг друга и обмениваются трафиком.

 

 

[Victor Tkachenko]

@alex_u-94, стоит воспользоваться изоляцией портов, либо решить задачу на L3. Такими трансляциями вы лишь объедините все вланы.

[alex_u-94]

@Victor Tkachenko , подскажите сколько private-vlan поддерживается на порт?

[Victor Tkachenko]

@alex_u-94, все private-vlan должны назначаться на порт как access, соответственно на один порт может быть задан один primary/community/isolated vlan.