Jump to content
Калькуляторы

Extreme x670 PVLAN

Reply to this topic

Ivan Rostovikov   

Ivan Rostovikov
Posted

Прошу показать пальцем где я "дурак".

x670

Используется как L2 ядро.

Есть L2-VLAN, назовем его TEST. Отправляется тегированным на все порты коммутатора .

create vlan "TEST"

configure vlan TEST tag 200

configure vlan TEST add ports 1-48 tagged

Кроме него в отдельные порты так же тегированными отправляются еще несколько L2-VLAN.

 

create vlan "TEST2"

configure vlan TEST2 tag 300

configure vlan TEST2 add ports 1-10,48 tagged

...

...

...

Необходимо сделать так, что бы абоненты из TEST могли пересылать пакеты только на порт 48 и получать пакеты только с порта 48

и что бы это не касалось абонентов из TEST2 и других.

Чет не могу вкурить по мануалам как этого добиться....

Share this post

Link to post
Share on other sites

darkagent   

darkagent
Posted

Рабочий кусок конфига:

 

 

create vlan Uplink

config vlan Uplink tag XXX

config vlan Uplink add ports 48 tagged

 

create vlan Downlink

config vlan Downlink tag YYY

config vlan Downlink add ports 1-47 tagged

 

create private-vlan PVLAN

config private-vlan PVLAN add network Uplink

config private-vlan PVLAN add subscriber Downlink

 

config vlan Downlink add ports 1-47 private-vlan translated

 

если захочется разрешить взаимодействие внутри Downlink на разных портах: config private-vlan PVLAN add subscriber Downlink non-isolated

Традиционное удобство private-vlan - можно на каждый порт отдельный subscriber-vlan делать (порт 1: pvlan1 tag 101, порт 2: pvlan2 tag 102, и т.д., как пример) а с аплинка принимать все единой трубой.

Но есть и ограничение - два разных subscriber vlan нельзя повесить на один порт.

 

p.s. в вашем случае, если в влане TEST2 не требуется pvlan, он рисуется как обычный влан, в том числе и на те порты, куда подается "изолированный" тегированный влан.

Share this post

Link to post
Share on other sites

darkagent   

darkagent
Posted

не совсем. private-vlan translated - опциональный механизм

VLAN translation allows you to aggregate Layer 2 VLAN traffic from multiple clients into a single

uplink VLAN, improving VLAN scaling

 

весь фокус в том, как именно будет использоваться железка.

трансляция по сути нужна чтоб сделать возможным взаимодействие объектов в subscriber vlan с вышестоящей сетью (т.е. с тем, что находится за uplink портом), типичный пример - если ваш 670й используется для L2 агрегации и на аплинке висит L3-ядро.

Если вы поднимаете l3 для subscriber vlan непосредственно на этом 670м, то такой необходимости нет, а в определенных условиях можно вовсе отказаться от pvlan и использовать supervlan.

Share this post

Link to post
Share on other sites

Ivan Rostovikov   

Ivan Rostovikov
Posted

Подниму тему, т.к. не выходит каменный цветок....

 

 

create vlan "PV-6-Uplink"

configure vlan PV-6-Uplink tag 1006

configure vlan PV-6-Uplink add ports 48 tagged

 

 

create vlan "TEST"

configure vlan TEST tag 6

configure vlan TEST add ports 9, 47 tagged

 

create private-vlan "PVLAN-6"

configure private-vlan PVLAN-6 add network PV-6-Uplink

configure private-vlan PVLAN-6 add subscriber TEST

 

 

# configure vlan TEST add ports 9, 47 private-vlan translated

Error: Cannot add port as translate; TEST is not a Network VLAN of a private-VLAN.

Share this post

Link to post
Share on other sites

Ivan Rostovikov   

Ivan Rostovikov
Posted

2darkagent:

Попробовал по Вашим примерам. Работает, но не удобно. Приходится или сабскрайбер или нетвокр влан придумывать другой. А у меня вся сеть уже рабочая. Многое менять надо будет.

Нет ли способа изолировать порты внутри одного влана но 1 порт оставить для аплинка, при чем в том же влане ?

Share this post

Link to post
Share on other sites

man781   

man781
Posted

up`ну тему.

Такая же ситуация.

Есть настроенная сеть, есть на портах коммутатора ядра куча разных исторически сложившихся вланов, проходящих насквозь туда-сюда :)

И вот в одном влане нужно изолировать порты, оставив только аплинк неизолированным,

и не трогая трафик других вланов на этих же портах.

 

Стоял у меня на этом же месте коммутатор Zyxel XGS-4728F. Там это было элементарно сделано (без всяких трансляций вланов тупо указываешь какие порты в конкретном влане нужно изолировать, а какие нет)

Пришло время апгрейда, вместо zyxel XGS-4728F появился extreme X460.

Все взлетело. Все работает. Кроме изоляции портов в влане.

Прошу помощи, ибо свич уже в бою лопатит тысячи юзеров - боязно экспериментировать на лету.

Т.е. как я понял примеры конфига выше были с неточностями?

Или они были исправлены?

Share this post

Link to post
Share on other sites

dmvy   

dmvy
Posted

есть только глобальная изоляция порта. по vlan такой команды нет. мне инженеры extreme посоветовали только писать egress ACL, чем я и воспользовался - частично мою проблему это решило.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...