Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Sergey Goncharov                     2:5020/400     12 Jan 2008  15:38:19
 To : All
 Subject : Cat3560 vs Private VLAN
 -------------------------------------------------------------------------------- 
 
 Доброй еды, All!
 
 Внесите ясность плз.
 Есть Catalyst 3560G-24TS-E, IOS 12.2(40)SE. Hа нем есть некий VLAN, допустим,
 VLAN10, несколько портов в нем в
 режиме access. Аплинк (dot1q транк) уходит на не-Cisco свитч (Avaya Cajun P333R,
 если это важно). В этом
 свитче есть некие ресурсы, доступные хостам в VLAN10.
 Возникла необходимость перевести VLAN10 в режим port-based, в терминологии циски
 - вроде как private vlan.
 Курю
 http://cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_40_s
 e/configuration/guide/swpvlan.
 html
 Создаю VLAN100, пишу
 ...
 vtp mode transparent
 ...
 vlan 10
   private-vlan primary
   private-vlan association 100
 !
 vlan 100
   private-vlan isolated
 ...
 interface GigabitEthernet0/13
 switchport private-vlan host-association 10 100
 switchport mode private-vlan host
 !
 interface GigabitEthernet0/14
  switchport private-vlan host-association 10 100
  switchport mode private-vlan host
 ...
 
 Конфигурацию аплинка не трогаю. Там просто
 !
 interface GigabitEthernet0/24
  switchport trunk encapsulation dot1q
  switchport trunk native vlan 11
  switchport trunk allowed vlan 10,11,12
  switchport mode trunk
 !
 
 Хосты в 13 и 14 порту перестают видеть друг друга, что правильно. TCPDump,
 запущенный на одном из этих хостов,
 видит бродкасты, прилетающие в VLAN10 с аплинка... А вот сам до ресурсов,
 расположенных за аплинком,
 достучаться не может. Как и остальные хосты в приватном VLANе. MACи этих хостов 
 в mac address-table для VLAN10
 на каталисте видно (с пометкой dynamic pv) , на кажуне - уже нет.
 Вопросов ровно два.
 1. Так и должно быть? То есть транк - неважная замена promiscuous порту?
 2. Что нужно сделать, чтобы увидеть ресурсы за пределами 3560, сохранив изоляцию
 в VLAN10 на каталисте? Плохо
 верится, что каталист этого не умеет. Ведь это можно сделать на гораздо менее
 продвинутых свитчах (навскидку -
 HP26xx и старше, D-Link 30xx, EdgeCore всех мастей, начиная с 35хх). Может,
 что-то аплинку сказать?
 
 Что HЕ предлагать :)
 - заменить кажуна на каталист;
 - перенести ресурсы с кажуна на каталист;
 - поделить VLAN10 на несколько dot1q VLAN, отказавшись от изоляции в пределах
 одного VLAN.
 - ---
 С уважением, Сергей Гончаров
 ...Daddy In Red...
 --- ifmail v.2.15dev5.4
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Cat3560 vs Private VLAN   Sergey Goncharov   12 Jan 2008 15:38:19 
 Re: Cat3560 vs Private VLAN   Sergey Goncharov   16 Jan 2008 03:16:32 
Архивное /ru.cisco/257035a2dbb43.html, оценка 3 из 5, голосов 12
Яндекс.Метрика
Valid HTML 4.01 Transitional