воскресенье, 3 августа 2014 г.

Конфигурация изолированных частных VLAN (PVLAN) на коммутаторах

Конфигурация изолированных частных VLAN (PVLAN) на коммутаторах.

В некоторых случаях необходимо предотвратить соединение уровня 2 (L2) между устройствами на коммутаторе, не поместив устройства в разные подсети IP. С помощью данной установки можно предотвратить потерю IP-адресов. Частные сети VLAN (PVLAN) изолируют устройства уровня 2 в одной подсети IP. Можно направить порты на коммутаторе только на конкретные порты с шлюзом по умолчанию, резервным сервером или подключенным Cisco LocalDirector.
 В данной статье описана процедура настройки изолированных сетей PVLAN на коммутаторах Cisco Catalyst с ПО Catalyst OS (CatOS) или Cisco IOS. Так же предполагается, что сеть уже существует, и с ее помощью можно установить соединение между различными портами в добавление к PVLAN. Если в наличии есть несколько коммутаторов, убедитесь, магистраль между ними функционирует правильно и позволяет работать сетям PVLAN на магистрали. Не все коммутаторы и версии программного обеспечения поддерживают частные VLAN.
 Примечание. Некоторые коммутаторы поддерживают только функцию Edge сетей PVLAN. Термин "защищенные порты" также относится в данной функции. На портах Edge сетей PVLAN есть ограничение, которое предотвращает связь с другими защищенными портами на одном коммутаторе. Однако защищенные порты на отдельных коммутаторах могут взаимодействовать друг с другом. Следует различать данную функцию с конфигурацией обычной PVLAN, которая отображена в данном статье. 

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения.
  • Коммутатор Catalyst 4003 с модулем управления 2, который использует CatOS версии 6.3(5)
  • Коммутатор Catalyst 4006 с модулем управления 3, который использует ПО Cisco IOS версии 12.1(12c)EW1
Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Теоретические сведения

PVLAN – это VLAN с конфигурацией для изоляции уровня 2 от других портов с таким же доменом широковещательной рассылки или подсетью. Можно назначить особый набор портов в PVLAN и таким образом контролировать доступ к портам на уровне 2. А также можно настроить сети PVLAN и обычные VLAN на одном коммутаторе.
Существует три типа портов PVLAN: случайный, изолированный и общий.
  • Случайный порт взаимодействует с другими портами PVLAN. Изолированный порт – это порт, который используют для взаимодействия с внешними маршрутизаторами, LocalDirectors, устройствами управления сетью, резервными серверами, административными рабочими станциями и другими устройствами. На других коммутаторах порт для модуля маршрутизатора (например плата многоуровневой коммутации [MSFC]) должен быть случайным.
  • На изолированном порте есть полное разделение уровня 2 от других портов с такой же PVLAN. Данное разделение содержит широковещательные рассылки. Исключением является только случайный порт. Разрешение конфиденциальности на уровне 2 присутствует в блоке исходящего трафика ко всем изолированным портам. Трафик, приходящий из изолированного порта, направляется только на все изолированные порты.
  • Общие порты могут взаимодействовать друг с другом и со случайными портами. У данных портов есть изоляция уровня 2 от других портов в других сообществах или от изолированных портов в сети PVLAN. Рассылки распространяются только между связанными портами сообщества и разнородными портами.

Правила и ограничения

  • PVLAN не могут включать в себя сети VLAN 1 или 1002-1005.
  • Необходимо установить режим протокола VTP на transparent.
  • Можно только задать одну изолированную VLAN для основной VLAN.
  • Можно только назначить VLAN в качестве PVLAN, если у данной VLAN есть назначения текущих портов доступа. Удалите порты в данной сети VLAN перед преобразованием VLAN в PVLAN.
  • Не настраивайте порты PVLAN как EtherChannels.
  • Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 Fast Ethernet ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL (ASIC) представляет собой следующее.
    • Магистраль
    • Назначение анализатора коммутируемого порта (SPAN)
    • лучайный порт PVLAN
    В следующей таблице отображен диапазон портов, которые относятся к одной ASIC на модулях Catalyst 6500/6000 FastEthernet.
Модуль 
Порты по ASIC 
WS-X6224-100FX-MT, WS-X6248-RJ-45, WS-X6248-TELПорты 1-12, 13-24, 25-36, 37-48
WS-X6024-10FL-MTПорты 1-12, 13-24
WS-X6548-RJ-45, WS-X6548-RJ-21Порты 1-48
      С помощью команды show pvlan capability (CatOS) также отображается возможность преобразования порта в порт PVLAN. В ПО Cisco IOS нет эквивалентной команды.
  • Если удалить VLAN, которая используется в конфигурации PVLAN, порты, связанные с VLAN станут неактивными.
  • Настройте интерфейсы VLAN уровня 3 (L3) только для первичных VLAN. Интерфейсы VLAN для изолированных и общих VLAN являются неактивными, если в сети VLAN проходит процесс конфигурации изолированных или общих VLAN.
  • Можно расширить сети PVLAN среди коммутаторов с помощью магистралей.Примечание. Необходимо вручную вводить конфигурацию одной PVLAN на каждом коммутаторе, так как VTP в режиме transparent не предоставляет данные сведения.

Конфигурация

В этом разделе предоставляются сведения по конфигурации функций, описанных в данном документе.

Схема сети

В данном документе используется следующая схема сети.
Конфигурация изолированных частных VLAN (PVLAN) на коммутаторах
В данном сценарии в устройствах в изолированной VLAN (101) есть ограничения от взаимодействия на уровне 2 друг с другом. Однако устройства не могут подключаться к Интернету. Кроме того, у порта Gig 3/26 на 4006 случайное назначение. Данная дополнительная конфигурация позволяет устройству на порте GigabitEthernet 3/26 соединиться с устройствами в изолированной VLAN. С помощью данной конфигурации также можно, например, делать резервную копию данных от всех устройств хостов PVLAN до рабочей станции администрирования. Другое использование случайных портов подразумевает соединение с внешним маршрутизатором, LocalDirector, устройством управления сетью и другими устройствами.

Конфигурация первичных и изолированных сетей VLAN

Чтобы создать первичные и вторичные сети VLAN, а также связать различные порты с данными VLAN, выполните следующие действия. В данных действиях описаны примеры ПО CatOS и Cisco IOS. Выполните соответствующий набор команд для установки OS.
  1. Создайте первичную PVLAN.
    • CatOS Switch_CatOS (enable) set vlan primary_vlan_id
      pvlan-type primary name primary_vlan      !--- Примечание. Эта команда должна вводиться в одной строке. VTP advertisements transmitting temporarily stopped, and will resume after the command finishes.
      Vlan 100 configuration successful
    • Программное обеспечение Cisco IOS    Switch_IOS(config)#vlan primary_vlan_id 
      Switch_IOS(config-vlan)#private-vlan primary
      Switch_IOS(config-vlan)#name primary-vlan 
      Switch_IOS(config-vlan)#exit
  2. Создайте одну или несколько изолированных сетей VLAN
    • CatOS     Switch_CatOS> (enable) set vlan secondary_vlan_id pvlan-type isolated name isolated_pvlan   !--- Примечание. Эта команда должна вводиться в одной строке   VTP advertisements transmitting temporarily stopped,
      and will resume after the command finishes.
      Vlan 101 configuration successful
    • Программное обеспечение Cisco IOS    Switch_IOS(config)#vlan secondary_vlan_id
      Switch_IOS(config-vlan)#private-vlan isolated 
      Switch_IOS(config-vlan)#name isolated_pvlan 
      Switch_IOS(config-vlan)#exit
  3. Свяжите изолированную(ые) сеть(и) VLAN с первичной VLAN.
    • CatOS   Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id    Vlan 101 configuration successful
      Successfully set association between 100 and 101.
    • Программное обеспечение Cisco IOS    Switch_IOS(config)#vlan primary_vlan_id
      Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id
      Switch_IOS(config-vlan)#exit
  4. Проверьте конфигурацию частной VLAN.
    • CatOS Switch_CatOS> (enable) show pvlanPrimary  Secondary  Secondary-Type  Ports
      -------  ---------  ----------------  ------------
      100      101         isolated
    • Программное обеспечение Cisco IOS Switch_IOS#show vlan private-vlanPrimary  Secondary  Type              Ports
      -------  --------- ----------------- -------
      100      101        isolated

Назначение портов для сетей PVLAN

Совет. Перед выполнением данной процедуры выполните команду show pvlan capability mod/port (для CatOS), чтобы определить возможность преобразования порта в порт PVLAN.
Примечание. Перед выполнением шага 1 данной процедуры выполните команду switchport в режиме конфигурации интерфейса, чтобы настроить порт в качестве коммутируемого интерфейса уровня 2.
  1. Настройте порты хоста на всех соответствующих коммутаторах.
    • CatOS   Switch_CatOS> (enable)set pvlan primary_vlan_id secondary_vlan_id mod/port
      !--- Примечание. Эта команда должна вводиться в одной строке.
      Successfully set the following ports to Private Vlan 100,101: 2/20
    • Программное обеспечение Cisco IOS    Switch_IOS(config)#interface gigabitEthernet mod/port
      Switch_IOS(config-if)#switchport private-vlan host primary_vlan_id secondary_vlan_id   !--- Примечание. Эта команда должна вводиться в однойстроке.   Switch_IOS(config-if)#switchport mode private-vlan host    Switch_IOS(config-if)#exit
  2. Настройте случайный порт на одном из коммутаторов.
    • CatOS    Switch_CatOS> (enable) set pvlan mapping primary_vlan_id secondary_vlan_id mod/port   !--- Примечание. Эта команда должна вводиться в одной строке.   Successfully set mapping between 100 and 101 on 3/26Примечание. Для Catalyst 6500/6000 если модуль управления использует CatOS в качестве системного ПО, порт MSFC на модуле управления (15/1 или 16/1) должен быть случайным, если необходим коммутатор уровня 3 между сетями VLAN.
    • Программное обеспечение Cisco IOS   Switch_IOS(config)#interface interface_type mod/port   Switch_IOS(config-if)#switchport private-vlan mapping primary_vlan_id secondary_vlan_id   !--- Примечание. Эта команда должна вводиться в однойстроке.   Switch_IOS(config-if)#switchport mode private-vlan promiscuous 
      Switch_IOS(config-if)#end

Конфигурация уровня 3

В дополнительном разделе описаны шаги конфигурации, чтобы разрешить маршрутизатор входящего трафика PVLAN. Если необходимо только активировать соединение уровня 2, данный этап можно опустить.
  1. Настройте интерфейс VLAN также, как и при настройке для обычной маршрутизации уровня 3.В данную конфигурацию входит:
    • Конфигурация IP-адреса
    • Активация интерфейса с помощью команды no shutdown
    • Проверка существования сети VLAN в базе данных VLAN
  2.  Сопоставьте вторичные сети VLAN, которые необходимо маршрутизировать, первичной VLAN.
  • Switch_IOS(config)#interface vlan primary_vlan_id
  • Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list
  • Switch_IOS(config-if)#endПримечание. Настройте интерфейсы VLAN уровня 3 (L3) только для первичных VLAN. Интерфейсы VLAN для изолированных и общих VLAN являются неактивными с помощью конфигурации изолированных или общих VLAN.
   3.  Выполните команду show interfaces private-vlan mapping (ПО Cisco IOS) или show pvlan mapping (CatOS), чтобы проверить сопоставление.
   4. Если необходимо изменить список вторичных VLAN после конфигурации сопоставления, используйте ключевое слово add или remove.
 Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list
  •  
  • or
  • Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
 Примечание. Для коммутаторов Catalyst 6500/6000 с MSFC убедитесь, что порт от модуля управления до модуля маршрутизации (например порт 15/1 или 16/1) является случайным.
cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1
Выполните команду show pvlan mapping, чтобы проверить сопоставление.
cat6000> (enable) show pvlan mapping
PortPrimarySecondary
15/1100101

Конфигурации

В данной статье используются следующие конфигурации.
  • Access_Layer (Коммутатор Catalyst 4003. ПО CatOS)
  • Ядро (Коммутатор Catalyst 4006. ПО Cisco IOS)
Access_Layer (Коммутатор Catalyst 4003. ПО CatOS)
Access_Layer> (enable) show config
This command shows non-default configurations only.
Use 'show config all' to show both default and non-default configurations.
.............
!--- Выходные данные команды подавляются.#system
set system name Access_Layer
!
#frame distribution method
set port channel all distribution mac both
!
#vtp
set vtp domain Cisco
set vtp mode transparent
set vlan 1 name default type ethernet mtu 1500 said 100001 state active
set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500
said 100100 state active
!--- Это первичная VLAN 100.
!--- Примечание. Эта команда должна вводиться в одной строке.
set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu
1500 said 100101 state active
!--- Это первичная VLAN 101.
!--- Примечание. Эта команда должна вводиться в одной строке.set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active!--- Выходные данные команды подавляются.#module 1 : 0-port Switching Supervisor
!
#module 2 : 24-port 10/100/1000 Ethernet
set pvlan 100 101 2/20
!--- Порт 2/20 является портом хоста PVLAN в первичной VLAN 100, изолированной
!--- VLAN 101.
set trunk 2/3 desirable dot1q 1-1005
set trunk 2/4 desirable dot1q 1-1005
set trunk 2/20 off dot1q 1-1005
!--- Магистральное соединение автоматически деактивировано на портах хоста PVLAN.
set spantree portfast 2/20 enable
!--- Магистральное соединение автоматически активировано на портах хоста PVLAN.
set spantree portvlancost 2/1 cost 3
!--- Выходные данные команды подавляются.set spantree portvlancost 2/24 cost 3
set port channel 2/20 mode off
!--- Режим передачи по каналу для порта автоматически деактивируется на
!--- портах хоста PVLAN.
set port channel 2/3-4 mode desirable silent
!
#module 3 : 34-port 10/100/1000 Ethernet
end
Ядро (Коммутатор Catalyst 4006. ПО Cisco IOS)
Core#show running-config
Building configuration...!--- Выходные данные команды подавляются. !
hostname Core
!
vtp domain Cisco
vtp mode transparent
!--- Режим VTP является прозрачным в соответствии с требованием сетей PVLAN.ip subnet-zero
!
vlan 2-4,6,10-11,20-22,26,28
!
vlan 100
name primary_for_101
private-vlan primary
private-vlan association 101
!
vlan 101
name isolated_under_100
private-vlan isolated
!
interface Port-channel1
!--- Это — канал портов для интерфейса GigabitEthernet3/1
!--- и интерфейса GigabitEthernet3/2.switchport
switchport trunk encapsulation dot1q
switchport mode dynamic desirable
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface GigabitEthernet3/1
!--- Это — магистраль к коммутатору Access_Layer.switchport trunk encapsulation dot1q
switchport mode dynamic desirable
channel-group 1 mode desirable
!
interface GigabitEthernet3/2
!--- Это — магистраль к коммутатору Access_Layer.switchport trunk encapsulation dot1qswitchport mode dynamic desirable
channel-group 1 mode desirable
!
interface GigabitEthernet3/3
!
!--- Имеется пропуск в конфигурации интерфейса,
!--- которая не используется.!
interface GigabitEthernet3/26switchport private-vlan mapping 100 101
switchport mode private-vlan promiscuous
!--- Укажите случайный порт для PVLAN 101.!
!--- Имеется пропуск в конфигурации интерфейса,
!--- которая не используется.!
!--- Выходные данные команды подавляются.interface Vlan25
!--- Это — соединение с Интернетом.ip address 10.25.1.1 255.255.255.0
!
interface Vlan100
!--- Это — интерфейс уровня 3 для первичной VLAN.
ip address 10.1.1.1 255.255.255.0
private-vlan mapping 101
!--- Сопоставьте VLAN 101 с интерфейсом VLAN первичной VLAN (100).
!--- Входящий трафик для устройств в изолированных маршрутах VLAN 101
!--- через интерфейс VLAN 100.

Частные сети VLAN в нескольких коммутаторах

Частные сети VLAN можно использовать в нескольких коммутаторах двумя способами. В этом разделе описаны данные способы.
  • Обычные магистрали
  • Магистрали частных сетей VLAN

Обычные магистрали

С помощью обычных VLAN сети PVLAN могут взаимодействовать с несколькими коммутаторами. Порт магистрали переносит первичную и вторичные VLAN на соседний коммутатор. Порт магистрали взаимодействует с частной VLAN также, как и с другими сетями VLAN. Функция сетей PVLAN в нескольких коммутаторах состоит в том, чтобы трафик изолированного порта на одном коммутаторе не достигал изолированного порта на другом коммутаторе.
Настройте сети PVLAN на всех промежуточных устройствах, в которых находятся устройства без портов PVLAN, чтобы поддержать безопасность конфигурации PVLAN и избежать другого использования сетей VLAN, настроенных в качестве сетей PVLAN.
Порты магистрали направляют трафик из обычных VLAN, а также из первичных, изолированных и общих VLAN.
Совет. Cisco рекомендует использовать стандартные порты магистрали, если оба коммутатора с магистральным соединением поддерживают сети PVLAN.
Конфигурация изолированных частных VLAN (PVLAN) на коммутаторах
Так как протокол VTP не поддерживает сети PVLAN, необходимо настроить их вручную на всех коммутаторах в сети уровня 2. Если не настроить объединение первичной и вторичных сетей VLAN в некоторых коммутаторах в сети, базы данных уровня 2 в данных коммутаторах не объединятся. Это может привести к лавинной маршрутизации трафика PVLAN на данных коммутаторах.

Магистрали частных сетей VLAN

Порт магистрали PVLAN может вмещать несколько вторичных сетей PVLAN, а также сети, отличные от сетей PVLAN. Пакеты получают и передают с помощью тегов вторичных или обычных VLAN на портах магистрали PVLAN.
Поддерживается только инкапсуляция IEEE 802.1q. С помощью изолированных портов магистрали можно объединять трафик всех вторичных портов на магистрали. С помощью случайных портов магистрали можно объединять несколько случайных портов, необходимых в данной топологии, в один порт магистрали, который вмещает несколько первичных сетей VLAN.

Проверка

Используйте этот раздел для того, чтобы подтвердить, что ваша конфигурация работает правильно.

CatOS

  • show pvlan – отображает конфигурацию PVLAN. Проверьте связь изолированных и первичных сетей VLAN друг с другом. А также проверьте отображение портов хоста.
  • show pvlan mapping – отображает сопоставление PVLAN с конфигурацией на случайных портах.

Программное обеспечение Cisco IOS

  • show vlan private-vlan – отображает сведения о PVLAN со связанными портами.
  • show interface mod/port switchport – отображает сведения об интерфейсах. Проверьте правильность работы рабочего режима, а также рабочие параметры PVLAN.
  • show interfaces private-vlan mapping – отображает настроенное сопоставление сетей PVLAN.

Процедура проверки

Выполните следующие шаги:
  1. Проверьте конфигурацию PVLAN на коммутаторах.Проверьте связь/сопоставление первичных и вторичных сетей PVLAN друг с другом. А также проверьте включение необходимых портов.     Access_Layer> (enable) show pvlan
    PrimarySecondarySecondary-TypePorts
    100101isolated2/20
    Core#show vlan private-vlan
    PrimarySecondaryTypePorts
    100101i solatedGi3/26
    2. Проверьте правильность конфигурации случайного порта.
    Следующие выходные данные указывают, что рабочий режим портов – promiscuous, рабочие сети VLAN – 100 и 101.
    Core#show interface gigabitEthernet 3/26 switchport
    Name: Gi3/26
    Switchport: Enabled
    Administrative Mode: private-Vlan promiscuous
    Operational Mode: private-vlan promiscuous
    Administrative Trunking Encapsulation: negotiate
    Operational Trunking Encapsulation: native
    Negotiation of Trunking: Off
    Access Mode VLAN: 1 (default)
    Trunking Native Mode VLAN: 1 (default)
    Voice VLAN: none
    Administrative Private VLAN Host Association: none
    Administrative Private VLAN Promiscuous Mapping: 100 (primary_for_101) 101 (isolated_under_100)
    Private VLAN Trunk Native VLAN: none
    Administrative Private VLAN Trunk Encapsulation: dot1q
    Administrative Private VLAN Trunk Normal VLANs: none
    Administrative Private VLAN Trunk Private VLANs: none
    Operational Private VLANs:
    100 (primary_for_101) 101 (isolated_under_100)
    Trunking VLANs Enabled: ALL
    Pruning VLANs Enabled: 2-1001
    Capture Mode Disabled
    Capture VLANs Allowed: ALL
    3. Запустите пакет запроса ICMP-эхо из порта хоста на случайный порт.
    Помните, что так как оба устройства находятся в первичной VLAN, они могут быть в одной сети.
    host_port#show arp
    Protocol AddressAge (min)HardwareAddrType Interface
    Internet 10.1.1.100-0008.a390.fc80ARPAFastEthernet0/24
    !--- Таблица разрешения адресов (ARP) на клиентском устройстве указывает, что
    !--- MAC-адреса, отличные от клиентских адресов, не известны.
    host_port#ping 10.1.1.254
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
    .!!!!
    Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
    !--- Запрос "ICMP-эхо" выполнен успешно. Первый запрос "ICMP-эхо" выполнен неудачно при
    !--- при попытке устройства выполнить с помощью ARP сопоставление с MAC-адресом однорангового узла.
    host_port#show arp
    Protocol AddressAge (min)Hardware AddrTypeInterface
    Internet 10.1.1.100-0008.a390.fc80ARPAFastEthernet0/24
    Internet 10.1.1.25400060.834f.66f0ARPAFastEthernet0/24
    !--- Имеется новая запись о MAC-адресе для однорангового узла.
    4. Выполните запрос ICMP-эхо между портами хоста.
    В следующем промере host_port_2 (10.1.1.99) отправляет запрос ICMP-эхо на host_port (10.1.1.100). Выполнение данного запроса не удалось. Однако выполнение запроса ICMP-эхо из другого порта хоста на случайный порт прошло успешно.
    host_port_2#ping 10.1.1.100
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds:
    .....
    Success rate is 0 percent (0/5)
    !--- Запрос "ICMP-эхо" между портами хоста, как и требовалось, выполнен неудачно.
    host_port_2#ping 10.1.1.254
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
    !!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
    !--- Запрос "ICMP-эхо" к случайному порту по-прежнему выполняется успешно.
    host_port_2#show arp
    Protocol Address Age (min) Hardware Addr Type Interface
    Internet 10.1.1.99 - 0005.7428.1c40 ARPA Vlan1
    Internet 10.1.1.254 2 0060.834f.66f0 ARPA Vlan1
    !--- Таблица ARP содержит только запись для данного порта и
    !--- случайного порта.

    Устранение неполадок

    Поиск и устранение неполадок в сетях PVLAN
    В данном разделе описаны некоторые основные проблемы, которые возникают во время конфигурации PVLAN.
    Проблема 1
    Отображается следующее сообщение об ошибке. %PM-SP-3-ERR_INCOMP_PORT: <mod/port> is set to inactive because <mod/port> is a trunk port
    Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.)
    Процедура разрешения. Если нет поддержки на порте PVLAN, выберите порт в другой ASIC на данном или на другом модуле. Чтобы возобновить деятельность портов, удалите конфигурацию изолированного или общего порта VLAN и выполните команды shutdown и no shutdown.
    Примечание. В ПО Cisco IOS версии 12.2(17a)SX и более поздних ограничение 12 портов не применяется к коммутирующим модулям WS-X6548-RJ-45, WS-X6548-RJ-21 и WS-X6524-100FX-MM Ethernet.
    Проблема 2
    В процессе конфигурации PVLAN может отобразится одно из следующих сообщений.
    • Cannot add a private vlan mapping to a port with another Private port in
    • the same ASIC.
    • Failed to set mapping between <vlan> and <vlan> on <mod/port>
    • Port with another Promiscuous port in the same ASIC cannot be made
    • Private port.
    • Failed to add ports to association.
    Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.)
    Процедура разрешения. Выполните команду show pvlan capability (CatOS), которая указывает преобразование порта в порт PVLAN. Если нет поддержки для PVLAN на определенном порте, выберите порт в другой ASIC на данном или на другом модуле.
    Примечание. В ПО Cisco IOS версии 12.2(17a)SX и более поздних ограничение 12 портов не применяется к коммутирующим модулям WS-X6548-RJ-45, WS-X6548-RJ-21 и WS-X6524-100FX-MM Ethernet.
    Проблема 3
    Не удается настроить PVLAN на некоторых платформах.
    Решение. Проверьте, чтобы платформа поддерживала сети PVLAN.
    Проблема 4
    На MSFC коммутатора Catalyst 6500/6000 невозможно выполнить запрос ICMP-эхо на устройство, которое соединено с изолированным портом на данном коммутаторе.
    Решение. На модуле управления проверьте, чтобы данный порт на MSFC (15/1 или 16/1) является случайным.
    cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
    Successfully set mapping between 100 and 101 on 15/1
    Также настройте интерфейс VLAN на MSFC, как указано в разделе Конфигурация уровня 3 данного документа.
    Проблема 5
    С помощью команды no shutdown невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN.
    Решение. Из-за сущности сетей PVLAN невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN. Можно активировать только тот интерфейс VLAN, который относится к первичной VLAN.
    Проблема 6
    На устройствах Catalyst 6500/6000 с MSFC/MSFC2 записи ARP, полученные на интерфейсах PVLAN уровня 3 не устаревают.
    Решение. Записи ARP, полученные на интерфейсах частных VLAN уровня 3, являются фиксированными и не устаревают. С помощью подключения нового оборудования с помощью IP-адреса создается сообщение. Запись ARP не создается. Таким образом, необходимо удалить ARP-записи порта PVLAN при изменении MAC-адреса. Чтобы добавить или удалить ARP-записи PVLAN вручную, выполните следующие команды.
    Router(config)#no arp 11.1.3.30 
    IP ARP:Deleting Sticky ARP entry 11.1.3.30
    Router(config)#arp 11.1.3.30 0000.5403.2356 arpa 
    IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by
    hw:0000.5403.2356
    Второй способ – выполнить команду no ip sticky-arp в ПО Cisco IOS версии 12.1(11b)E и более поздних.
Источник:blogsvazista.ru/konfiguratsiya-izolirovannux-pvlan/
Автор: на
Ярлыки: , , , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)