Login

Benvenuto, Ospite
Nome utente: Password: Ricordami
Dimenticato la password? Dimenticato il nome utente?
Forum
Corsi di Preparazione alle Certificazioni Cisco
CCNP SWITCH
PVLAN promisuous trunk port
  • Pagina:
  • 1

ARGOMENTO:

PVLAN promisuous trunk port 8 Anni 2 Mesi fa #1

  • gica78r
  • Avatar di gica78r Autore della discussione
  • Offline
  • Platinum Member
  • Platinum Member
  • Messaggi: 166
  • Ringraziamenti ricevuti 9
Ciao a tutti,

avrei una domanda circa le private vlan, riguardante in particolare le porte promiscue. Supponiamo di avere il seguente scenario: uno switch che fa soltanto layer 2 (quindi niente SVI) e un router/firewall con una sola interfaccia connessa allo switch; questa interfaccia è un trunk dot1Q per le vlan 100, 200 e 300. Sullo switch ho la seguente configurazione:
  • VLAN 100 (regolare)
  • VLAN 200 (regolare)
  • VLAN 300: private vlan primaria
  • VLAN 301: private vlan isolata associata alla VLAN 300

E' possibile configurare l'interfaccia dello switch connessa al router in modo che si comporti come un trunk normale per le vlan 100 e 200, e come porta promiscua per le vlan private?

Su un vecchio 3560 (C3560-IPBASEK9-M, Version 12.2(25)SEE) sembrerebbe che le porte promiscue possano portare una sola vlan privata primaria col comando:
 switchport private-vlan mapping 300 301
 switchport mode private-vlan promiscuous
ma in rete ho trovato riferimenti a comandi come
switchport mode trunk private-vlan trunk promiscuous
che sull'IOS che ho ora a disposizione non c'è.

Grazie

Si prega Accedi a partecipare alla conversazione.

PVLAN promisuous trunk port 8 Anni 2 Mesi fa #2

  • instructor
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 1385
  • Ringraziamenti ricevuti 172
Dunque,
esistono diverse soluzioni al problema è dipende essenzialmente da quello che vuoi ottenere.

Primo metodo:
Dal requisito che mi dai il modo più semplice di risolvere il problema è utilizzare la funzionalità di Private VLAN Edge e non di Private VLAN. Essenzialmente configuri le interfacce che dovrebbero far parte delle isolated vlan con switchport protected, in questo modo quelle porte non parleranno più tra loro. A quel punto puoi utilizzare un trunk standard. Questo vuol dire che non utilizzi totalmente private vlan. Limite di questa soluzione funziona se la vlan "isolated" è presente su un solo switch.

Secondo metodo:
Trasformi le vlan regolari in private vlan community e utilizzi switchport mode private-vlan trunk promiscuous Private VLAN Trunk Promiscous. Nel tuo caso per fare questo devi creare tre differenti VLAN primarie e associarle alle secondarie, in questo modo il traffico sul trunk viaggia in maniera simmetrica con il tag della vlan primaria. Quindi trasformi le vlan regolare in vlan primarie di private vlan. La subinterface del router deve essere configurata sulle diverse vlan primarie. In questo modo domani potrai aggiungere più vlan secondarie lasciando immutata la configurazione del router perchè facenti capo alla stessa rete di livello 3.

Terzo metodo:
Utilizzi un trunk normale, configuri l'interfaccia del router sulla vlan secondaria isolated. Ogni volta che aggiungerai una nuova secondary dovrai aggiungere una subinterface sul router.
Ringraziano per il messaggio: gica78r

Si prega Accedi a partecipare alla conversazione.
  • Pagina:
  • 1
Moderatori: jpalombi
Forum
Corsi di Preparazione alle Certificazioni Cisco
CCNP SWITCH
PVLAN promisuous trunk port