...
| Блок кода |
|---|
esr# show interfaces bridge |
| Якорь | ||||
|---|---|---|---|---|
|
Технология Private VLAN (PVLAN) позволяет производить разграничение трафика на втором уровне модели OSI между портами маршрутизатора, которые находятся в одном широковещательном домене.
На маршрутизаторе может быть сконфигурировано три типа PVLAN-портов:
- promiscuous — это порт, который способен обмениваться данными между любыми интерфейсами, включая isolated и community порты PVLAN;
- isolated — это порт, который полностью изолирован от других портов внутри одного и того же PVLAN, но не от promiscuous портов. PVLAN блокируют весь трафик, идущий в сторону isolated-портов, кроме трафика со стороны promiscuous-портов; пакеты со стороны isolated-портов могут передаваться только в сторону promiscuous-портов;
- community — это группа портов, которые могут обмениваться данными между собой и promiscuous-портами, эти интерфейсы отделены на втором уровне модели OSI от всех остальных community-интерфейсов, а также isolated-портов внутри PVLAN.
Задача:
Настроить изоляцию портов в одном широковещательном домене (PVLAN). Порт gi1/0/2 и gi1/0/3 должны относиться к community 1, порт gi1/0/4 должен быть изолирован в сторону promission port. В качестве promission port выступает gi1/0/1..
Решение:
Создадим VLAN 10:
| Блок кода |
|---|
esr(config)# vlan 10
esr(config-vlan)# exit |
Настроим интерфейс gi1/0/1 в режиме «promiscuous port»:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)# mode switchport
esr(config-if-gi)# switchport forbidden default-vlan
esr(config-if-gi)# switchport mode trunk
esr(config-if-gi)# switchport trunk allowed vlan add 10
esr(config-if-gi)# exit |
Настроим интерфейсы gi1/0/2, gi1/0/3 в режиме «community port»:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/2
esr(config-if-gi)# mode switchport
esr(config-if-gi)# switchport protected-port
esr(config-if-gi)# switchport community 1
esr(config-if-gi)# switchport forbidden default-vlan
esr(config-if-gi)# switchport mode trunk
esr(config-if-gi)# switchport trunk allowed vlan add 10
esr(config-if-gi)# exit
esr(config)# interface gigabitethernet 1/0/3
esr(config-if-gi)# mode switchport
esr(config-if-gi)# switchport protected-port
esr(config-if-gi)# switchport community 1
esr(config-if-gi)# switchport forbidden default-vlan
esr(config-if-gi)# switchport mode trunk
esr(config-if-gi)# switchport trunk allowed vlan add 10
esr(config-if-gi)# exit |
Настроим интерфейс gi1/0/4 в режиме «isolated port»:
| Блок кода |
|---|
esr(config)# interface gigabitethernet 1/0/4
esr(config-if-gi)# mode switchport
esr(config-if-gi)# switchport protected gigabitethernet 1/0/1
esr(config-if-gi)# switchport forbidden default-vlan
esr(config-if-gi)# switchport mode trunk
esr(config-if-gi)# switchport trunk allowed vlan add 10
esr(config-if-gi)# exit |
Информацию о состоянии физических интерфейсов в режиме изоляции по группам можно узнать с помощью команды:
| Блок кода |
|---|
esr# show interfaces protected-ports
Interface State Community
---------------- ------------- ---------
gi1/0/2 Protected 1
gi1/0/3 Protected 1 |
Пример настройки добавления/удаления второго VLAN-тега
Задача:
На интерфейс gigabitethernet 1/0/1 поступают Ethernet-кадры с различными VLAN-тегами. Необходимо перенаправить их в интерфейс gigabitethernet 1/0/2, добавив второй VLAN-ID 828. При поступлении на интерфейс gigabitethernet 1/0/2 Ethernet-кадров с VLAN-ID 828 данный тег должен быть удален и отправлен в интерфейс gigabitethernet 1/0/1.
Решение:
Создадим на маршрутизаторе bridge без VLAN и без IP-адреса:
...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Указать резервный интерфейс, на который будет происходить переключение при потере связи на основном. | esr(config-if-gi)# backup interface<IF> vlan <VID> | <IF> – интерфейс, на который будет происходить переключение. <VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094]. Можно также задать диапазоном через «-» или перечислением через «,». |
2 | Указать количество копий пакетов с одним и тем же MAC-адресом, которые будут отправлены в активный интерфейс при переключении (не обязательно). | esr(config)# backup-interface mac-duplicate <COUNT> | <COUNT> – количество копий пакетов, принимает значение [1..4]. |
3 | Указать количество пакетов в секунду, которое будет отправлено в активный интерфейс при переключении (не обязательно). | esr(config)# backup-interfacemac-per-second<COUNT> | <COUNT> – количество MAC-адресов в секунду, принимает значение [50..400]. |
4 | Указать, что необходимо осуществить переключение на основной интерфейс при восстановлении связи (не обязательно). | esr(config)# backup-interface preemption |
Пример настройки
Задача:
Организовать резервирование L2-соединений маршрутизатора ESR для VLAN 50-55 через устройства SW1 и SW2.
Решение:
Предварительно нужно выполнить следующие действия:
...
Шаг | Описание | Команда | Ключи |
|---|---|---|---|
1 | Определить VLAN, по которому будет передаваться отзеркалированный трафик (в случае использования удаленного зеркалирования). | esr(config)# port monitor remote vlan <VID> <DIRECTION> | <VID> – идентификационный номер VLAN, задаётся в диапазоне [2…4094]; <DIRECTION> – направление трафика:
|
2 | Включить режим удаленного зеркалирования (в случае использования удаленного зеркалирования). | esr(config)# port monitor remote | |
3 | Определить режим порта, передающего отзеркалированный трафик (не обязательно). | esr(config)# port monitor mode <MODE> | <MODE> – режим:
|
4 | В режиме конфигурации интерфейса включить зеркалирование. | esr(config-if-gi)# port monitor interface <IF> [ <DIRECTION> ] | <IF> – интерфейс, c которого будут зеркалироваться кадры; <DIRECTION> – направление трафика:
|
Пример настройки
Задача:
Организовать удаленное зеркалирование трафика по VLAN 50 с интерфейса gi1/0/11 для передачи на сервер для обработки.
Решение:
Предварительно нужно выполнить следующие действия:
...
| Scroll Pagebreak |
|---|
Задача:
Настроить агрегированный канал между маршрутизатором ESR и коммутатором.
Решение:
Предварительно необходимо выполнить следующие настройки:
...