Механизм VLAN isolation является функционалом встроенного коммутатора OLT и предназначен для настройки разрешений на передачу трафика между интерфейсами встроенного коммутатора OLT. По своему предназначению данный механизм схож с функционалом bridging, описанным в статье [LTP-X] Настройка bridging, однако имеет некоторые отличия:
- При настройке bridging между портами проходит трафик всех без исключения VLAN.
- Механизм VLAN isolation позволяет более гибко настроить прохождение трафика между портами. Так как с помощью isolation можно разрешить прохождение пакетов, принадлежащих одной или нескольким VLAN, при этом сохранив запрет на передачу трафика между портами для остальных VLAN.
Настройка функционала осуществляется посредством настройки групп изоляции, объединяющих порты. Группа изоляции представляет собой совокупность разрешенных для передачи трафика портов, включает в себя порты, за которыми будут находиться получатели трафика. Созданная группа изоляции назначается на порт-источник, для которого требуется разрешить указанные направления передачи данных.
По умолчанию на коммутаторе OLT существует две предустановленных группы изоляции:
- isolation group для uplink портов, группирующая pon-port интерфейсы — isolation group 0.
- isolaton group для downlink портов, группирующая front-port интерфейсы — isolation group 1.
При этом по умолчанию функция isolation в VLAN отключена. Ниже представлено содержимое групп изоляции, созданных по умолчанию.
LTP-4X(switch)# show isolation group 0
Bridging settings
~~~~~~~~~~~~~~~~~
Group Destination Traffic restriction flag
---- -------------------- -----
0 front-port 0 Deny
front-port 1 Deny
front-port 2 Deny
front-port 3 Deny
10G-front-port 0 Deny
10G-front-port 1 Deny
port-channel 9 Deny
port-channel 10 Deny
pon-port 0 Allow
pon-port 1 Allow
pon-port 2 Allow
pon-port 3 Allow
---- -------------------- -----
| LTP-4X(switch)# show isolation group 1
Bridging settings
~~~~~~~~~~~~~~~~~
Group Destination Traffic restriction flag
---- -------------------- -----
1 pon-port 0 Deny
pon-port 1 Deny
pon-port 2 Deny
pon-port 3 Deny
front-port 0 Allow
front-port 1 Allow
front-port 2 Allow
front-port 3 Allow
10G-front-port 0 Allow
10G-front-port 1 Allow
port-channel 9 Allow
port-channel 10 Allow
---- -------------------- -----
|
Глобально разрешенные направления для передачи трафика не зависят от настроек изоляции, но при этом созданные по умолчанию группы изоляции полностью дублируют глобальные направления передачи трафика. Настроены глобально разрешенные направления следующим образом:
- Для каждого uplink интерфейса front-port разрешена передача данных только во все pon-port интерфейсы. Запрещена передача трафика между интерфейсами одного типа – между front-port.
- Для каждого интерфейса pon-port разрешена передача данных только во все front-port интерфейсы. Запрещена передача трафика между интерфейсами одного типа – между pon-port.
Дефолтные группы изоляции по умолчанию назначены на все интерфейсы, но при этом неактивны (по умолчанию для всех VLAN указано no isolation enable). Распределение дефолтных групп изоляции соответствует разрешенным по умолчанию направлениям передачи трафика – на каждый front-port назначена группа изоляции 0, на каждый pon-port – группа изоляции 1 и так во всех VLAN. Выглядит это следующим образом (пример для LTP-4X):
vlan 1 no isolation enable isolation assign group 0 to front-port 0 isolation assign group 0 to front-port 1 isolation assign group 0 to front-port 2 isolation assign group 0 to front-port 3 isolation assign group 0 to 10G-front-port 0 isolation assign group 0 to 10G-front-port 1 isolation assign group 1 to pon-port 0 isolation assign group 1 to pon-port 1 isolation assign group 1 to pon-port 2 isolation assign group 1 to pon-port 3
Данные строки являются значениями по умолчанию поэтому они скрыты в конфигурации, их можно увидеть только при выводе show running-config vlan x all.
Соответственно, если будет включена изоляция в VLAN без дополнительных настроек (без назначения каких-либо групп изоляции), это не повлияет на правила передачи трафика, они будут соответствовать глобальным правилам, работающим по умолчанию.
Настройка функционала
Первоначально при настройке изоляции необходимо определить порт или порты, для которых будет разрешена L2 коммутация в определенном vlan.
Рассмотрим пример.
Порта front-port 0, pon-port 0, pon-port 1 тегированы метками VLAN 100 и 200.
Необходимо разрешить следующие направления передачи трафика в VLAN 100:
- front-port 0 ↔ pon-port 0, pon-port 1;
- pon-port 0 ↔ front-port 0, pon-port 1;
- pon-port 1 ↔ front-port 0, pon-port 1.
Для остальных VLAN, включая VLAN 200, оставим дефолтные правила прохождения трафика все front-port ↔ все pon-port. То есть трафик pon-port 0 ↔ pon-port 1 в VLAN 200 проходить не должен.
- Создадим группу изоляции. Используем первый свободный индекс после созданных по умолчанию.
LTP-4X# switch LTP-4X(switch)# configure LTP-4X(switch)(config)# isolation group 2
По умолчанию в каждой новой созданной группе изоляции все порты запрещены.
- Разрешаем необходимые направления в группе изоляции. Здесь перечисляем все необходимые порты.
LTP-4X(switch)(config-is-group)# allow pon-port 0 LTP-4X(switch)(config-is-group)# allow pon-port 1 LTP-4X(switch)(config-is-group)# allow front-port 0 LTP-4X(switch)(config-is-group)# exit
- Включаем изоляцию в VLAN 100, назначаем созданную группу изоляции на требуемые порты, применяем изменения.
LTP-4X(switch)(config)# vlan 100 LTP-4X(switch)(config-vlan)# isolation enable LTP-4X(switch)(config-vlan)# isolation assign group 2 to pon-port 0 LTP-4X(switch)(config-vlan)# isolation assign group 2 to pon-port 1 LTP-4X(switch)(config-vlan)# isolation assign group 2 to front-port 0 LTP-4X(switch)(config-vlan)# exit LTP-4X(switch)(config)# commit LTP-4X(switch)(config)# exit
- Проверим настройки созданной группы изоляции.Здесь мы видим что в результате настройки стали разрешенными три интерфейса. Действие в поле Traffic Restriction Flag будет распространяться на тот порт, на который назначена данная группа изоляции.
LTP-4X(switch)# show isolation group 2 Bridging settings ~~~~~~~~~~~~~~~~~ Group Destination Traffic restriction flag ---- -------------------- ----- 2 front-port 0 Deny front-port 2 Deny front-port 3 Deny 10G-front-port 0 Deny 10G-front-port 1 Deny pon-port 2 Deny pon-port 3 Deny port-channel 1 Deny port-channel 9 Deny port-channel 10 Deny front-port 1 Allow pon-port 0 Allow pon-port 1 Allow ---- -------------------- ----- - Проверим настройки изоляции для VLAN.
LTP-4X(switch)# show isolation vlan 100 Bridging settings ~~~~~~~~~~~~~~~~~ VID State Interface Destination group ---- -------- -------------------- ---- 100 enabled front-port 0 2 front-port 1 0 front-port 2 0 front-port 3 0 10G-front-port 0 0 10G-front-port 1 0 pon-port 0 2 pon-port 1 2 pon-port 2 1 pon-port 3 1 ---- -------- -------------------- ---- - В завершение настройки необходимо выполнить сохранение выполненных изменений в энергонезависимую память.
LTP-4X(switch)# exit LTP-4X# save
Для отключения изоляции в VLAN и возврата дефолтных групп изоляции используйте команды:
LTP-4X# switch LTP-4X(switch)# configure LTP-4X(switch)(config)# vlan 100 LTP-4X(switch)(config-vlan)# no isolation enable LTP-4X(switch)(config-vlan)# isolation assign group 1 to pon-port 0 LTP-4X(switch)(config-vlan)# isolation assign group 1 to pon-port 1 LTP-4X(switch)(config-vlan)# isolation assign group 0 to front-port 0 LTP-4X(switch)(config-vlan)# exit LTP-4X(switch)(config)# commit LTP-4X(switch)(config)# exit LTP-4X(switch)# exit LTP-4X# save