Изоляция портов коммутатора что это
Изоляция портов (Port Isolation) - это независимый функционал, который ограничивает передачу пакетов между определенными портами. Коммутаторы SNR-S2965 и SNR-S2985 поддерживают как полную изоляцию трафика между портами, так и изоляцию трафика в рамках определенного VLAN. Настройка функционала сводится к добавлению Ethernet интерфейсов в одну или несколько групп (isolate-port group). Порты внутри одной группы изолируются, то есть трафик между ними не передается. Порты принадлежащие разным isolate-port group или не добавленные ни в одну isolate-port group могут коммутировать пакеты между собой.И золяция портов внутри VLAN выполняется аналогично, только применяется к трафику в данном VLAN.
2.2. Настройка изоляции портов
2.2.1. Настройка полной изоляции портов
Создание isolate-port group:
Команда
Описание
isolate-port group <WORD>
no isolate-port group <WORD>
! В режиме глобальной конфигурации
Создание isolate-port group с именем <WORD>
Удаление isolate-port group с именем <WORD>
Добавление портов в isolate-port group
Команда
Описание
isolate-port group <WORD> switchport interface [ethernet] <IFNAME>
no isolate-port group <WORD> switchport interface [ethernet] <IFNAME>
! В режиме глобальной конфигурации
Добавление в isolate-port group <WORD> интерфейса <IFNAME>
Удаление из isolate-port group <WORD> интерфейса <IFNAME>
2.2.2. Настройка изоляции портов в рамках VLAN
Создание isolate-port group внутри VLAN:
Команда
Описание
isolate-port group <WORD>
no isolate-port group <WORD>
! В режиме глобальной конфигурации
Создание isolate-port group с именем <WORD>
Удаление isolate-port group с именем <WORD>
Добавление портов в isolate-port group внутри Vlan
Команда
Описание
isolate-port group <WORD> switchport interface [ethernet] <IFNAME>
no isolate-port group <WORD> switchport interface [ethernet] <IFNAME>
! В режиме глобальной конфигурации
Добавление в isolate-port group <WORD> интерфейса <IFNAME>
Удаление из isolate-port group <WORD> интерфейса <IFNAME>
2.2.3. Просмотр конфигурации изоляции портов
Команда
Описание
show isolate-port group [ <WORD> ]
! В режиме глобальной конфигурации
Просмотр конфигурации изоляции портов для всех групп либо для конкретной группы <WORD>
2.3. Примеры настройки изоляции портов
Настройка изоляции портов 1/0/2 и 1/0/3 (запрет коммутации трафика между портами 1/0/2 и 1/0/3)
В данном документе описана процедура настройки изолированных сетей PVLAN на коммутаторах Cisco Catalyst с ПО Catalyst OS (CatOS) или Cisco IOS®.
Предварительные условия
Требования
В данном документе предполагается, что сеть уже существует, и с ее помощью можно установить соединение между различными портами в добавление к PVLAN. Если в наличии есть несколько коммутаторов, убедитесь, магистраль между ними функционирует правильно и позволяет работать сетям PVLAN на магистрали.
Не все коммутаторы и версии программного обеспечения поддерживают частные VLAN. Чтобы определить, поддерживает ли платформа или версия ПО сети PVLAN перед началом конфигурации, см. раздел Матрица поддержки коммутаторов Catalyst на частных сетях VLAN.
Примечание. Некоторые коммутаторы (как указано в разделе Матрица поддержки коммутаторов Catalyst на частных сетях VLAN) поддерживают только функцию Edge сетей PVLAN. Термин "защищенные порты" также относится в данной функции. На портах Edge сетей PVLAN есть ограничение, которое предотвращает связь с другими защищенными портами на одном коммутаторе. Однако защищенные порты на отдельных коммутаторах могут взаимодействовать друг с другом. Следует различать данную функцию с конфигурацией обычной PVLAN, которая отображена в данном документе. Дополнительные сведения о защищенных портах см. в разделе Конфигурация безопасности порта документа Конфигурация контроля трафика на уровне порта.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения.
Коммутатор Catalyst 4003 с модулем управления 2, который использует CatOS версии 6.3(5)
Коммутатор Catalyst 4006 с модулем управления 3, который использует ПО Cisco IOS версии 12.1(12c)EW1
Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в этом документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если ваша сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.
Условные обозначения
Дополнительную информацию о применяемых в документе обозначениях см. в документе Условные обозначения, используемые в технической документации Cisco.
Теоретические сведения
PVLAN – это VLAN с конфигурацией для изоляции уровня 2 от других портов с таким же доменом широковещательной рассылки или подсетью. Можно назначить особый набор портов в PVLAN и таким образом контролировать доступ к портам на уровне 2. А также можно настроить сети PVLAN и обычные VLAN на одном коммутаторе.
Существует три типа портов PVLAN: случайный, изолированный и общий.
Случайный порт взаимодействует с другими портами PVLAN. Изолированный порт – это порт, который используют для взаимодействия с внешними маршрутизаторами, LocalDirectors, устройствами управления сетью, резервными серверами, административными рабочими станциями и другими устройствами. На других коммутаторах порт для модуля маршрутизатора (например плата многоуровневой коммутации [MSFC]) должен быть случайным.
На изолированном порте есть полное разделение уровня 2 от других портов с такой же PVLAN. Данное разделение содержит широковещательные рассылки. Исключением является только случайный порт. Разрешение конфиденциальности на уровне 2 присутствует в блоке исходящего трафика ко всем изолированным портам. Трафик, приходящий из изолированного порта, направляется только на все изолированные порты.
Общие порты могут взаимодействовать друг с другом и со случайными портами. У данных портов есть изоляция уровня 2 от других портов в других сообществах или от изолированных портов в сети PVLAN. Рассылки распространяются только между связанными портами сообщества и разнородными портами.
Примечание. В данном документе не описана конфигурация VLAN сообществ.
Дополнительные сведения о сетях PVLAN см. в разделе Конфигурация частных сетей VLAN документа Общие сведения и конфигурация сетей VLAN.
Правила и ограничения
В данном разделе представлены правила и ограничения, которым необходимо следовать перед внедрением сетей PVLAN. Более полный список см. в разделе Рекомендации по конфигурации частных сетей VLAN документа Конфигурация сетей VLAN.
PVLAN не могут включать в себя сети VLAN 1 или 1002-1005.
Необходимо установить режим протокола VTP на transparent.
Можно только задать одну изолированную VLAN для основной VLAN.
Можно только назначить VLAN в качестве PVLAN, если у данной VLAN есть назначения текущих портов доступа. Удалите порты в данной сети VLAN перед преобразованием VLAN в PVLAN.
Не настраивайте порты PVLAN как EtherChannels.
Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 Fast Ethernet ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL (ASIC) представляет собой следующее.
Назначение анализатора коммутируемого порта (SPAN)
Случайный порт PVLAN
В следующей таблице отображен диапазон портов, которые относятся к одной ASIC на модулях Catalyst 6500/6000 FastEthernet.
Порты 1-12, 13-24, 25-36, 37-48
С помощью команды show pvlan capability (CatOS) также отображается возможность преобразования порта в порт PVLAN. В ПО Cisco IOS нет эквивалентной команды.
Если удалить VLAN, которая используется в конфигурации PVLAN, порты, связанные с VLAN станут неактивными.
Настройте интерфейсы VLAN уровня 3 (L3) только для первичных VLAN. Интерфейсы VLAN для изолированных и общих VLAN являются неактивными, если в сети VLAN проходит процесс конфигурации изолированных или общих VLAN. Дополнительные сведения см. в разделе Конфигурация частных сетей VLAN.
Можно расширить сети PVLAN среди коммутаторов с помощью магистралей.
Примечание. Необходимо вручную вводить конфигурацию одной PVLAN на каждом коммутаторе, так как VTP в режиме transparent не предоставляет данные сведения.
Конфигурация
В этом разделе предоставляются сведения по конфигурации функций, описанных в данном документе.
Схема сети
В данном документе используется следующая схема сети.
В данном сценарии в устройствах в изолированной VLAN (101) есть ограничения от взаимодействия на уровне 2 друг с другом. Однако устройства не могут подключаться к Интернету. Кроме того, у порта Gig 3/26 на 4006 случайное назначение. Данная дополнительная конфигурация позволяет устройству на порте GigabitEthernet 3/26 соединиться с устройствами в изолированной VLAN. С помощью данной конфигурации также можно, например, делать резервную копию данных от всех устройств хостов PVLAN до рабочей станции администрирования. Другое использование случайных портов подразумевает соединение с внешним маршрутизатором, LocalDirector, устройством управления сетью и другими устройствами.
Конфигурация первичных и изолированных сетей VLAN
Чтобы создать первичные и вторичные сети VLAN, а также связать различные порты с данными VLAN, выполните следующие действия. В данных действиях описаны примеры ПО CatOS и Cisco IOS. Выполните соответствующий набор команд для установки OS.
Создайте первичную PVLAN.
Программное обеспечение Cisco IOS
Создайте одну или несколько изолированных сетей VLAN
Программное обеспечение Cisco IOS
Свяжите изолированную(ые) сеть(и) VLAN с первичной VLAN.
Программное обеспечение Cisco IOS
Проверьте конфигурацию частной VLAN.
Программное обеспечение Cisco IOS
Назначение портов для сетей PVLAN
Совет. Перед выполнением данной процедуры выполните команду show pvlan capability mod/port (для CatOS), чтобы определить возможность преобразования порта в порт PVLAN.
Примечание. Перед выполнением шага 1 данной процедуры выполните команду switchport в режиме конфигурации интерфейса, чтобы настроить порт в качестве коммутируемого интерфейса уровня 2.
Настройте порты хоста на всех соответствующих коммутаторах.
Программное обеспечение Cisco IOS
Настройте случайный порт на одном из коммутаторов.
Примечание. Для Catalyst 6500/6000 если модуль управления использует CatOS в качестве системного ПО, порт MSFC на модуле управления (15/1 или 16/1) должен быть случайным, если необходим коммутатор уровня 3 между сетями VLAN.
Программное обеспечение Cisco IOS
Конфигурация уровня 3
В дополнительном разделе описаны шаги конфигурации, чтобы разрешить маршрутизатор входящего трафика PVLAN. Если необходимо только активировать соединение уровня 2, данный этап можно опустить.
Настройте интерфейс VLAN также, как и при настройке для обычной маршрутизации уровня 3.
В данную конфигурацию входит:
Активация интерфейса с помощью команды no shutdown
Проверка существования сети VLAN в базе данных VLAN
Сопоставьте вторичные сети VLAN, которые необходимо маршрутизировать, первичной VLAN.
Примечание. Настройте интерфейсы VLAN уровня 3 (L3) только для первичных VLAN. Интерфейсы VLAN для изолированных и общих VLAN являются неактивными с помощью конфигурации изолированных или общих VLAN.
Выполните команду show interfaces private-vlan mapping (ПО Cisco IOS) или show pvlan mapping (CatOS), чтобы проверить сопоставление.
Если необходимо изменить список вторичных VLAN после конфигурации сопоставления, используйте ключевое слово add или remove.
Примечание. Для коммутаторов Catalyst 6500/6000 с MSFC убедитесь, что порт от модуля управления до модуля маршрутизации (например порт 15/1 или 16/1) является случайным.
Выполните команду show pvlan mapping, чтобы проверить сопоставление.
Конфигурации
В данном документе используются следующие конфигурации.
Access_Layer (Коммутатор Catalyst 4003. ПО CatOS)
Ядро (Коммутатор Catalyst 4006. ПО Cisco IOS)
Частные сети VLAN в нескольких коммутаторах
Частные сети VLAN можно использовать в нескольких коммутаторах двумя способами. В этом разделе описаны данные способы.
Обычные магистрали
С помощью обычных VLAN сети PVLAN могут взаимодействовать с несколькими коммутаторами. Порт магистрали переносит первичную и вторичные VLAN на соседний коммутатор. Порт магистрали взаимодействует с частной VLAN также, как и с другими сетями VLAN. Функция сетей PVLAN в нескольких коммутаторах состоит в том, чтобы трафик изолированного порта на одном коммутаторе не достигал изолированного порта на другом коммутаторе.
Настройте сети PVLAN на всех промежуточных устройствах, в которых находятся устройства без портов PVLAN, чтобы поддержать безопасность конфигурации PVLAN и избежать другого использования сетей VLAN, настроенных в качестве сетей PVLAN.
Порты магистрали направляют трафик из обычных VLAN, а также из первичных, изолированных и общих VLAN.
Совет. Cisco рекомендует использовать стандартные порты магистрали, если оба коммутатора с магистральным соединением поддерживают сети PVLAN.
Так как протокол VTP не поддерживает сети PVLAN, необходимо настроить их вручную на всех коммутаторах в сети уровня 2. Если не настроить объединение первичной и вторичных сетей VLAN в некоторых коммутаторах в сети, базы данных уровня 2 в данных коммутаторах не объединятся. Это может привести к лавинной маршрутизации трафика PVLAN на данных коммутаторах.
Магистрали частных сетей VLAN
Порт магистрали PVLAN может вмещать несколько вторичных сетей PVLAN, а также сети, отличные от сетей PVLAN. Пакеты получают и передают с помощью тегов вторичных или обычных VLAN на портах магистрали PVLAN.
Поддерживается только инкапсуляция IEEE 802.1q. С помощью изолированных портов магистрали можно объединять трафик всех вторичных портов на магистрали. С помощью случайных портов магистрали можно объединять несколько случайных портов, необходимых в данной топологии, в один порт магистрали, который вмещает несколько первичных сетей VLAN.
Дополнительные сведения см. в разделе Магистрали частных сетей VLAN.
Чтобы настроить интерфейс в качестве порта магистрали PVLAN, см. раздел Конфигурация интерфейса уровня 2 в качестве порта магистрали PVLAN.
Чтобы настроить интерфейс в качестве случайного порта магистрали, см. раздел Конфигурация интерфейса уровня 2 в качестве случайного порта магистрали.
Проверка
Используйте этот раздел для того, чтобы подтвердить, что ваша конфигурация работает правильно.
CatOS
show pvlan – отображает конфигурацию PVLAN. Проверьте связь изолированных и первичных сетей VLAN друг с другом. А также проверьте отображение портов хоста.
show pvlan mapping – отображает сопоставление PVLAN с конфигурацией на случайных портах.
Программное обеспечение Cisco IOS
show vlan private-vlan – отображает сведения о PVLAN со связанными портами.
show interface mod/port switchport – отображает сведения об интерфейсах. Проверьте правильность работы рабочего режима, а также рабочие параметры PVLAN.
show interfaces private-vlan mapping – отображает настроенное сопоставление сетей PVLAN.
Процедура проверки
Выполните следующие шаги:
Проверьте конфигурацию PVLAN на коммутаторах.
Проверьте связь/сопоставление первичных и вторичных сетей PVLAN друг с другом. А также проверьте включение необходимых портов.
Проверьте правильность конфигурации случайного порта.
Следующие выходные данные указывают, что рабочий режим портов – promiscuous, рабочие сети VLAN – 100 и 101.
Запустите пакет запроса ICMP-эхо из порта хоста на случайный порт.
Помните, что так как оба устройства находятся в первичной VLAN, они могут быть в одной сети.
Выполните запрос ICMP-эхо между портами хоста.
В следующем промере host_port_2 (10.1.1.99) отправляет запрос ICMP-эхо на host_port (10.1.1.100). Выполнение данного запроса не удалось. Однако выполнение запроса ICMP-эхо из другого порта хоста на случайный порт прошло успешно.
Устранение неполадок
Поиск и устранение неполадок в сетях PVLAN
В данном разделе описаны некоторые основные проблемы, которые возникают во время конфигурации PVLAN.
Проблема 1
Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В таблице раздела Правила и ограничения данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.
Процедура разрешения. Если нет поддержки на порте PVLAN, выберите порт в другой ASIC на данном или на другом модуле. Чтобы возобновить деятельность портов, удалите конфигурацию изолированного или общего порта VLAN и выполните команды shutdown и no shutdown.
Проблема 2
Объяснение. Из-за ограничений аппаратного обеспечения модули коммутаторов Catalyst 6500/6000 10/100-Mbps ограничивают конфигурацию изолированного или общего порта VLAN, если порт в специализированной интегральной схеме одного COIL является магистралью, назначением SPAN или случайным портом PVLAN. (Специализированная интегральная схема COIL контролирует 12 портов на большинстве модулей и 48 портов на модуле Catalyst 6548.) В таблице раздела Правила и ограничения данного документа представлены сведения об ограничении портов на модулях коммутаторов Catalyst 6500/6000 10/100-Mbps.
Процедура разрешения. Выполните команду show pvlan capability (CatOS), которая указывает преобразование порта в порт PVLAN. Если нет поддержки для PVLAN на определенном порте, выберите порт в другой ASIC на данном или на другом модуле.
Проблема 3
Не удается настроить PVLAN на некоторых платформах.
Решение. Проверьте, чтобы платформа поддерживала сети PVLAN. Чтобы определить, поддерживает ли платформа или версия ПО сети PVLAN перед началом конфигурации, см. раздел Матрица поддержки коммутаторов Catalyst на частных сетях VLAN.
Проблема 4
На MSFC коммутатора Catalyst 6500/6000 невозможно выполнить запрос ICMP-эхо на устройство, которое соединено с изолированным портом на данном коммутаторе.
Решение. На модуле управления проверьте, чтобы данный порт на MSFC (15/1 или 16/1) является случайным.
Также настройте интерфейс VLAN на MSFC, как указано в разделе Конфигурация уровня 3 данного документа.
Проблема 5
С помощью команды no shutdown невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN.
Решение. Из-за сущности сетей PVLAN невозможно активировать интерфейс VLAN для изолированных или общих сетей VLAN. Можно активировать только тот интерфейс VLAN, который относится к первичной VLAN.
Проблема 6
На устройствах Catalyst 6500/6000 с MSFC/MSFC2 записи ARP, полученные на интерфейсах PVLAN уровня 3 не устаревают.
Второй способ – выполнить команду no ip sticky-arp в ПО Cisco IOS версии 12.1(11b)E и более поздних.
И самый сок, в том что нельзя использовать разделение по Vlan. То есть это должен быть один Broadcast сегмент, где по два устройства должны видеть друг друга, и устройство на up-link. Все остальные устройства подключенные к коммутатору не должны быть видны.
Обычно настройка абонентского коммутатора содержит следующие строки:
isolate-port group UPLINK switchport interface Ethernet1/0/24
isolate-port group UPLINK switchport interface Ethernet1/0/23
isolate-port group UPLINK switchport interface Ethernet1/0/22
isolate-port group UPLINK switchport interface Ethernet1/0/21
isolate-port group UPLINK switchport interface Ethernet1/0/20
isolate-port group UPLINK switchport interface Ethernet1/0/19
isolate-port group UPLINK switchport interface Ethernet1/0/18
isolate-port group UPLINK switchport interface Ethernet1/0/17
isolate-port group UPLINK switchport interface Ethernet1/0/16
isolate-port group UPLINK switchport interface Ethernet1/0/15
isolate-port group UPLINK switchport interface Ethernet1/0/14
isolate-port group UPLINK switchport interface Ethernet1/0/13
isolate-port group UPLINK switchport interface Ethernet1/0/12
isolate-port group UPLINK switchport interface Ethernet1/0/11
isolate-port group UPLINK switchport interface Ethernet1/0/10
isolate-port group UPLINK switchport interface Ethernet1/0/9
isolate-port group UPLINK switchport interface Ethernet1/0/8
isolate-port group UPLINK switchport interface Ethernet1/0/7
isolate-port group UPLINK switchport interface Ethernet1/0/6
isolate-port group UPLINK switchport interface Ethernet1/0/5
isolate-port group UPLINK switchport interface Ethernet1/0/4
isolate-port group UPLINK switchport interface Ethernet1/0/3
isolate-port group UPLINK switchport interface Ethernet1/0/2
isolate-port group UPLINK switchport interface Ethernet1/0/1
То есть если интерфейс не входит ни в одну группу или входит но в отличную от исследуемой то связь с ним возможна, но если интерфейсы входят в одну и ту же группу то между ними обмена трафиком нет.
Далее, выбрав удовлетворяющий нас механизм реализации задача клиента стала задачкой на логику
Логика в данном случае изолировать каждый конкретный порт от конкретного порта.
Записей и групп изоляции портов в данном случает будет целая уйма, но сама задача будет решена.
При этом для решения мы использовали обычный гигабитный коммутатор доступа QSW-4610-28T-AC, стоимость которого, на момент написания статьи в розницу составляет 18 000 рублей.
Но если вы хотите купить данный коммутатор со скидкой, не стесняйтесь и напишите мне удобным для вас способом.
Для реализации изоляции 2-го уровня между интерфейсами, необходимо добавить каждый интерфейс в другую VLAN. Однако использование данного метода приводит к затратам ресурсов VLAN. Изоляция портов позволяет изолировать интерфейсы в одной и той же VLAN, и группа изоляции портов позволяет эффективно реализовать изоляцию 2-го уровня между этими интерфейсами. Изоляция портов обеспечивает безопасные и гибкие сетевые решения.
Режим изоляции порта может быть изоляцией 2-го уровня и взаимодействием 3-го уровня или изоляцией 2-го уровня и 3-го уровня.
- Для изоляции широковещательных пакетов в одной VLAN, но чтобы пользователи могли подключаться к различным интерфейсам для взаимодействия на 3 уровне, необходимо установить режим изоляции порта как изоляцию 2-го уровня и взаимодействие 3-го уровня.
- Чтобы запретить взаимодействие интерфейсов одной и той же VLAN как на 2 уровне, так и на 3 уровне, необходимо установить режим изоляции порта как изоляцию 2-го уровня и 3-го уровня.
Примечания по конфигурированию
- Этот пример применим ко всем версиям всех коммутаторов серии S.
- Не добавьте оба восходящих и нисходящих интерфейса в одну и ту же группу изоляции портов, если это не требуется. В противном случае восходящие и нисходящие интерфейсы не смогут взаимодействовать.
- Коммутаторы серии S поддерживают изоляцию 2-го уровня и взаимодействие 3-го уровня.
- Все модульные коммутаторы серии S поддерживают изоляцию на 2 и 3-го уровнях.
Коммутаторы закрытого типа серии S поддерживают изоляцию на 2 и 3-го уровнях За исключением S2700SI и S2700EI версии V100R006C05, а также S1720GFR, S1720GW, S1720GWR, S1720X, S1720GW-E, S1720GWR-E, S1720X-E, S2720EI, S2750EI, S5700LI, S5720LI, S6720LI, S6720S-LI, S5710-X-LI, S5710-C-LI, S5700SLI и S5720S-LI версии V200R001 и более поздних версий.
Требования к сети
В отдел РнД входят сотрудники компании, партнерскаякомпания A и партнерская компания B. Как показано на схеме, PC1 и PC2 используются двумя сотрудниками партнерских компаний A и B соответственно, a PC3 используется сотрудником отдела научных исследований и разработок компании.
Предъявляются следующие требования:
- Ресурсы VLAN необходимо экономить.
- Сотрудники компаний A и B не должны взаимодействовать друг с другом.
- Сотрудники компаний A и B могут взаимодействовать с сотрудниками компании.
Схема настройки выглядит следующим образом:
1. Добавьте интерфейсы в VLAN.
2. Добавьте интерфейсы в группу изоляции портов для реализации изоляции 2-го уровня между этими интерфейсами. Режим изоляции порта по умолчанию – это изоляция на 2 уровне и взаимодействие на 3 уровне.
Читайте также: