Switches de LAN : Segurança de LAN

Configurando VLANs Privadas Isoladas em Catalyst Switches

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (28 Julho 2013) | Inglês (11 Julho 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
      Teoria de Apoio
      Regras e Limitações
Configuração
      Diagrama de Rede
      Configuração de VLANs Principais e Isoladas
      Atribuição de Portas a PVLANs
      Configuração da Camada 3
      Configurações
      VLANs Privadas entre Vários Switches
Verificação
Troubleshooting
      Troubleshooting de PVLANs
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Em algumas situações, é necessário evitar a conectividade da Camada 2 (L2) entre dispositivos finais em um switch sem colocar os dispositivos em subredes IP diferentes. Essa configuração evita o desperdício de endereços IP. As PVLANs (VLANs Privadas) permitem o isolamento na Camada 2 de dispositivos que se encontram na mesma subrede IP. É possível restringir algumas portas do switch para que alcancem somente portas específicas que possuem um gateway padrão, um servidor de backup ou o Cisco LocalDirector conectado.

Este documento descreve o procedimento para configurar PVLANs isoladas em Cisco Catalyst switches com o Catalyst OS (CatOS) ou o Cisco IOS® Software.

Pré-requisitos

Requisitos

Este documento pressupõe que já exista uma rede e que você seja capaz de estabelecer a conectividade entre as diversas portas para adicioná-las a uma PVLAN. Se você tiver vários switches, certifique-se de que o tronco entre eles funcione corretamente e permita as PVLANs.

Nem todas as versões de software e switches oferecem suporte a PVLANs. Antes de iniciar a configuração, consulte a Matriz de Suporte a Catalyst Switches em VLANs Privadas para saber se a sua plataforma e a sua versão de software oferecem suporte a PVLANs.

Nota: Alguns switches (conforme especificado na Matriz de Suporte a Catalyst Switches em VLANs Privadas) oferecem suporte apenas ao recurso de Extremidade PVLAN no momento. O termo "portas protegidas" também se refere a esse recurso. As portas da Extremidade PVLAN apresentam uma restrição que impede a comunicação com outras portas protegidas no mesmo switch. Entretanto, as portas protegidas em switches separados podem se comunicar. Não confunda esse recurso com as configurações normais de PVLAN mostradas neste documento. Para obter mais informações sobre portas protegidas, consulte a seção Configuração da Segurança de Portas do documento Configurando o Controle de Tráfego Baseado em Porta.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Catalyst 4003 switch com Supervisor Engine 2 Module que executa o CatOS versão 6.3(5)

  • Catalyst 4006 switch com Supervisor Engine 3 Module que executa o Cisco IOS Software Release 12.1(12c)EW1

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Teoria de Apoio

Uma PVLAN é uma VLAN com uma configuração de isolamento da Camada 2 em relação a outras portas da mesma subrede ou domínio de broadcast. Você pode atribuir um conjunto específico de portas em uma PVLAN e, dessa maneira, controlar o acesso entre as portas da Camada 2. Também pode configurar PVLANs e VLANs normais no mesmo switch.

Há três tipos de portas PVLAN: heterogênea, isolada e de comunidade.

  • Uma porta heterogênea se comunica com todas as outras portas PVLAN. Essa porta é geralmente utilizada para a comunicação com roteadores externos, LocalDirectors, dispositivos de gerenciamento de rede, servidores de backup, estações de trabalho administrativas, além de outros dispositivos. Em alguns switches, a porta conectada ao módulo de rota (por exemplo, MSFC [Multilayer Switch Feature Card]) precisa ser heterogênea.

  • Uma porta isolada encontra-se totalmente separada de outras portas da mesma PVLAN na Camada 2. Essa separação inclui broadcasts, e a única exceção é a porta heterogênea. A privacidade no nível da Camada 2 é garantida com o bloqueio do tráfego de saída para todas as portas isoladas. O tráfego proveniente de uma porta isolada é encaminhado somente para todas as portas heterogêneas.

  • As portas de comunidade podem se comunicar entre si e com as portas heterogêneas. Essas portas apresentam isolamento da Camada 2 em relação a todas as outras portas de outras comunidades ou a portas isoladas da PVLAN. Os broadcasts são propagados apenas entre as portas de comunidade associadas e a porta heterogênea.

    Nota: Este documento não aborda a configuração de VLANs de comunidade.

Para obter mais informações sobre PVLANs, consulte a seção Configuração de VLANs Privadas do documento Compreendendo e Configurando VLANs.

Regras e Limitações

Esta seção fornece algumas regras e limitações que você deverá considerar ao implementar PVLANs. Para obter uma lista mais completa, consulte a seção Diretrizes para a Configuração de VLANs Privadas do documento Configurando VLANs.

Configuração

Nesta seção, você encontrará as informações para configurar os recursos descritos neste documento.

Nota: Utilize a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos utilizados neste documento.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

194-a.gif

Neste cenário, há uma restrição de comunicação na Camada 2 entre os dispositivos da VLAN isolada ("101"). Entretanto, os dispositivos podem se conectar à Internet. Além disso, a porta "Gig 3/26" no 4006 possui a designação heterogênea. Essa configuração opcional permite que um dispositivo na GigabitEthernet 3/26 se conecte a todos os da VLAN isolada. Ela também permite, por exemplo, o backup dos dados de todos os dispositivos host da PVLAN em uma estação de trabalho administrativa. Outros usos de portas heterogêneas incluem a conexão com roteadores externos, LocalDirectors, dispositivos de gerenciamento de rede, além de outros dispositivos.

Configuração de VLANs Principais e Isoladas

Execute estes passos para criar as VLANs principais e secundárias, bem como para vincular as diversas portas a essas VLANs. Os passos incluem exemplos do CatOS e do Cisco IOS Software. Execute o conjunto de comandos adequado para sua instalação de OS.

  1. Crie a PVLAN principal.

    • CatOS

      Switch_CatOS> (enable) set vlan primary_vlan_id
      pvlan-type primary name primary_vlan
      
      
      
      !--- Nota: Este comando deve estar em uma linha.
      
      VTP advertisements transmitting temporarily stopped,
      and will resume after the command finishes.
      Vlan 100 configuration successful
    • Cisco IOS Software

      Switch_IOS(config)#vlan primary_vlan_id
      
      Switch_IOS(config-vlan)#private-vlan primary
      
      Switch_IOS(config-vlan)#name primary-vlan
      
      Switch_IOS(config-vlan)#exit
      
  2. Crie a(s) VLAN(s) isolada(s).

    • CatOS

      Switch_CatOS> (enable) set vlan secondary_vlan_id
      pvlan-type isolated name isolated_pvlan
      
      
      
      !--- Nota: Este comando deve estar em uma linha.
      
      VTP advertisements transmitting temporarily stopped,
      and will resume after the command finishes.
      Vlan 101 configuration successful 
    • Cisco IOS Software

      Switch_IOS(config)#vlan secondary_vlan_id
      
      Switch_IOS(config-vlan)#private-vlan isolated
      
      Switch_IOS(config-vlan)#name isolated_pvlan
      
      Switch_IOS(config-vlan)#exit    
  3. Vincule a(s) VLAN(s) isolada(s) à VLAN principal.

    • CatOS

      Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id
      
      Vlan 101 configuration successful
      Successfully set association between 100 and 101.
    • Cisco IOS Software

      Switch_IOS(config)#vlan primary_vlan_id
      
      Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id
      
      Switch_IOS(config-vlan)#exit
      
  4. Verifique a configuração da VLAN privada.

    • CatOS

      Switch_CatOS> (enable) show pvlan
      Primary Secondary Secondary-Type   Ports
      ------- --------- ---------------- ------------
      100     101       isolated     
    • Cisco IOS Software

      Switch_IOS#show vlan private-vlan
      Primary  Secondary  Type              Ports
      ------- --------- ----------------- -------
      100     101       isolated   

Atribua Portas às PVLANs

Dica: Antes de implementar este procedimento, execute o comando show pvlan capability mod/port (no CatOS) para determinar se uma porta pode se tornar uma porta PVLAN.

Nota: Antes de executar o Passo 1 deste procedimento, execute o comando switchport no modo de configuração de interface para configurar a porta como uma interface comutada da Camada 2.

  1. Configure as portas do host em todos os switches adequados.

    • CatOS

      Switch_CatOS> (enable)set pvlan primary_vlan_id
      secondary_vlan_id mod/port
      
      
      !--- Nota: Este comando deve estar em uma linha.
      
      Successfully set the following ports to Private Vlan 100,101: 2/20
    • Cisco IOS Software

      Switch_IOS(config)#interface gigabitEthernet mod/port
      
      Switch_IOS(config-if)#switchport private-vlan host
      primary_vlan_id secondary_vlan_id
      
      
      
      !--- Nota: Este comando deve estar em uma linha.
      
      Switch_IOS(config-if)#switchport mode private-vlan host
      Switch_IOS(config-if)#exit
      
  2. Configure a porta heterogênea em um dos switches.

    • CatOS

      Switch_CatOS> (enable) set pvlan mapping primary_vlan_id
      secondary_vlan_id mod/port
      
      
      !--- Nota: Este comando deve estar em uma linha.
      
      Successfully set mapping between 100 and 101 on 3/26

      Nota: No Catalyst 6500/6000, quando o Supervisor Engine executa o CatOS como o software do sistema, a porta MSFC do Supervisor Engine (15/1 ou 16/1) deverá ser heterogênea se você desejar estabelecer o switching da Camada 3 entre as VLANs.

    • Cisco IOS Software

      Switch_IOS(config)#interface interface_type mod/port
      
      Switch_IOS(config-if)#switchport private-vlan
      mapping primary_vlan_id secondary_vlan_id
      
      
      
      !--- Nota: Este comando deve estar em uma linha.
      
      Switch_IOS(config-if)#switchport mode private-vlan promiscuous
      Switch_IOS(config-if)#end
      

Configuração da Camada 3

Esta seção opcional descreve os passos de configuração necessários para permitir o roteamento do tráfego de entrada da PVLAN. Se precisar apenas ativar a conectividade da Camada 2, você poderá ignorar essa fase.

  1. Configure a interface VLAN da mesma maneira como você configura o roteamento normal da Camada 3.

    Essa configuração envolve:

    • Configuração de um endereço IP

    • Ativação da interface com o comando no shutdown

    • Verificação de que a VLAN existe no banco de dados de VLANs

    Consulte Suporte Técnico a VLANs/VTP para obter exemplos de configuração.

  2. Mapeie as VLANs secundárias que você deseja rotear com a VLAN principal.

    Switch_IOS(config)#interface vlan primary_vlan_id
    
    Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list
    
    Switch_IOS(config-if)#end
    

    Nota: Configure as interfaces VLAN da Camada 3 somente para VLANs principais. As interfaces VLAN para VLANs isoladas e de comunidade permanecem inativas com uma configuração de VLAN isolada ou de comunidade.

  3. Execute o comando show interfaces private-vlan mapping (Cisco IOS Software) ou show pvlan mapping (CatOS) para verificar o mapeamento.

  4. Se precisar modificar a lista de VLANs secundárias após a configuração do mapeamento, use a palavra-chave add ou remove.

    Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list
    
    or
    Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
    
    

Para obter mais informações, consulte a seção Mapeamento de VLANs Secundárias para a Interface VLAN da Camada 3 de uma VLAN Principal do documento Configurando VLANs Privadas.

Nota: Para os Catalyst 6500/6000 switches com MSFC, certifique-se de que a porta que conecta o Supervisor Engine ao mecanismo de roteamento (por exemplo, a porta 15/1 ou 16/1) é heterogênea.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

Execute o comando show pvlan mapping para verificar o mapeamento.

cat6000> (enable) show pvlan mapping
Port Primary Secondary
---- ------- ---------
15/1  100      101

Configurações

Este documento utiliza estas configurações:

Access_Layer (Catalyst 4003: CatOS)

Access_Layer> (enable) show config
 This command shows non-default configurations only.
 Use 'show config all' to show both default and non-default configurations.
 .............

 
!--- Saída suprimida.


 #system
 set system name  Access_Layer
 !
 #frame distribution method
 set port channel all distribution mac both
 !
 #vtp
 set vtp domain Cisco
 set vtp mode transparent
 set vlan 1 name default type ethernet mtu 1500 said 100001 state active
 set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500
 said 100100 state active

!--- Esta é a VLAN 100 principal.
!--- Nota: Este comando deve estar em uma linha.

 set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu
 1500 said 100101 state active

!--- Esta é a VLAN 101 isolada.
!--- Nota: Este comando deve estar em uma linha.

 set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active


!--- Saída suprimida.


 #module 1 : 0-port Switching Supervisor
 !
 #module 2 : 24-port 10/100/1000 Ethernet
 set pvlan 100 101 2/20

!--- A porta 2/20 é a porta do host da PVLAN na VLAN 100 principal,
!--- VLAN 101 isolada.

 set trunk 2/3  desirable dot1q 1-1005
 set trunk 2/4  desirable dot1q 1-1005
 set trunk 2/20 off dot1q 1-1005

!--- O entroncamento é desabilitado automaticamente nas portas do host da PVLAN.

 set spantree portfast    2/20 enable

!--- O PortFast é habilitado automaticamente nas portas do host da PVLAN.

 set spantree portvlancost 2/1  cost 3


!--- Saída suprimida.


 set spantree portvlancost 2/24 cost 3
 set port channel 2/20 mode off

!--- A canalização de portas é desabilitada automaticamente nas portas do
!--- host da PVLAN.

 set port channel 2/3-4 mode desirable silent
 !
 #module 3 : 34-port 10/100/1000 Ethernet
 end

Base (Catalyst 4006: Cisco IOS Software)

Core#show running-config
 Building configuration...

 
!--- Saída suprimida.

 !
 hostname Core
 !
 vtp domain Cisco
 vtp mode transparent

!--- O modo de VTP é transparent, conforme exigido pelas PVLANs.

 ip subnet-zero
 !
 vlan 2-4,6,10-11,20-22,26,28
 !
 vlan 100
  name primary_for_101
   private-vlan primary
   private-vlan association 101
 !
 vlan 101
  name isolated_under_100
   private-vlan isolated
 !
 interface Port-channel1

!--- Este é o canal de portas para a interface GigabitEthernet3/1
!--- e a interface GigabitEthernet3/2.

  switchport
  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
 !
 interface GigabitEthernet1/1
 !
 interface GigabitEthernet1/2
 !
 interface GigabitEthernet3/1

!--- Este é o tronco para o switch Access_Layer.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/2

!--- Este é o tronco para o switch Access_Layer.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/3
 !

!--- Há uma omissão da configuração da interface
!--- que não é usada.

 !
 interface GigabitEthernet3/26
  
  switchport private-vlan mapping 100 101
  switchport mode private-vlan promiscuous

!--- Configure a porta como promíscua para a PVLAN 101.

 !

!--- Há uma omissão da configuração da interface
!--- que não é usada.

 !

!--- Saída suprimida.

 interface Vlan25

!--- Esta é a conexão para a Internet.

  ip address 10.25.1.1 255.255.255.0
 !
 interface Vlan100

!--- Esta é a interface da Camada 3 para a VLAN principal.

  ip address 10.1.1.1 255.255.255.0
  private-vlan mapping 101

!--- Mapeie a VLAN 101 na interface de VLAN da VLAN principal (100).
!--- Tráfego de entrada para dispositivos nas rotas da VLAN 101 isolada
!--- via interface da VLAN 100.

VLANs Privadas Entre Vários Switches

Há dois métodos para estender as VLANs privadas entre vários switches. Esta seção aborda esses métodos:

Troncos Normais

Como as VLANs normais, as PVLANs podem abranger vários switches. Uma porta de tronco transporta o tráfego da VLAN principal e das VLANs secundárias até um switch vizinho. Essa porta trata a VLAN privada como qualquer outra VLAN. Uma característica das PVLANs entre vários switches é que o tráfego de uma porta isolada em um switch não alcança uma porta isolada em outro switch.

Configure PVLANs em todos os dispositivos intermediários, incluindo dispositivos que não possuem portas PVLAN, a fim de manter a segurança de sua configuração de PVLAN e evitar que as VLANs configuradas como PVLANs sejam utilizadas para outros fins.

As portas de tronco transportam o tráfego de VLANs normais, bem como de VLANs principais, isoladas e de comunidade.

Dica: A Cisco recomenda o uso de portas de tronco padrão se os dois switches envolvidos no entroncamento oferecerem suporte a PVLANs.

194-b.gif

Como o VTP não oferece suporte a PVLANs, você deverá configurar manualmente as PVLANs em todos os switches da rede da Camada 2. Se você não configurar a associação de VLANs principais e secundárias em alguns switches da rede, os bancos de dados da Camada 2 desses switches não serão mesclados. Essa situação poderá resultar em uma inundação desnecessária do tráfego PVLAN nesses switches.

Troncos de VLANs Privadas

Uma porta de tronco PVLAN é capaz de transportar o tráfego de várias PVLANs secundárias e de redes diferentes de PVLANs. Os pacotes são recebidos e transmitidos com marcas de VLAN secundária ou normal nas portas de tronco PVLAN.

Há suporte somente para encapsulamento IEEE 802.1q. As portas de tronco isoladas permitem combinar o tráfego de todas as portas secundárias em um tronco. As portas de tronco heterogêneas permitem combinar as diversas portas heterogêneas necessárias nessa topologia em um único tronco que transporta o tráfego de várias VLANs principais.

Consulte Troncos de VLANs Privadas para obter mais informações.

Consulte Configuração de uma Interface da Camada 2 como uma Porta de Tronco PVLAN para configurar uma interface como uma porta de tronco PVLAN.

Consulte Configuração de uma Interface da Camada 2 como uma Porta de Tronco Heterogênea para configurar uma interface como uma porta de tronco heterogênea.

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Utilize a OIT para exibir uma análise da saída do comando show.

CatOS

  • show pvlan — Exibe a configuração da PVLAN. Verifique se as VLANs isoladas e principais estão associadas. Além disso, verifique se alguma porta de host é exibida.

  • show pvlan mapping — Exibe o mapeamento de PVLANs com a configuração nas portas heterogêneas.

Cisco IOS Software

  • show vlan private-vlan — Exibe informações sobre as PVLANs, incluindo as portas associadas.

  • show interface mod/port switchport — Exibe informações específicas da interface. Verifique se as definições do modo operacional bem como das PVLANs operacionais estão corretas.

  • show interfaces private-vlan mapping — Exibe o mapeamento de PVLANs configurado.

Procedimento de Verificação

Execute estes passos:

  1. Verifique a configuração das PVLANs nos switches.

    Verifique a associação/mapeamento entre as PVLANs principais e secundárias. Verifique também se as portas necessárias estão incluídas.

    Access_Layer> (enable) show pvlan
    Primary Secondary Secondary-Type   Ports
    ------- --------- ---------------- ------------
     100     101       isolated         2/20
    
    Core#show vlan private-vlan
    
    Primary Secondary Type              Ports
    ------- --------- ----------------- -----------
    100     101       isolated          Gi3/26
  2. Verifique a configuração correta da porta heterogênea.

    Esta saída indica que o modo operacional da porta é promiscuous e que as VLANs operacionais são a 100 e a 101.

    Core#show interface gigabitEthernet 3/26 switchport 
    Name: Gi3/26
    Switchport: Enabled
    Administrative Mode: private-Vlan promiscuous
    Operational Mode: private-vlan promiscuous
    Administrative Trunking Encapsulation: negotiate
    Operational Trunking Encapsulation: native
    Negotiation of Trunking: Off
    Access Mode VLAN: 1 (default)
    Trunking Native Mode VLAN: 1 (default)
    Voice VLAN: none
    Administrative Private VLAN Host Association: none
    Administrative Private VLAN Promiscuous Mapping: 100
    (primary_for_101) 101 (isolated_under_100)
    Private VLAN Trunk Native VLAN: none
    Administrative Private VLAN Trunk Encapsulation: dot1q
    Administrative Private VLAN Trunk Normal VLANs: none
    Administrative Private VLAN Trunk Private VLANs: none
    Operational Private VLANs:
    100 (primary_for_101) 101 (isolated_under_100) 
    Trunking VLANs Enabled: ALL
    Pruning VLANs Enabled: 2-1001
    Capture Mode Disabled
    Capture VLANs Allowed: ALL
  3. Inicie um pacote de ping ICMP (Internet Control Message Protocol) da porta do host para a porta heterogênea.

    Lembre-se de que, como os dois dispositivos estão na mesma VLAN principal, eles devem estar na mesma subrede.

    host_port#show arp
    Protocol  Address          Age (min)  Hardware Addr   Type   Interface
    Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
    
    !--- A tabela do Address Resolution Protocol (ARP) no cliente indica
    !--- que nenhum outro endereço MAC além dos endereços dos clientes é conhecido.
    
    host_port#ping 10.1.1.254
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
    .!!!!
    Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
    
    !--- Ping bem-sucedido. O primeiro ping falha enquanto o
    !--- dispositivo tenta mapear via ARP para o endereço MAC do peer.
    
    
    host_port#show arp
    Protocol  Address          Age (min)  Hardware Addr   Type   Interface
    Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
    Internet  10.1.1.254              0   0060.834f.66f0  ARPA   FastEthernet0/24
    
    !--- Há agora uma nova entrada de endereço MAC para o peer.
    
    
  4. Inicie um ping ICMP entre as portas do host.

    Neste exemplo, host_port_2 (10.1.1.99) tenta efetuar ping em host_port (10.1.1.100). Esse ping falha. Entretanto, um ping de outra porta do host para a porta heterogênea ainda é executado com êxito.

    host_port_2#ping 10.1.1.100
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds:
    .....
    Success rate is 0 percent (0/5)
    
    !--- O ping entre as portas do host falha, o que é desejável.
    
    
    host_port_2#ping 10.1.1.254
    
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
    !!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
    
    !--- O ping para a porta promíscua ainda é bem-sucedido.
    
    
    host_port_2#show arp
    Protocol  Address          Age (min)  Hardware Addr   Type   Interface
    Internet  10.1.1.99               -   0005.7428.1c40  ARPA   Vlan1
    Internet  10.1.1.254              2   0060.834f.66f0  ARPA   Vlan1
    
    !--- A tabela ARP inclui somente uma entrada para esta porta e
    !--- a porta promíscua.
    
    

Troubleshooting

Troubleshooting de PVLANs

Esta seção trata de alguns problemas comuns nas configurações de PVLANs.

Problema 1

Você recebe esta mensagem de erro: %PM-SP-3-ERR_INCOMP_PORT: <mod/port> is set to inactive because <mod/port> is a trunk port

Explicação: Devido a limitações de hardware, os Catalyst 6500/6000 Modules de 10/100 Mbps restringem a configuração de uma porta VLAN isolada ou de comunidade quando uma porta no mesmo ASIC COIL é um tronco, um destino SPAN ou uma porta PVLAN heterogênea. (O ASIC COIL controla 12 portas na maioria dos módulos e 48 portas no Catalyst 6548 Module.) A tabela apresentada na seção Regras e Limitações deste documento indica as restrições de porta nos Catalyst 6500/6000 Modules de 10/100 Mbps.

Procedimento de Resolução: Se não houver suporte para PVLAN nessa porta, selecione uma porta em um ASIC diferente no mesmo ou em outro módulo. Para reativar as portas, remova a configuração da porta VLAN isolada ou de comunidade e execute os comandos shutdown e no shutdown.

Nota: No Cisco IOS Software Release 12.2(17a)SX e releases posteriores, a restrição de 12 portas não se aplica aos WS-X6548-RJ-45, WS-X6548-RJ-21 e WS-X6524-100FX-MM Ethernet Switching Modules. Para obter mais informações sobre as limitações de configuração de PVLANs com outros recursos, consulte a seção Limitações com Outros Recursos deConfigurando VLANs Privadas (PVLANs).

Problema 2

Durante a configuração da PVLAN, você encontra uma destas mensagens:

  • Cannot add a private vlan mapping to a port with another Private port in
    the same ASIC.
    Failed to set mapping between <vlan> and <vlan> on <mod/port>
  • Port with another Promiscuous port in the same ASIC cannot be made
    Private port.
    Failed to add ports to association.

Explicação: Devido a limitações de hardware, os Catalyst 6500/6000 Modules de 10/100 Mbps restringem a configuração de uma porta VLAN isolada ou de comunidade quando uma porta no mesmo ASIC COIL é um tronco, um destino SPAN ou uma porta PVLAN heterogênea. (O ASIC COIL controla 12 portas na maioria dos módulos e 48 portas no Catalyst 6548 Module.) A tabela apresentada na seção Regras e Limitações deste documento indica as restrições de porta nos Catalyst 6500/6000 Modules de 10/100 Mbps.

Procedimento de Resolução: Execute o comando show pvlan capability (CatOS), que indica se uma porta pode se tornar uma porta PVLAN. Se não houver suporte para PVLAN nessa porta específica, selecione uma porta em um ASIC diferente no mesmo ou em outro módulo.

Nota: No Cisco IOS Software Release 12.2(17a)SX e releases posteriores, a restrição de 12 portas não se aplica aos WS-X6548-RJ-45, WS-X6548-RJ-21 e WS-X6524-100FX-MM Ethernet Switching Modules. Para obter mais informações sobre as limitações de configuração de PVLANs com outros recursos, consulte a seção Limitações com Outros Recursos deConfigurando VLANs Privadas (PVLANs).

Problema 3

Não é possível configurar PVLANs em algumas plataformas.

Resolução: Verifique se a plataforma oferece suporte a PVLANs. Consulte a Matriz de Suporte a Catalyst Switches em VLANs Privadas para saber se a sua plataforma e a sua versão de software oferecem suporte a PVLANs antes de iniciar a configuração.

Problema 4

Em uma MSFC Catalyst 6500/6000, não é possível efetuar ping em um dispositivo conectado à porta isolada do switch.

Resolução: No Supervisor Engine, verifique se a porta conectada à MSFC (15/1 ou 16/1) é heterogênea.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

Além disso, configure a interface VLAN na MSFC conforme especificado na seção Configuração da Camada 3 deste documento.

Problema 5

Quando o comando no shutdown é executado, não é possível ativar a interface VLAN para VLANs isoladas ou de comunidade.

Resolução: Devido à natureza das PVLANs, não é possível ativar a interface VLAN para VLANs isoladas ou de comunidade. Você só poderá ativar a interface VLAN pertencente à VLAN principal.

Problema 6

Nos dispositivos Catalyst 6500/6000 com MSFC/MSFC2, as entradas ARP aprendidas nas interfaces PVLAN da Camada 3 não expiram.

Resolução: As entradas ARP aprendidas nas interfaces VLAN privadas da Camada 3 são permanentes e não expiram. A conexão de um novo equipamento com o mesmo endereço IP gera uma mensagem e uma entrada ARP não é criada. Portanto, será necessário remover as entradas ARP da porta PVLAN manualmente caso um endereço MAC seja alterado. Para adicionar ou remover manualmente entradas ARP da PVLAN, execute estes comandos:

Router(config)#no arp 11.1.3.30
IP ARP:Deleting Sticky ARP entry 11.1.3.30
Router(config)#arp 11.1.3.30 0000.5403.2356 arpa
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by
hw:0000.5403.2356

Outra opção é executar o comando no ip sticky-arp no Cisco IOS Software Release 12.1(11b)E e posterior.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 40781