Configurando VLANs privadas isoladas em Switches Catalyst

Introduction

Em algumas situações, é necessário impedir a conectividade da Camada 2 (L2) entre dispositivos finais em um switch sem a colocação dos dispositivos em sub-redes IP diferentes. Esta instalação impede o desperdício de endereços IP. As VLAN Privadas (PVLAN) permitem o isolamento na Camada 2 de dispositivos na mesma sub-rede IP. É possível restringir algumas portas no switch para se obter apenas algumas portas específicas que têm um gateway padrão, um servidor de backup ou um Cisco LocalDirector integrado.

Este documento descreve o procedimento para configurar PVLANs isoladas em Cisco Catalyst Switches com Catalyst OS (CatOS) ou Cisco IOS® Software.

Prerequisites

Requirements

Este documento pressupõe que você já tem uma rede existente e pode estabelecer conectividade entre as várias portas para adição a uma PVLAN. Se você tiver vários switches, certifique-se de que o tronco entre os switches funcione corretamente e permita as PVLANs no tronco.

Nem todos os switches e versões de software oferecem suporte a PVLAN. Consulte Private VLAN Catalyst Switch Support Matrix para determinar se sua plataforma e versão de software suportam PVLANs antes de iniciar a configuração.

Observação: alguns switches (conforme especificado na Private VLAN Catalyst Switch Support Matrix ) atualmente suportam somente o recurso PVLAN Edge. O termo "portas protegidas" também se refere a esse recurso. As portas PVLAN Edge têm uma restrição que impede a comunicação com outras portas protegidas no mesmo switch. As portas protegidas em switches separados, no entanto, podem se comunicar entre si. Não confunda esse recurso com as configurações PVLAN normais mostradas neste documento. Para obter mais informações sobre portas protegidas, consulte a seção Configuração da Segurança de Porta do documento Configuração do Controle de Tráfego Baseado em Porta.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Switch Catalyst 4003 com módulo Supervisor Engine 2 que executa CatOS versão 6.3(5)

• Switch Catalyst 4006 com módulo Supervisor Engine 3 que executa o Software Cisco IOS versão 12.1(12c)EW1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Material de Suporte

Uma PVLAN é uma VLAN com configuração para isolamento da Camada 2 de outras portas dentro do mesmo domínio de broadcast ou sub-rede. Você pode atribuir um conjunto específico de portas dentro de uma PVLAN e, assim, controlar o acesso entre as portas na Camada 2. Você pode configurar PVLANs e VLANs normais no mesmo switch.

Há três tipos de portas PVLAN: misturado, isolado e comunidade.

• Uma porta promíscua se comunica com todas as outras portas PVLAN. A porta promíscua é a porta que você normalmente usa para se comunicar com roteadores externos, LocalDiretors, dispositivos de gerenciamento de rede, servidores de backup, estações de trabalho administrativas e outros dispositivos. Em alguns switches, a porta para o módulo de rota (por exemplo, Multilayer Switch Feature Card [MSFC]) precisa ser promíscua.

• Uma porta isolada tem separação completa da camada 2 de outras portas dentro do mesmo PVLAN. Essa separação inclui broadcasts, e a única exceção é a porta promíscua. Uma concessão de privacidade no nível da Camada 2 ocorre com o bloco de tráfego de saída para todas as portas isoladas. O tráfego que vem de uma porta isolada encaminha para todas as portas promíscuas somente.

• Os portos comunitários podem comunicar entre si e com os portos mistos. Essas portas têm isolamento de Camada 2 de todas as outras portas em outras comunidades ou portas isoladas dentro da PVLAN. As difusões são propagadas apenas entre as portas de comunidade associadas e a porta heterogênea (sem restrições).

  Observação: este documento não aborda a configuração de VLAN de comunidade.

Para obter mais informações sobre PVLANs, consulte a seção Configurando VLANs Privadas do documento Entendendo e Configurando VLANs.

Regras e limitações

Esta seção fornece algumas regras e limitações para as quais você deve observar ao implementar PVLANs. Para obter uma lista mais completa, consulte a seção Private VLAN Configuration Guidelines do documento Configuring VLANs.

• As PVLANs não podem incluir as VLANs 1 ou 1002-1005.

• Você deve definir o modo VLAN Trunk Protocol (VTP) como transparente.

• Você só pode especificar uma VLAN isolada por VLAN primária.

• Você só pode designar uma VLAN como PVLAN se essa VLAN não tiver atribuições de porta de acesso atuais. Remova todas as portas nessa VLAN antes de tornar a VLAN uma PVLAN.

• Não configure portas PVLAN como EtherChannels.

• Devido a limitações de hardware, os módulos de switch Catalyst 6500/6000 Fast Ethernet restringem a configuração de uma porta VLAN isolada ou comunitária quando uma porta dentro do mesmo circuito integrado específico de aplicação (ASIC - Application-Specific Integrated Circuit) COIL é uma destas:

  • Um tronco

  • Um destino do analisador de porta comutada (SPAN)

  • Uma porta PVLAN promíscua

  Esta tabela indica o intervalo de portas que pertencem ao mesmo ASIC nos módulos FastEthernet do Catalyst 6500/6000:

  Módulo	Portas por ASIC
  WS-X6224-100FX-MT, WS-X6248-RJ-45, WS-X6248-TEL	Portas 1-12, 13-24, 25-36, 37-48
  WS-X6024-10FL-MT	Portas 1-12, 13-24
  WS-X6548-RJ-45, WS-X6548-RJ-21	Portas 1-48

  O comando show pvlan capabilities (CatOS) também indica se você pode tornar uma porta uma porta PVLAN. Não há nenhum comando equivalente no Cisco IOS Software.

• Se você excluir uma VLAN que usa na configuração de PVLAN, as portas associadas à VLAN se tornarão inativas.

• Configure as interfaces de VLAN da camada 3 (L3) somente para as VLANs primárias. As interfaces de VLAN para VLANs isoladas e de comunidade estão inativas enquanto a VLAN tem uma configuração de VLAN isolada ou de comunidade. Para obter mais informações, consulte Configurando VLANs Privados.

• Você pode estender PVLANs entre switches com o uso de troncos. As portas de tronco transportam tráfego de VLANs regulares e também de VLANs primárias, isoladas e de comunidade. A Cisco recomenda o uso de portas de tronco padrão se ambos os switches que passam por entroncamento suportam PVLANs.

  Observação: você deve inserir manualmente a mesma configuração de PVLAN em cada switch com envolvimento porque o VTP no modo transparente não propaga essas informações.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Neste cenário, os dispositivos na VLAN isolada ("101") têm uma restrição de comunicação na Camada 2 entre si. No entanto, os dispositivos podem se conectar à Internet. Além disso, o porto "Gig 3/26" do 4006 tem a designação promíscua. Essa configuração opcional permite que um dispositivo em GigabitEthernet 3/26 se conecte a todos os dispositivos na VLAN isolada. Essa configuração também permite, por exemplo, o backup dos dados de todos os dispositivos de host PVLAN para uma estação de trabalho de administração. Outros usos para portas promíscuas incluem conexão com um roteador externo, LocalDirector, dispositivo de gerenciamento de rede e outros dispositivos.

Configurar as VLANs principal e isolada

Execute estas etapas para criar as VLANs principal e secundária, bem como para vincular as várias portas a essas VLANs. As etapas incluem exemplos para CatOS e Cisco IOS Software. Emita o conjunto de comandos apropriado para a instalação do SO.

1. Crie a PVLAN principal.

   • CatOS

          
     Switch_CatOS> (enable) set vlan primary_vlan_id 
     pvlan-type primary name primary_vlan
     
     
      !--- Note: Thise command should be on one line.
     
     VTP advertisements transmitting temporarily stopped,
     and will resume after the command finishes.
     Vlan 100 configuration successful

   • Cisco IOS Software

     Switch_IOS(config)#vlan primary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan primary
     
     Switch_IOS(config-vlan)#name primary-vlan
     
     Switch_IOS(config-vlan)#exit
     

2. Crie a VLAN ou VLANs isoladas.

   • CatOS

     Switch_CatOS> (enable) set vlan secondary_vlan_id 
     pvlan-type isolated name isolated_pvlan
     
     
      !--- Note: This command should be on one line.
     
     VTP advertisements transmitting temporarily stopped,
     and will resume after the command finishes.
     Vlan 101 configuration successful 

   • Cisco IOS Software

     Switch_IOS(config)#vlan secondary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan isolated
     
     Switch_IOS(config-vlan)#name isolated_pvlan
     
     Switch_IOS(config-vlan)#exit    

3. Vincule as VLAN/VLANs isoladas à VLAN principal.

   • CatOS

     Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id
     
     Vlan 101 configuration successful
     Successfully set association between 100 and 101.

   • Cisco IOS Software

     Switch_IOS(config)#vlan primary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id
     
     Switch_IOS(config-vlan)#exit
     

4. Verifique a configuração da VLAN privada.

   • CatOS

     Switch_CatOS> (enable) show pvlan
     Primary Secondary Secondary-Type   Ports
     ------- --------- ---------------- ------------
     100     101       isolated     

   • Cisco IOS Software

     Switch_IOS#show vlan private-vlan
     Primary  Secondary  Type              Ports
     ------- --------- ----------------- -------
     100     101       isolated   

Atribuir portas às PVLANs

Dica: antes de implementar este procedimento, emita o comando show pvlan capabilities mod/port (para CatOS) para determinar se uma porta pode se tornar uma porta PVLAN.

Observação: antes de executar a Etapa 1 deste procedimento, emita o comando switchport no modo de configuração de interface para configurar a porta como uma interface comutada de Camada 2.

1. Configure as portas do host em todos os Switches adequados.

   • CatOS

     Switch_CatOS> (enable)set pvlan primary_vlan_id secondary_vlan_id mod/port
     
     
     !--- Note: This command should be on one line.
     
     Successfully set the following ports to Private Vlan 100,101: 2/20

   • Cisco IOS Software

     Switch_IOS(config)#interface gigabitEthernet mod/port
     
     Switch_IOS(config-if)#switchport private-vlan host 
     primary_vlan_id secondary_vlan_id
     
     
      !--- Note: This command should be on one line.
     
     Switch_IOS(config-if)#switchport mode private-vlan host
     Switch_IOS(config-if)#exit
     

2. Configure the promiscuous port on one of the Switches.

   • CatOS

     Switch_CatOS> (enable) set pvlan mapping primary_vlan_id secondary_vlan_id mod/port
     
     
     !--- Note: This command should be on one line.
     
     Successfully set mapping between 100 and 101 on 3/26

     Observação: para o Catalyst 6500/6000 quando o Supervisor Engine executa o CatOS como o software do sistema, a porta MSFC no Supervisor Engine (15/1 ou 16/1) deve ser promíscua se você desejar um switch de Camada 3 entre as VLANs.

   • Cisco IOS Software

     Switch_IOS(config)#interface interface_type mod/port
     
     Switch_IOS(config-if)#switchport private-vlan 
     mapping primary_vlan_id secondary_vlan_id
     
     
      !--- Note: This command should be on one line.
     
     Switch_IOS(config-if)#switchport mode private-vlan promiscuous 
     Switch_IOS(config-if)#end
     

Configuração de camada 3

Esta seção opcional descreve as etapas de configuração para permitir a rota do tráfego de entrada PVLAN. Se você só precisa habilitar a conectividade da Camada 2, pode omitir essa fase.

1. Configure a interface VLAN da mesma forma que você configura para o roteamento normal da Camada 3.

   Essa configuração envolve:

   • Configuração de um endereço IP

   • Ativação da interface com o comando no shutdown

   • Verificação de que a VLAN existe no banco de dados da VLAN

   Consulte o Suporte Técnico de VLANs/VTP para obter exemplos de configuração.

2. Mapeie as VLANs secundárias que você deseja rotear com a VLAN principal.

   Switch_IOS(config)#interface vlan primary_vlan_id
   
   Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list
    
   Switch_IOS(config-if)#end
   

   Observação: Configure as interfaces VLAN de Camada 3 somente para VLANs primárias. As interfaces de VLAN para VLANs isoladas e de comunidade estão inativas com uma configuração de VLAN isolada ou de comunidade.

3. Emita o comando show interfaces private-vlan mapping (Cisco IOS Software) ou show pvlan mapping (CatOS) para verificar o mapeamento.

4. Se precisar modificar a lista de VLANs secundárias após a configuração do mapeamento, use a palavra-chave Add ou Remove.

   Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list
   
   or
   Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
   
   

Para obter mais informações, consulte a seção Mapping Secondary VLANs to the Layer 3 VLAN Interface of a Primary VLAN do documento Configuring Private VLANs.

Observação: para Catalyst 6500/6000 Switches com MSFC, certifique-se de que a porta do Supervisor Engine para o mecanismo de roteamento (por exemplo, porta 15/1 ou 16/1) seja promíscua.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

Emite o comando show pvlan mapping para verificar o mapeamento.

cat6000> (enable) show pvlan mapping 
Port Primary Secondary
---- ------- ---------
15/1  100      101

Configurações

Este documento utiliza as seguintes configurações:

• Access_Layer (Catalyst 4003: CatOS)

• Núcleo (Catalyst 4006: Cisco IOS Software)

Access_Layer> (enable) show config
 This command shows non-default configurations only.
 Use 'show config all' to show both default and non-default configurations.
 .............

 
!--- Output suppressed.


 #system
 set system name  Access_Layer
 !
 #frame distribution method
 set port channel all distribution mac both
 !
 #vtp
 set vtp domain Cisco
 set vtp mode transparent
 set vlan 1 name default type ethernet mtu 1500 said 100001 state active 
 set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500 
 said 100100 state active 

!--- This is the primary VLAN 100. !--- Note: This command should be on one line.

 set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu 
 1500 said 100101 state active 

!--- This is the isolated VLAN 101. !--- Note: This command should be on one line.

 set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active 


!--- Output suppressed.


 #module 1 : 0-port Switching Supervisor
 !
 #module 2 : 24-port 10/100/1000 Ethernet
 set pvlan 100 101 2/20

!--- Port 2/20 is the PVLAN host port in primary VLAN 100, isolated !--- VLAN 101.

 set trunk 2/3  desirable dot1q 1-1005
 set trunk 2/4  desirable dot1q 1-1005
 set trunk 2/20 off dot1q 1-1005

!--- Trunking is automatically disabled on PVLAN host ports.

 set spantree portfast    2/20 enable

!--- PortFast is automatically enabled on PVLAN host ports.

 set spantree portvlancost 2/1  cost 3


!--- Output suppressed.


 set spantree portvlancost 2/24 cost 3
 set port channel 2/20 mode off

!--- Port channeling is automatically disabled on PVLAN !--- host ports.

 set port channel 2/3-4 mode desirable silent
 !
 #module 3 : 34-port 10/100/1000 Ethernet
 end

Core#show running-config
 Building configuration...

 
!--- Output suppressed.

 !
 hostname Core
 !
 vtp domain Cisco
 vtp mode transparent

!--- VTP mode is transparent, as PVLANs require.

 ip subnet-zero
 !
 vlan 2-4,6,10-11,20-22,26,28 
 !
 vlan 100
  name primary_for_101
   private-vlan primary
   private-vlan association 101
 !
 vlan 101
  name isolated_under_100
   private-vlan isolated
 !
 interface Port-channel1

!--- This is the port channel for interface GigabitEthernet3/1 !--- and interface GigabitEthernet3/2.

  switchport
  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
 !
 interface GigabitEthernet1/1
 !
 interface GigabitEthernet1/2
 !
 interface GigabitEthernet3/1

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/2

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/3
 !

!--- There is an omission of the interface configuration !--- that you do not use.

 !
 interface GigabitEthernet3/26
  
  switchport private-vlan mapping 100 101
  switchport mode private-vlan promiscuous

!--- Designate the port as promiscuous for PVLAN 101.

 !

!--- There is an omission of the interface configuration !--- that you do not use.

 !

!--- Output suppressed.

 interface Vlan25

!--- This is the connection to the Internet.

  ip address 10.25.1.1 255.255.255.0
 !
 interface Vlan100

!--- This is the Layer 3 interface for the primary VLAN.

  ip address 10.1.1.1 255.255.255.0
  private-vlan mapping 101

!--- Map VLAN 101 to the VLAN interface of the primary VLAN (100). !--- Ingress traffic for devices in isolated VLAN 101 routes !--- via interface VLAN 100.

VLANs privadas em vários switches

As VLANs privadas podem ser usadas em vários switches em dois métodos. Esta seção discute estes métodos:

• Troncos regulares

• Troncos VLAN privados

Troncos regulares

Como acontece com as VLANs regulares, as PVLANs podem abranger vários switches. Uma porta de tronco transporta a VLAN principal e as VLAN secundárias para um switch vizinho. A porta de tronco lida com a VLAN privada como qualquer outra VLAN. Um recurso de PVLANs em vários switches é que o tráfego de uma porta isolada em um switch não alcança uma porta isolada em outro switch.

Configure PVLANs em todos os dispositivos intermediários, o que inclui dispositivos que não têm portas PVLAN, para manter a segurança de sua configuração PVLAN e evitar o uso de outras VLANs configuradas como PVLANs.

As portas de tronco transportam tráfego de VLANs regulares e também de VLANs primárias, isoladas e de comunidade.

Dica: a Cisco recomenda o uso de portas de tronco padrão se ambos os switches que passam por entroncamento suportam PVLANs.

Como o VTP não suporta PVLANs, você deve configurar manualmente PVLANs em todos os switches na rede da camada 2. Se você não configurar a associação de VLAN principal e secundária em alguns switches na rede, os bancos de dados da Camada 2 nesses switches não serão mesclados. Essa situação pode resultar em inundação desnecessária do tráfego de PVLAN nesses switches.

Troncos VLAN privados

Uma porta de tronco PVLAN pode transportar vários PVLANs secundários e não PVLANs. Os pacotes são recebidos e transmitidos com marcas VLAN secundárias ou regulares nas portas de tronco PVLAN.

Somente o encapsulamento IEEE 802.1q é suportado. As portas de tronco isoladas permitem combinar o tráfego para todas as portas secundárias em um tronco. As portas de tronco promissoras permitem combinar as várias portas promíscuas necessárias nesta topologia em uma única porta de tronco que transporta várias VLANs primárias.

Use portas isoladas de tronco de VLAN privada quando você antecipar o uso de portas de host isoladas de VLAN privada para transportar várias VLANs, VLANs normais ou vários domínios de VLAN privada. Isso o torna útil para conectar um switch downstream que não suporta VLANs privadas.

Os Troncos Promissores de VLAN Privada são usados em situações em que uma porta de host promíscua de VLAN Privada é normalmente usada, mas onde é necessário transportar várias vlans, tanto vlans normais quanto para vários domínios de VLAN Privada. Isso o torna útil para conectar um roteador upstream que não suporta VLANs privadas.

Consulte Troncos de VLAN Privada para obter mais informações.

Consulte Configurando uma Interface de Camada 2 como uma Porta de Tronco PVLAN para configurar uma interface como porta de tronco PVLAN.

Consulte Configurando uma Interface de Camada 2 como uma Porta de Tronco Promissora para configurar uma interface como uma porta de tronco promíscua.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

CatOS

• show pvlan — Exibe a configuração de PVLAN. Verifique se as VLANs isoladas e primárias se associam umas às outras. Além disso, verifique se todas as portas de host são exibidas.

• show pvlan mapping — Exibe o mapeamento de PVLAN com configuração em portas promíscuas.

Cisco IOS Software

• show vlan private-vlan — Exibe informações de PVLAN, que incluem portas associadas.

• show interface mod/port switchport — Exibe informações específicas da interface. Verifique se o modo operacional e as configurações de PVLAN operacionais estão corretas.

• show interfaces private-vlan mapping — Exibe o mapeamento de PVLAN que você configurou.

Procedimento de verificação

Conclua estes passos:

1. Verifique a configuração de PVLAN nos switches.

   Verifique se os PVLANs principal e secundário se associam/mapeiam entre si. Verifique também a inclusão das portas necessárias.

   Access_Layer> (enable) show pvlan
   Primary Secondary Secondary-Type   Ports
   ------- --------- ---------------- ------------
    100     101       isolated         2/20
   
   Core#show vlan private-vlan 
   
   Primary Secondary Type              Ports
   ------- --------- ----------------- -----------
   100     101       isolated          Gi3/26

2. Verifique a configuração correta da porta promíscua.

   Essa saída indica que o modo operacional da porta é promíscuo e que as VLANs operacionais são 100 e 101.

   Core#show interface gigabitEthernet 3/26 switchport 
   Name: Gi3/26
   Switchport: Enabled
   Administrative Mode: private-Vlan promiscuous
   Operational Mode: private-vlan promiscuous
   Administrative Trunking Encapsulation: negotiate
   Operational Trunking Encapsulation: native
   Negotiation of Trunking: Off
   Access Mode VLAN: 1 (default)
   Trunking Native Mode VLAN: 1 (default)
   Voice VLAN: none
   Administrative Private VLAN Host Association: none 
   Administrative Private VLAN Promiscuous Mapping: 100 
   (primary_for_101) 101 (isolated_under_100)
   Private VLAN Trunk Native VLAN: none
   Administrative Private VLAN Trunk Encapsulation: dot1q
   Administrative Private VLAN Trunk Normal VLANs: none
   Administrative Private VLAN Trunk Private VLANs: none
   Operational Private VLANs: 
   100 (primary_for_101) 101 (isolated_under_100) 
   Trunking VLANs Enabled: ALL
   Pruning VLANs Enabled: 2-1001
   Capture Mode Disabled
   Capture VLANs Allowed: ALL

3. Inicie um pacote de ping do ICMP (Protocolo de Mensagens de Controle da Internet) da porta do host para a porta misturada.

   Lembre-se de que, como ambos os dispositivos estão na mesma VLAN principal, os dispositivos devem estar na mesma sub-rede.

   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   
   !--- The Address Resolution Protocol (ARP) table on the client indicates !--- that no MAC addresses other than the client addresses are known.
   
   host_port#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   .!!!!
   Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
   
   !--- The ping is successful. The first ping fails while the !--- device attempts to map via ARP for the peer MAC address.
   
   
   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   Internet  10.1.1.254              0   0060.834f.66f0  ARPA   FastEthernet0/24
   
   !--- There is now a new MAC address entry for the peer.
   
   

4. Inicie um ping ICMP entre as portas do host.

   Neste exemplo, host_port_2 (10.1.1.99) tenta fazer ping em host_port (10.1.1.100). Este ping falha. Um ping de outra porta de host para a porta promíscua, no entanto, ainda é bem-sucedido.

   host_port_2#ping 10.1.1.100
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds:
   .....
   Success rate is 0 percent (0/5)
   
   !--- The ping between host ports fails, which is desirable.
   
   
   host_port_2#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   !!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
   
   !--- The ping to the promiscuous port still succeeds.
   
   
   host_port_2#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.99               -   0005.7428.1c40  ARPA   Vlan1
   Internet  10.1.1.254              2   0060.834f.66f0  ARPA   Vlan1
   
   !--- The ARP table includes only an entry for this port and !--- the promiscuous port.
   
   

Troubleshoot

Identificar e Solucionar Problemas de PVLANs

Esta seção aborda alguns problemas comuns que ocorrem com as configurações de PVLAN.

Problema 1

Você recebe esta mensagem de erro: %PM-SP-3-ERR_INCOMP_PORT: <mod/port> está definido como inativo porque <mod/port> é uma porta de tronco

Essa mensagem de erro pode ser exibida por vários motivos, conforme discutido aqui.

Explicação - 1: Devido a limitações de hardware, os módulos Catalyst 6500/6000 de 10/100 Mbps restringem a configuração de uma porta VLAN isolada ou de comunidade quando uma porta dentro do mesmo COIL ASIC é um tronco, um destino de SPAN ou uma porta PVLAN promíscua. (O COIL ASIC controla 12 portas na maioria dos módulos e 48 portas no módulo Catalyst 6548.) A tabela na seção Regras e Limitações deste documento fornece uma análise da restrição de porta nos módulos de 10/100 Mbps do Catalyst 6500/6000.

Procedimento de resolução - 1: Se não houver suporte para PVLAN nessa porta, escolha uma porta em um ASIC diferente no módulo ou em um módulo diferente. Para reativar as portas, remova a configuração da porta VLAN isolada ou da comunidade e emita o comando shutdown e no shutdown.

Explicação - 2: Se as portas forem configuradas manualmente ou por padrão no modo dinâmico desejável ou dinâmico automático.

Procedimento de resolução - 2: Configure as portas como modo de acesso com o comando switchport mode access. Para reativar as portas, execute o comando shutdown e no shutdown.

Observação: no Cisco IOS Software Release 12.2(17a)SX e versões posteriores, a restrição de 12 portas não se aplica aos módulos de switching Ethernet WS-X6548-RJ-45, WS-X6548-RJ-21 e WS-X6524-100FX-MM. Para obter mais informações sobre as limitações de configuração de PVLAN com outros recursos, consulte a seção Limitações com Outros Recursos de Configuração de VLANs Privadas (PVLANs).

Problema 2

Durante a configuração de PVLAN, você encontra uma destas mensagens:

• Cannot add a private vlan mapping to a port with another Private port in 
  the same ASIC. 
  Failed to set mapping between <vlan> and <vlan> on <mod/port>

• Port with another Promiscuous port in the same ASIC cannot be made 
  Private port.
  Failed to add ports to association.

Explicação: Devido a limitações de hardware, os módulos Catalyst 6500/6000 de 10/100 Mbps restringem a configuração de uma porta VLAN isolada ou de comunidade quando uma porta dentro do mesmo COIL ASIC é um tronco, um destino de SPAN ou uma porta PVLAN promíscua. (O COIL ASIC controla 12 portas na maioria dos módulos e 48 portas no módulo Catalyst 6548.) A tabela na seção Regras e Limitações deste documento fornece uma análise da restrição de porta nos módulos de 10/100 Mbps do Catalyst 6500/6000.

Procedimento de solução: Emita o comando show pvlan capabilities (CatOS), que indica se uma porta pode se tornar uma porta PVLAN. Se não houver suporte para PVLAN nessa porta específica, escolha uma porta em um ASIC diferente no módulo ou em um módulo diferente.

Observação: no Cisco IOS Software Release 12.2(17a)SX e versões posteriores, a restrição de 12 portas não se aplica aos módulos de switching Ethernet WS-X6548-RJ-45, WS-X6548-RJ-21 e WS-X6524-100FX-MM. Para obter mais informações sobre as limitações de configuração de PVLAN com outros recursos, consulte a seção Limitações com Outros Recursos de Configuração de VLANs Privadas (PVLANs).

Problema 3

Não é possível configurar PVLANs em algumas plataformas.

Resolução: Verifique se a plataforma suporta PVLANs. Consulte Private VLAN Catalyst Switch Support Matrix para determinar se sua plataforma e versão de software suportam PVLANs antes de iniciar a configuração.

Problema 4

Em uma MSFC do Catalyst 6500/6000, você não pode fazer ping em um dispositivo que se conecta à porta isolada no switch.

Resolução: No Supervisor Engine, verifique se a porta para o MSFC (15/1 ou 16/1) é promíscua.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

Além disso, configure a interface VLAN no MSFC como especifica a seção Configuração da Camada 3 deste documento.

Problema 5

Com a emissão do comando no shutdown, você não pode ativar a interface VLAN para VLANs isoladas ou de comunidade.

Resolução: Devido à natureza dos PVLANs, não é possível ativar a interface de VLAN para VLANs isoladas ou de comunidade. Você só pode ativar a interface VLAN que pertence à VLAN principal.

Problema 6

Nos dispositivos Catalyst 6500/6000 com MSFC/MSFC2, as entradas ARP aprendidas nas interfaces PVLAN de Camada 3 não envelhecem.

Resolução: As entradas ARP aprendidas nas interfaces VLAN privadas da camada 3 são entradas ARP persistentes e não envelhecem. A conexão de novos equipamentos com o mesmo endereço IP gera uma mensagem e não há criação da entrada ARP. Portanto, é necessário remover as entradas ARP da porta PVLAN manualmente caso um endereço MAC seja alterado. Para adicionar ou remover entradas PVLAN ARP manualmente, emita estes comandos:

Router(config)#no arp 11.1.3.30 
IP ARP:Deleting Sticky ARP entry 11.1.3.30 
Router(config)#arp 11.1.3.30 0000.5403.2356 arpa 
IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by 
hw:0000.5403.2356

Outra opção é emitir o comando no ip sticky-arp no Cisco IOS Software Release 12.1(11b)E e posteriores.

Informações Relacionadas

• Matriz de suporte de Switch de Catalyst de VLAN particular
• Protegendo redes com VLANs privados e listas de controle de acesso de VLAN
• Configurando VLANs privadas
• Suporte a Produtos de LAN
• Suporte de tecnologia de switching de LAN
• Suporte Técnico e Documentação - Cisco Systems