Configurando VLAN privados isolados em Catalyst Switches
Índice
Introdução
Em algumas situações, é necessário impedir a conectividade da Camada 2 (L2) entre dispositivos finais em um switch sem a colocação dos dispositivos em sub-redes IP diferentes. Esta instalação impede o desperdício de endereços IP. As VLAN Privadas (PVLAN) permitem o isolamento na Camada 2 de dispositivos na mesma sub-rede IP. É possível restringir algumas portas no switch para se obter apenas algumas portas específicas que têm um gateway padrão, um servidor de backup ou um Cisco LocalDirector integrado.
Este documento descreve o procedimento para configurar PVLAN isolados no Switches do Cisco catalyst com o OS do catalizador (Cactos) ou o software de Cisco IOS®.
Pré-requisitos
Requisitos
Este documento supõe que você tem uma rede que já exista e pode estabelecer a Conectividade entre as várias portas para a adição a um PVLAN. Se você tem switch múltiplos, certifique-se de que o tronco entre as funções de Switches corretamente e permita-se os PVLAN no tronco.
Nem todos os switches e versões de software oferecem suporte a PVLAN. Refira a matriz de suporte do Catalyst Switch do VLAN privado para determinar se seus plataforma e suporte de versão de software PVLAN antes que você comece a configuração.
Nota: Algum Switches (como especificado na matriz de suporte do Catalyst Switch do VLAN privado) apoia atualmente somente a característica da ponta de PVLAN. O termo “portas protegidas” igualmente refere esta característica. As portas da ponta de PVLAN têm uma limitação que impeça uma comunicação com outras portas protegidas no mesmo interruptor. As portas protegidas em switch separados, contudo, podem comunicar-se um com o otro. Não confunda esta característica com as configurações de PVLAN normais que este documento mostra. Para obter mais informações sobre das portas protegidas, refira a seção configurando da Segurança de portas do documento que configura o controle de tráfego com base na porta.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
-
Catalyst 4003 Switch com módulo do Supervisor Engine 2 que executa a versão cactos 6.3(5)
-
Catalyst 4006 Switch com módulo do Supervisor Engine 3 que executa o Cisco IOS Software Release 12.1(12c)EW1
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Convenções
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Material de Suporte
Um PVLAN é um VLAN com configuração para o isolamento da camada 2 de outras portas dentro do mesma domínio de transmissão ou sub-rede. Você pode atribuir um conjunto específico de portas dentro de um PVLAN e desse modo controlar o acesso entre as portas na camada 2. Você pode configurar PVLAN e VLAN normais no mesmo interruptor.
Há três tipos de portas PVLAN: misturado, isolado e comunidade.
-
Uma porta misturada comunica-se com todas portas restantes PVLAN. A porta misturada é a porta que você se usa tipicamente para comunicar com os roteadores externos, o LocalDirectors, os dispositivos de gerenciamento de rede, os servidores de backup, as estações de trabalho administrativas, e os outros dispositivos. Em algum Switches, a porta ao módulo da rota (por exemplo, [MSFC] do Multilayer Switch Feature Card) precisa de ser promíscuo.
-
Uma porta isolada tem a separação completa da camada 2 de outras portas dentro do mesmo PVLAN. Esta separação inclui transmissões, e a única exceção é a porta misturada. Uma concessão da privacidade a nível da camada 2 ocorre com o bloco de tráfego de saída a todas as portas isoladas. Trafique que vem de uma porta isolada para a frente a todas as portas misturadas somente.
-
As portas da comunidade podem comunicar-se um com o otro e com as portas misturadas. Estas portas têm o isolamento da camada 2 de todas portas restantes em outras comunidades, ou as portas isoladas dentro do PVLAN. As difusões são propagadas apenas entre as portas de comunidade associadas e a porta heterogênea (sem restrições).
Nota: Este documento não cobre a configuração do VLAN de comunidade.
Para obter mais informações sobre dos PVLAN, refira a seção configurando dos VLAN privados do documento que compreende e que configura VLAN.
Regras e limitações
Esta seção fornece algumas regras e limitações para que você deve olhar quando você executa PVLAN. Para mais lista completa, refira a seção das diretrizes de configuração do VLAN privado do documento que configura VLAN.
-
Os PVLAN não podem incluir VLAN 1 ou 1002 – 1005.
-
Você deve ajustar o modo do protocolo VLAN Trunk (VTP) a transparente.
-
Você só pode especificar uma VLAN isolada por VLAN primária.
-
Você pode somente designar um VLAN como um PVLAN se esse VLAN não tem nenhuma atribuição atual da porta de acesso. Remova todas as portas nesse VLAN antes que você faça ao VLAN um PVLAN.
-
Não configurar portas PVLAN como EtherChannéis.
-
Devido às limitações do hardware, os módulos de Fast Ethernet switch do Catalyst 6500/6000 restringem a configuração de um isolado ou a porta do VLAN de comunidade quando uma porta dentro do mesmos BOBINA os circuitos integrados do aplicativo específicos (ASIC) é uma destes:
-
Um tronco
-
Um destino do Switched Port Analyzer (SPAN)
-
Uma porta promíscuo PVLAN
Esta tabela indica a faixa de porta que pertence ao mesmo ASIC nos módulos rápidos de Ethernet do Catalyst 6500/6000:
Módulo Portas pelo ASIC WS-X6224-100FX-MT, WS-X6248-RJ-45, WS-X6248-TEL Portas 1-12, 13-24, 25-36, 37-48 WS-X6024-10FL-MT Portas 1-12, 13-24 WS-X6548-RJ-45, WS-X6548-RJ-21 Portas 1-48 O comando show pvlan capability (Cactos) igualmente indica se você pode fazer a uma porta uma porta PVLAN. Não há nenhum comando equivalente no Cisco IOS Software.
-
-
Se você suprime de um VLAN que você use na configuração de PVLAN, as portas que associam com o VLAN tornam-se inativas.
-
Configurar interfaces de VLAN da camada 3 (L3) somente para os VLAN principais. As interfaces de VLAN para isolado e VLAN de comunidade são inativas quando o VLAN tiver uma configuração isolado ou do VLAN de comunidade. Para obter mais informações, consulte Configurando VLANs Privados.
-
Você pode estender PVLAN através do Switches com o uso dos troncos. As portas de tronco levam o tráfego dos VLAN regulares e igualmente de preliminar, isolado, e VLAN de comunidade. Cisco recomenda o uso de portas de tronco padrão se ambo o Switches que se submete ao suporte de entroncamento PVLAN.
Nota: Você deve manualmente incorporar a mesma configuração de PVLAN em cada interruptor com participação porque o VTP no modo transparente não propaga esta informação.
Configurar
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota: Use a ferramenta Command Lookup Tool (apenas para clientes registrados) para obter mais informações sobre os comandos usados neste documento.
Diagrama de Rede
Este documento utiliza a seguinte configuração de rede:
Nesta encenação, os dispositivos no vlan isolada ("101") têm uma limitação de uma comunicação na camada 2 um com o outro. Contudo, os dispositivos podem conectar ao Internet. Além, atuação 3/26" da porta a “nos 4006 tem a designação misturada. Esta configuração opcional permite que um dispositivo no gigabitethernet 3/26 conecte a todos os dispositivos no vlan isolada. Esta configuração igualmente permite, por exemplo, o backup dos dados de todos os dispositivos host PVLAN a uma estação de trabalho de administração. Outros usos para portas misturadas incluem a conexão a um roteador externo, a um LocalDirector, a um dispositivo de gerenciamento de rede, e a uns outros dispositivos.
Configurar o preliminar e os vlan isolada
Execute estas etapas para criar o preliminar e os VLAN secundários, assim como para ligar as várias portas a estes VLAN. As etapas incluem exemplos para Cactos e Cisco IOS Software. Emita o comando apropriado ajustado para sua instalação de OS.
-
Crie o PVLAN preliminar.
-
CatOS
Switch_CatOS> (enable) set vlan primary_vlan_id pvlan-type primary name primary_vlan !--- Note: Thise command should be on one line. VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 100 configuration successful
-
Cisco IOS Software
Switch_IOS(config)#vlan primary_vlan_id Switch_IOS(config-vlan)#private-vlan primary Switch_IOS(config-vlan)#name primary-vlan Switch_IOS(config-vlan)#exit
-
-
Crie o vlan isolada ou os VLAN.
-
CatOS
Switch_CatOS> (enable) set vlan secondary_vlan_id pvlan-type isolated name isolated_pvlan !--- Note: This command should be on one line. VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 101 configuration successful
-
Cisco IOS Software
Switch_IOS(config)#vlan secondary_vlan_id Switch_IOS(config-vlan)#private-vlan isolated Switch_IOS(config-vlan)#name isolated_pvlan Switch_IOS(config-vlan)#exit
-
-
Ligue o VLAN/VLANs isolado ao VLAN principal.
-
CatOS
Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id Vlan 101 configuration successful Successfully set association between 100 and 101. -
Cisco IOS Software
Switch_IOS(config)#vlan primary_vlan_id Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id Switch_IOS(config-vlan)#exit
-
-
Verifique a configuração do VLAN privado.
-
CatOS
Switch_CatOS> (enable) show pvlan Primary Secondary Secondary-Type Ports ------- --------- ---------------- ------------ 100 101 isolated
-
Cisco IOS Software
Switch_IOS#show vlan private-vlan Primary Secondary Type Ports ------- --------- ----------------- ------- 100 101 isolated
-
Atribua portas aos PVLAN
Dica: Antes que você execute este procedimento, emita o comando show pvlan capability mod/port (para Cactos) determinar se uma porta pode se transformar uma porta PVLAN.
Nota: Antes que você execute etapa 1 deste procedimento, emita o comando switchport no modo de configuração da interface configurar a porta como uma interface comutada da camada 2.
-
Configurar as portas de host em todo o Switches apropriado.
-
CatOS
Switch_CatOS> (enable)set pvlan primary_vlan_id secondary_vlan_id mod/port !--- Note: This command should be on one line. Successfully set the following ports to Private Vlan 100,101: 2/20 -
Cisco IOS Software
Switch_IOS(config)#interface gigabitEthernet mod/port Switch_IOS(config-if)#switchport private-vlan host primary_vlan_id secondary_vlan_id !--- Note: This command should be on one line. Switch_IOS(config-if)#switchport mode private-vlan host Switch_IOS(config-if)#exit
-
-
Configurar a porta misturada em um do Switches.
-
CatOS
Switch_CatOS> (enable) set pvlan mapping primary_vlan_id secondary_vlan_id mod/port !--- Note: This command should be on one line. Successfully set mapping between 100 and 101 on 3/26Nota: Para o Catalyst 6500/6000 quando o Supervisor Engine executa Cactos como o software do sistema, a porta MSFC no Supervisor Engine (15/1 ou 16/1) deve ser promíscuo se você deseja ao switch de camada 3 entre os VLAN.
-
Cisco IOS Software
Switch_IOS(config)#interface interface_type mod/port Switch_IOS(config-if)#switchport private-vlan mapping primary_vlan_id secondary_vlan_id !--- Note: This command should be on one line. Switch_IOS(config-if)#switchport mode private-vlan promiscuous Switch_IOS(config-if)#end
-
Configuração de camada 3
Esta seção opcional descreve as etapas de configuração para permitir a rota do tráfego de ingresso PVLAN. Se você precisa somente de permitir a Conectividade da camada 2, você pode omitir esta fase.
-
Configurar a interface de VLAN da mesma forma que você configura para o roteamento normal da camada 3.
Esta configuração envolve:
-
Configuração de um endereço IP de Um ou Mais Servidores Cisco ICM NT
-
Ativação da relação com o comando no shutdown
-
Verificação que o VLAN existe na base de dados de VLAN
Refira o Suporte técnico VLANs/VTP para exemplos de configuração.
-
-
Trace os VLAN secundários que você deseja distribuir com o VLAN principal.
Switch_IOS(config)#interface vlan primary_vlan_id Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list Switch_IOS(config-if)#end
Nota: Configurar interfaces de VLAN da camada 3 somente para VLAN principais. As interfaces de VLAN para isolado e VLAN de comunidade são inativas com uma configuração isolado ou do VLAN de comunidade.
-
Emita o mapeamento de vlan privada das relações da mostra (Cisco IOS Software) ou o comando do show pvlan mapping (Cactos) verificar o mapeamento.
-
Se você precisa de alterar a lista do VLAN secundário após a configuração do mapeamento, use adicionar ou remova a palavra-chave.
Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list or Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
Para mais informação, refira os VLAN secundários do mapeamento à interface de VLAN da camada 3 de uma seção do VLAN principal do documento que configura VLAN privados.
Nota: Para o Catalyst 6500/6000 comuta com MSFC, asseguram-se de que a porta do Supervisor Engine ao Engine de roteamento (por exemplo, porta 15/1 ou 16/1) seja promíscuo.
cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1
Emite o comando show pvlan mapping para verificar o mapeamento.
cat6000> (enable) show pvlan mapping Port Primary Secondary ---- ------- --------- 15/1 100 101
Configurações
Este documento utiliza as seguintes configurações:
| Access_Layer (Catalyst 4003: Cactos) |
|---|
Access_Layer> (enable) show config This command shows non-default configurations only. Use 'show config all' to show both default and non-default configurations. ............. !--- Output suppressed. #system set system name Access_Layer ! #frame distribution method set port channel all distribution mac both ! #vtp set vtp domain Cisco set vtp mode transparent set vlan 1 name default type ethernet mtu 1500 said 100001 state active set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500 said 100100 state active !--- This is the primary VLAN 100. !--- Note: This command should be on one line. set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu 1500 said 100101 state active !--- This is the isolated VLAN 101. !--- Note: This command should be on one line. set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active !--- Output suppressed. #module 1 : 0-port Switching Supervisor ! #module 2 : 24-port 10/100/1000 Ethernet set pvlan 100 101 2/20 !--- Port 2/20 is the PVLAN host port in primary VLAN 100, isolated !--- VLAN 101. set trunk 2/3 desirable dot1q 1-1005 set trunk 2/4 desirable dot1q 1-1005 set trunk 2/20 off dot1q 1-1005 !--- Trunking is automatically disabled on PVLAN host ports. set spantree portfast 2/20 enable !--- PortFast is automatically enabled on PVLAN host ports. set spantree portvlancost 2/1 cost 3 !--- Output suppressed. set spantree portvlancost 2/24 cost 3 set port channel 2/20 mode off !--- Port channeling is automatically disabled on PVLAN !--- host ports. set port channel 2/3-4 mode desirable silent ! #module 3 : 34-port 10/100/1000 Ethernet end |
| Núcleo (Catalyst 4006: Cisco IOS Software) |
|---|
Core#show running-config Building configuration... !--- Output suppressed. ! hostname Core ! vtp domain Cisco vtp mode transparent !--- VTP mode is transparent, as PVLANs require. ip subnet-zero ! vlan 2-4,6,10-11,20-22,26,28 ! vlan 100 name primary_for_101 private-vlan primary private-vlan association 101 ! vlan 101 name isolated_under_100 private-vlan isolated ! interface Port-channel1 !--- This is the port channel for interface GigabitEthernet3/1 !--- and interface GigabitEthernet3/2. switchport switchport trunk encapsulation dot1q switchport mode dynamic desirable ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface GigabitEthernet3/1 !--- This is the trunk to the Access_Layer switch. switchport trunk encapsulation dot1q switchport mode dynamic desirable channel-group 1 mode desirable ! interface GigabitEthernet3/2 !--- This is the trunk to the Access_Layer switch. switchport trunk encapsulation dot1q switchport mode dynamic desirable channel-group 1 mode desirable ! interface GigabitEthernet3/3 ! !--- There is an omission of the interface configuration !--- that you do not use. ! interface GigabitEthernet3/26 switchport private-vlan mapping 100 101 switchport mode private-vlan promiscuous !--- Designate the port as promiscuous for PVLAN 101. ! !--- There is an omission of the interface configuration !--- that you do not use. ! !--- Output suppressed. interface Vlan25 !--- This is the connection to the Internet. ip address 10.25.1.1 255.255.255.0 ! interface Vlan100 !--- This is the Layer 3 interface for the primary VLAN. ip address 10.1.1.1 255.255.255.0 private-vlan mapping 101 !--- Map VLAN 101 to the VLAN interface of the primary VLAN (100). !--- Ingress traffic for devices in isolated VLAN 101 routes !--- via interface VLAN 100. |
VLAN privados através dos switch múltiplos
Os VLAN privados podem ser tomados através dos switch múltiplos em dois métodos. Esta seção discute estes métodos:
Troncos regulares
Como com VLAN regulares, os PVLAN podem medir switch múltiplos. Uma porta de tronco leva o VLAN principal e os VLAN secundários a um switch confinante. A porta de tronco trata o VLAN privado como todo o outro VLAN. Uma característica dos PVLAN através dos switch múltiplos é que o tráfego de uma porta isolada em um interruptor não alcança uma porta isolada em um outro interruptor.
Configurar PVLAN em todos os dispositivos intermediários, que inclui os dispositivos que não têm nenhuma porta PVLAN, a fim manter a Segurança de sua configuração de PVLAN e evitar o outro uso dos VLAN configurados como PVLAN.
As portas de tronco levam o tráfego dos VLAN regulares e igualmente de preliminar, isolado, e VLAN de comunidade.
Dica: Cisco recomenda o uso de portas de tronco padrão se ambo o Switches que se submete ao suporte de entroncamento PVLAN.
Porque o VTP não apoia PVLAN, você deve manualmente configurar PVLAN em todo o Switches na rede da camada 2. Se você não configura a associação preliminar e do VLAN secundário em algum Switches na rede, os bases de dados da camada 2 neste Switches não estão fundidos. Esta situação pode conduzir à inundação desnecessária do tráfego PVLAN naquele Switches.
Troncos do VLAN privado
Um trunkport PVLAN pode levar secundário e NON-PVLAN múltiplos. Os pacotes são recebidos e transmitidos com as etiquetas secundárias ou regulares VLAN nas portas de tronco PVLAN.
Somente o encapsulamento do IEEE 802.1Q é apoiado. As portas de tronco isoladas permitem que você combine o tráfego para todas as portas secundárias sobre um tronco. As portas de tronco promíscuos permitem que você combine as portas misturadas múltiplas exigidas nesta topologia em uma única porta de tronco que leve VLAN principais múltiplos.
Use portas de tronco isoladas do VLAN privado quando você antecipa o uso de portas de host isoladas VLAN privado levar vlan múltiplos, VLAN normais ou para domínios múltiplos do VLAN privado. Isto faz útil para conectar um interruptor a jusante que não apoie VLAN privados.
Os troncos promíscuos do VLAN privado são usados nas situações onde uma porta de host promíscuo do VLAN privado é usada normalmente mas onde é necessário levar vlan múltiplos, ou vlans normais ou para domínios múltiplos do VLAN privado. Isto faz útil para conectar um roteador fluxo acima que não apoie VLAN privados.
Refira troncos do VLAN privado para mais informação.
Refira configurar uma interface de camada 2 como uma porta de tronco PVLAN a fim configurar uma relação como a porta de tronco PVLAN.
Refira configurar uma interface de camada 2 como uma porta de tronco promíscuo a fim configurar uma relação como uma porta de tronco promíscuo.
Verificar
Use esta seção para confirmar se a sua configuração funciona corretamente.
A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
CatOS
-
mostra pvlan — Indica a configuração de PVLAN. Verifique que isolado e os VLAN principais associam um com o otro. Também, verifique que todas as portas de host aparecem.
-
show pvlan mapping — Indica o mapeamento PVLAN com configuração em portas misturadas.
Cisco IOS Software
-
mostre privado-VLAN vlan — Indica a informação PVLAN, que inclui as portas que associam.
-
show interface mod/port switchport — Indica a informação relação-específica. Verifique que o modo operacional assim como os ajustes operacionais PVLAN estão corretos.
-
mostre o mapeamento de vlan privada das relações — Indica o mapeamento PVLAN que você configurou.
Procedimento de verificação
Conclua estes passos:
-
Verifique a configuração de PVLAN no Switches.
Verifique para determinar se os PVLAN preliminares e secundários associam/mapas entre si. Também, verifique a inclusão das portas necessárias.
Access_Layer> (enable) show pvlan Primary Secondary Secondary-Type Ports ------- --------- ---------------- ------------ 100 101 isolated 2/20 Core#show vlan private-vlan Primary Secondary Type Ports ------- --------- ----------------- ----------- 100 101 isolated Gi3/26
-
Verifique a configuração correta da porta misturada.
Esta saída indica que o modo operacional da porta é promíscuo e que os VLAN operacionais são 100 e 101.
Core#show interface gigabitEthernet 3/26 switchport Name: Gi3/26 Switchport: Enabled Administrative Mode: private-Vlan promiscuous Operational Mode: private-vlan promiscuous Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative Private VLAN Host Association: none Administrative Private VLAN Promiscuous Mapping: 100 (primary_for_101) 101 (isolated_under_100) Private VLAN Trunk Native VLAN: none Administrative Private VLAN Trunk Encapsulation: dot1q Administrative Private VLAN Trunk Normal VLANs: none Administrative Private VLAN Trunk Private VLANs: none Operational Private VLANs: 100 (primary_for_101) 101 (isolated_under_100) Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL
-
Inicie um pacote de ping do ICMP (Protocolo de Mensagens de Controle da Internet) da porta do host para a porta misturada.
Mantenha na mente que, desde que ambos os dispositivos estão no mesmo VLAN principal, os dispositivos devem estar na mesma sub-rede.
host_port#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.1.1.100 - 0008.a390.fc80 ARPA FastEthernet0/24 !--- The Address Resolution Protocol (ARP) table on the client indicates !--- that no MAC addresses other than the client addresses are known. host_port#ping 10.1.1.254 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms !--- The ping is successful. The first ping fails while the !--- device attempts to map via ARP for the peer MAC address. host_port#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.1.1.100 - 0008.a390.fc80 ARPA FastEthernet0/24 Internet 10.1.1.254 0 0060.834f.66f0 ARPA FastEthernet0/24 !--- There is now a new MAC address entry for the peer.
-
Inicie um ping ICMP entre portas de host.
Neste exemplo, host_port_2 (10.1.1.99) tenta sibilar o host_port (10.1.1.100). Este sibilo falha. Um sibilo de uma outra porta de host à porta misturada, contudo, ainda sucede.
host_port_2#ping 10.1.1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) !--- The ping between host ports fails, which is desirable. host_port_2#ping 10.1.1.254 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds: !!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms !--- The ping to the promiscuous port still succeeds. host_port_2#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.1.1.99 - 0005.7428.1c40 ARPA Vlan1 Internet 10.1.1.254 2 0060.834f.66f0 ARPA Vlan1 !--- The ARP table includes only an entry for this port and !--- the promiscuous port.
Troubleshooting
Pesquise defeitos PVLAN
Esta seção endereça alguns problemas comuns que ocorrem com configurações de PVLAN.
Problema 1
Você recebe este Mensagem de Erro: %PM-SP-3-ERR_INCOMP_PORT: o <mod/port> é ajustado a inativo porque o <mod/port> é uma porta de tronco
Este Mensagem de Erro pode ser indicado para razões múltiplas, como discutido aqui.
Explicação - 1: Devido às limitações do hardware, os módulos do Catalyst 6500/6000 10/100-Mbps restringem a configuração de uma porta isolado ou do VLAN de comunidade quando uma porta dentro da mesma BOBINA ASIC é um tronco, um destino do PERÍODO, ou uma porta promíscuo PVLAN. (A BOBINA ASIC controla 12 portas na maioria de módulos e 48 portas no módulo do catalizador 6548.) A tabela na seção das regras e das limitações deste documento fornece uma divisão da limitação da porta nos módulos do Catalyst 6500/6000 10/100-Mbps.
Procedimento de resolução - 1: Se não há nenhum apoio para o PVLAN nessa porta, escolha uma porta em um ASIC diferente no módulo ou em um módulo diferente. A fim reactivate as portas, remova a configuração de porta isolado ou do VLAN de comunidade e emita o comando shutdown e o comando no shutdown.
Explicação - 2: Se as portas são configuradas manualmente ou à revelia ao modo dinâmico desejável ou de auto dinâmico.
Procedimento de resolução - 2: Configurar as portas como o modo de acesso com o comando switchport mode access. A fim reactivate as portas, emita o comando shutdown e o comando no shutdown.
Nota: Em liberações do Cisco IOS Software Release 12.2(17a)SX e Mais Recente, a limitação de 12 portas não se aplica aos módulos de switching do Ethernet WS-X6548-RJ-45, WS-X6548-RJ-21 e WS-X6524-100FX-MM. Para obter mais informações sobre das limitações de configuração do PVLAN com outros recursos, refira as limitações com seção dos outros recursos de configurar os VLAN privados (PVLAN).
Problema 2
Durante a configuração de PVLAN, você encontra uma destas mensagens:
-
Cannot add a private vlan mapping to a port with another Private port in the same ASIC. Failed to set mapping between <vlan> and <vlan> on <mod/port>
-
Port with another Promiscuous port in the same ASIC cannot be made Private port. Failed to add ports to association.
Explicação: Devido às limitações do hardware, os módulos do Catalyst 6500/6000 10/100-Mbps restringem a configuração de uma porta isolado ou do VLAN de comunidade quando uma porta dentro da mesma BOBINA ASIC é um tronco, um destino do PERÍODO, ou uma porta promíscuo PVLAN. (A BOBINA ASIC controla 12 portas na maioria de módulos e 48 portas no módulo do catalizador 6548.) A tabela na seção das regras e das limitações deste documento fornece uma divisão da limitação da porta nos módulos do Catalyst 6500/6000 10/100-Mbps.
Procedimento de solução: Emita o comando show pvlan capability (Cactos), que indica se uma porta pode se transformar uma porta PVLAN. Se não há nenhum apoio para o PVLAN nessa porta particular, escolha uma porta em um ASIC diferente no módulo ou em um módulo diferente.
Nota: Em liberações do Cisco IOS Software Release 12.2(17a)SX e Mais Recente, a limitação de 12 portas não se aplica aos módulos de switching do Ethernet WS-X6548-RJ-45, WS-X6548-RJ-21 e WS-X6524-100FX-MM. Para obter mais informações sobre das limitações de configuração do PVLAN com outros recursos, refira limitações com seção dos outros recursos de configurar os VLAN privados (PVLAN).
Problema 3
Não é possível configurar PVLANs em algumas plataformas.
Resolução: Verifique que os suportes a plataforma PVLAN. Refira a matriz de suporte do Catalyst Switch do VLAN privado para determinar se seus plataforma e suporte de versão de software PVLAN antes que você comece a configuração.
Problema 4
Em um Catalyst 6500/6000 MSFC, você não pode sibilar um dispositivo que conecte à porta isolada no interruptor.
Resolução: No Supervisor Engine, verifique que a porta ao MSFC (15/1 ou 16/1) é promíscuo.
cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1
Também, configurar a interface de VLAN no MSFC como a camada 3 seções de configuração deste documento especifica.
Problema 5
Com introdução do comando no shutdown, você não pode ativar a interface de VLAN para isolado ou VLAN de comunidade.
Resolução: Devido à natureza dos PVLANs, não é possível ativar a interface de VLAN para VLANs isoladas ou de comunidade. Você pode somente ativar a interface de VLAN que pertence ao VLAN principal.
Problema 6
Em dispositivos do Catalyst 6500/6000 com MSFC/MSFC2, as entradas de ARP aprendidas em relações da camada 3 PVLAN não envelhecem para fora.
Resolução: As entradas de ARP que são aprendidas em relações do VLAN privado da camada 3 são entradas de ARP pegajosas e não envelhecem para fora. A conexão do equipamento novo com o mesmo endereço IP de Um ou Mais Servidores Cisco ICM NT gerencie uma mensagem, e não há nenhuma criação da entrada de ARP. Portanto, é necessário remover as entradas ARP da porta PVLAN manualmente caso um endereço MAC seja alterado. A fim adicionar manualmente ou remover entradas de ARP PVLAN, emita estes comandos:
Router(config)#no arp 11.1.3.30 IP ARP:Deleting Sticky ARP entry 11.1.3.30 Router(config)#arp 11.1.3.30 0000.5403.2356 arpa IP ARP:Overwriting Sticky ARP entry 11.1.3.30, hw:00d0.bb09.266e by hw:0000.5403.2356
Uma outra opção é emitir o comando no ip sticky-arp no Cisco IOS Software Release 12.1(11b)E e Mais Recente.
Informações Relacionadas
FeedbackDeixe-nos ajudar
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)