在Catalyst交換機上配置隔離專用VLAN

已更新: 2023 年 9 月 13 日
文件 ID:40781

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹使用Catalyst OS(CatOS)或Cisco IOS®軟體在Cisco Catalyst交換器上設定隔離PVLAN的程式。

    必要條件

    需求

    本檔案假設您有一個已存在的網路,並能夠在不同的連線埠之間建立連線,以便新增到PVLAN中。如果有多台交換機,請確保交換機之間的中繼正常工作並允許TRUNK上的PVLAN。

    並非所有交換機和軟體版本都支援PVLAN。

    note-icon

    :某些交換機(如專用VLAN Catalyst交換機支援清單中所指定)當前僅支援PVLAN邊緣功能。術語「受保護連線埠」也指此功能。PVLAN邊緣埠有阻止與同一交換機上其他受保護埠通訊的限制。但是,獨立交換機上的受保護埠可以相互通訊。請勿將此功能與本文檔顯示的普通PVLAN配置相混淆。有關受保護埠的詳細資訊,請參閱配置基於埠的流量控制文檔中的配置埠安全部分。

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 搭載Supervisor Engine 2模組(執行CatOS版本6.3(5))的Catalyst 4003交換器

    • 搭載Supervisor Engine 3模組的Catalyst 4006交換器(執行Cisco IOS軟體版本12.1(12c)EW1)

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    慣例

    如需文件慣例的詳細資訊,請參閱思科技術提示慣例。

    背景資訊

    在某些情況下,如果不將裝置放在不同的IP子網中,則需要阻止交換機上終端裝置之間的第2層(L2)連線。此設定可防止浪費IP地址。專用VLAN(PVLAN)允許在同一IP子網中的第2層裝置隔離。您可以限制交換機上的某些埠僅訪問連線了預設網關、備份伺服器或Cisco LocalDirector的特定埠。

    本檔案介紹使用Catalyst OS(CatOS)或Cisco IOS軟體在Cisco Catalyst交換器上設定隔離PVLAN的程式。

    PVLAN是配置第2層與同一廣播域或子網內其他埠隔離的VLAN。您可以在PVLAN中指定一組特定埠,從而控制第2層埠之間的訪問。您可以在同一台交換機上配置PVLAN和普通VLAN。

    有三種型別的PVLAN埠:混雜、隔離和社群。

    • 混雜埠與所有其他PVLAN埠通訊。混雜埠是通常用於與外部路由器、LocalDirector、網路管理裝置、備份伺服器、管理工作站和其他裝置通訊的埠。在某些交換器上,路由模組(例如多層交換器功能卡[MSFC])的連線埠需要混雜。

    • 隔離連線埠與同一PVLAN中的其他連線埠具有完全的第2層分隔功能。這種分離包括廣播,唯一的例外是混雜埠。第2層級別的隱私授予與發往所有隔離埠的傳出流量塊一起發生。來自隔離埠的流量僅轉發到所有混雜埠。

    • 社群連線埠可以彼此通訊,也可以與混雜連線埠通訊。這些連線埠具有與其他社群中所有其他連線埠或PVLAN內隔離連線埠的第2層隔離。廣播僅在相關聯的社群埠和混雜埠之間傳播。

    note-icon

    :本文檔不介紹社群VLAN配置。

    規則和限制

    本部分提供在實施PVLAN時必須注意的一些規則和限制。

    • PVLAN不能包括VLAN 1或1002-1005。

    • 您必須將VLAN中繼線通訊協定(VTP)模式設定為透明

    • 您只能為每個主要VLAN指定一個隔離VLAN。

    • 只有該VLAN沒有當前接入埠分配時,才能指定該VLAN為PVLAN。將VLAN設定為PVLAN之前,請移除該VLAN中的所有連線埠。

    • 請勿將PVLAN連線埠設定為EtherChannel。

    • 由於硬體限制,Catalyst 6500/6000快速乙太網路交換器模組,限制當同一COIL特定應用積體電路(ASIC)中的某個連線埠是以下任一連線埠時設定隔離或群體VLAN連線埠:

      • 中繼

      • 交換器連線埠分析器(SPAN)目的地

      • 混雜PVLAN埠

      下表顯示Catalyst 6500/6000 FastEthernet模組上屬於同一ASIC的連線埠範圍:

    模組 按ASIC劃分的埠
    WS-X6224-100FX-MT、WS-X6248-RJ-45、WS-X6248-TEL 埠1-12、13-24、25-36、37-48
    WS-X6024-10FL-MT 埠1-12、13-24
    WS-X6548-RJ-45、WS-X6548-RJ-21 埠1-48

    show pvlan capability 命令(CatOS)也表示是否可將連線埠設為PVLAN連線埠。Cisco IOS軟體沒有對應的命令。

    • 如果刪除在PVLAN配置中使用的VLAN,與該VLAN關聯的埠將變為非活動狀態。

    • 僅為主要VLAN配置第3層(L3)VLAN介面。隔離和社群VLAN的VLAN介面處於非活動狀態,而VLAN具有隔離或社群VLAN配置。

    • 您可以使用TRUNK跨交換機擴展PVLAN。中繼埠傳輸來自常規VLAN以及主、隔離和社群VLAN的流量。如果兩台中繼交換機都支援PVLAN,思科建議使用標準中繼埠。

    note-icon

    注意:您必須在每台涉及的交換機上手動輸入相同的PVLAN配置,因為透明模式中的VTP不會傳播此資訊。

    設定

    本節提供用於設定本文件中所述功能的資訊。

    note-icon

    注意:使用命令查詢工具查詢有關本文檔中使用的命令的詳細資訊。只有註冊使用者才能訪問內部思科工具和資訊。

    網路圖表

    本檔案會使用以下網路設定:

    Network Diagram

    在此場景中,隔離VLAN(101)中的裝置相互之間在第2層通訊受到限制。但是,裝置可以連線到Internet。此外,4006上的埠Gig 3/26具有混雜標識。此可選配置允許GigabitEthernet 3/26上的裝置連線到隔離VLAN中的所有裝置。例如,此配置還允許將資料從所有PVLAN主機裝置備份到管理工作站。混雜埠的其他用途包括連線到外部路由器、LocalDirector、網路管理裝置和其他裝置。

    配置主要和隔離VLAN

    執行以下步驟來建立主VLAN和輔助VLAN,並將各種埠繫結到這些VLAN。步驟包括CatOS和Cisco IOS®軟體的示例。發出適用於您的作業系統安裝的命令集。

    1. 建立主PVLAN。

      • CatOS

             
Switch_CatOS> (enable) set vlan primary_vlan_id 
pvlan-type primary name primary_vlan


 !--- Note: This command must be on one line.

VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 100 configuration successful

      • Cisco IOS軟體

        Switch_IOS(config)#vlan primary_vlan_id

Switch_IOS(config-vlan)#private-vlan primary

Switch_IOS(config-vlan)#name primary-vlan

Switch_IOS(config-vlan)#exit

    2. 建立一個或多個VLAN。

      • CatOS

        Switch_CatOS> (enable) set vlan secondary_vlan_id 
pvlan-type isolated name isolated_pvlan


 !--- Note: This command must be on one line.

VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 101 configuration successful

      • Cisco IOS軟體

        Switch_IOS(config)#vlan secondary_vlan_id

Switch_IOS(config-vlan)#private-vlan isolated

Switch_IOS(config-vlan)#name isolated_pvlan

Switch_IOS(config-vlan)#exit

    3. 將隔離VLAN/VLAN繫結到主VLAN。

      • CatOS

        Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id

Vlan 101 configuration successful
Successfully set association between 100 and 101.

      • Cisco IOS軟體

        Switch_IOS(config)#vlan primary_vlan_id

Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id

Switch_IOS(config-vlan)#exit

    4. 檢驗專用VLAN配置。

      • CatOS

        Switch_CatOS> (enable) show pvlan
Primary Secondary Secondary-Type   Ports
------- --------- ---------------- ------------
100     101       isolated

      • Cisco IOS軟體

        Switch_IOS#show vlan private-vlan
Primary  Secondary  Type              Ports
------- --------- ----------------- -------
100     101       isolated

    為PVLAN分配埠

    tip-icon

    提示:實施此過程之前,請發出 show PVLAN capability mod/port 命令(適用於CatOS)以確定連線埠是否可以成為PVLAN連線埠。

    note-icon

    注意:執行此過程的步驟1之前,請在介面配置模式下發出switchport命令,將埠配置為第2層交換介面。

    • 在所有適當的交換機上配置主機埠。

      • CatOS

        Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id mod/port


!--- Note: This command must be on one line.

Successfully set the following ports to Private Vlan 100,101: 2/20

      • Cisco IOS軟體

        Switch_IOS(config)#interface gigabitEthernet mod/port

Switch_IOS(config-if)#switchport private-vlan host 
primary_vlan_id secondary_vlan_id


 !--- Note: This command must be on one line.

Switch_IOS(config-if)#switchport mode private-vlan host
Switch_IOS(config-if)#exit

    • 在一台交換機上配置混雜埠。

      • CatOS

        Switch_CatOS> (enable) set pvlan mapping primary_vlan_id secondary_vlan_id mod/port


!--- Note: This command must be on one line.

Successfully set mapping between 100 and 101 on 3/26
        note-icon

        :對於Catalyst 6500/6000(當Supervisor Engine將CatOS作為系統軟體運行時),如果您希望在VLAN之間進行第3層交換,則Supervisor Engine(15/1或16/1)上的MSFC埠必須是混雜的。

    • Cisco IOS軟體

      Switch_IOS(config)#interface interface_type mod/port

Switch_IOS(config-if)#switchport private-vlan 
mapping primary_vlan_id secondary_vlan_id


 !--- Note: This command must be on one line.

Switch_IOS(config-if)#switchport mode private-vlan promiscuous 
Switch_IOS(config-if)#end

    第3層配置

    此可選部分介紹允許PVLAN輸入流量路由的配置步驟。如果您只需要啟用第2層連線,則可以忽略此階段。

    1. 按照為普通第3層路由配置的方法配置VLAN介面。

      此配置包括:

      • 配置IP地址

      • 使用no shutdown 指令啟用介面

      • 驗證VLAN資料庫中是否存在該VLAN

      請參閱VLAN/VTP技術支援以取得組態範例。

    2. 將您要路由的輔助VLAN對映到主VLAN。

      Switch_IOS(config)#interface vlan primary_vlan_id

Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list
 
Switch_IOS(config-if)#end
      note-icon

      注意:僅為主要VLAN配置第3層VLAN介面。使用隔離或社群VLAN配置,隔離和社群VLAN的VLAN介面處於非活動狀態。

    3. 發出show interfaces private-vlan mapping(Cisco IOS軟體)或show pvlan mapping(CatOS)命令以驗證對應。

    4. 如果需要在配置對映後修改輔助VLAN清單,請使用addremove 關鍵字。

      Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list

or
Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
    note-icon

    :對於搭載MSFC的Catalyst 6500/6000交換器,請確保從Supervisor Engine到路由引擎(例如連線埠15/1或16/1)的連線埠混雜。

    cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

    發出show pvlan mapping命令以驗證對映。

    cat6000> (enable) show pvlan mapping 
Port Primary Secondary
---- ------- ---------
15/1  100      101

    組態

    本檔案會使用以下設定:

    接入層(Catalyst 4003:CatOS) 
    Access_Layer> (enable) show config
 This command shows non-default configurations only.
 Use 'show config all' to show both default and non-default configurations.
 .............

 
!--- Output suppressed.


 #system
 set system name  Access_Layer
 !
 #frame distribution method
 set port channel all distribution mac both
 !
 #vtp
 set vtp domain Cisco
 set vtp mode transparent
 set vlan 1 name default type ethernet mtu 1500 said 100001 state active 
 set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500 
 said 100100 state active 

!--- This is the primary VLAN 100. 
    !--- Note: This command must be on one line.
    
 set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu 
 1500 said 100101 state active 

!--- This is the isolated VLAN 101. 
    !--- Note: This command must be on one line.
    
 set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active 


!--- Output suppressed.


 #module 1 : 0-port Switching Supervisor
 !
 #module 2 : 24-port 10/100/1000 Ethernet
 set pvlan 100 101 2/20

!--- Port 2/20 is the PVLAN host port in primary VLAN 100, isolated 
    !--- VLAN 101.

 set trunk 2/3  desirable dot1q 1-1005
 set trunk 2/4  desirable dot1q 1-1005
 set trunk 2/20 off dot1q 1-1005

!--- Trunking is automatically disabled on PVLAN host ports.

 set spantree portfast    2/20 enable

!--- PortFast is automatically enabled on PVLAN host ports.

 set spantree portvlancost 2/1  cost 3


!--- Output suppressed.


 set spantree portvlancost 2/24 cost 3
 set port channel 2/20 mode off

!--- Port channeling is automatically disabled on PVLAN !--- host ports.

 set port channel 2/3-4 mode desirable silent
 !
 #module 3 : 34-port 10/100/1000 Ethernet
 end

    核心(Catalyst 4006:Cisco IOS軟體) 
    Core#show running-config
 Building configuration...

 
!--- Output suppressed.

 !
 hostname Core
 !
 vtp domain Cisco
 vtp mode transparent

!--- VTP mode is transparent, as PVLANs require.

 ip subnet-zero
 !
 vlan 2-4,6,10-11,20-22,26,28 
 !
 vlan 100
  name primary_for_101
   private-vlan primary
   private-vlan association 101
 !
 vlan 101
  name isolated_under_100
   private-vlan isolated
 !
 interface Port-channel1

!--- This is the port channel for interface GigabitEthernet3/1 
    !--- and interface GigabitEthernet3/2.

  switchport
  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
 !
 interface GigabitEthernet1/1
 !
 interface GigabitEthernet1/2
 !
 interface GigabitEthernet3/1

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/2

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/3
 !

!--- There is an omission of the interface configuration 
    !--- that you do not use.

 !
 interface GigabitEthernet3/26
  
  switchport private-vlan mapping 100 101
  switchport mode private-vlan promiscuous

!--- Designate the port as promiscuous for PVLAN 101.

 !

!--- There is an omission of the interface configuration 
    !--- that you do not use.
    
 !

!--- Output suppressed.

 interface Vlan25

!--- This is the connection to the Internet.

  ip address 10.25.1.1 255.255.255.0
 !
 interface Vlan100

!--- This is the Layer 3 interface for the primary VLAN.

  ip address 10.1.1.1 255.255.255.0
  private-vlan mapping 101

!--- Map VLAN 101 to the VLAN interface of the primary VLAN (100). 
    !--- Ingress traffic for devices in isolated VLAN 101 routes 
    !--- via interface VLAN 100.

    跨多台交換機的專用VLAN

    可以在多台交換機上使用兩種方法獲取專用VLAN。本節將討論以下方法:

    常規Trunk

    與常規VLAN一樣,PVLAN可以跨越多台交換機。中繼埠將主VLAN和輔助VLAN傳輸到相鄰交換機。主干連線埠會像處理其他任何VLAN一樣處理私人VLAN。跨多台交換機的PVLAN的一個功能是,一台交換機上隔離埠的流量不會到達另一台交換機的隔離埠。

    在所有中間裝置(包括沒有PVLAN埠的裝置)上配置PVLAN,以維護PVLAN配置的安全性並避免其他使用配置為PVLAN的VLAN。

    中繼埠傳輸來自常規VLAN以及主、隔離和社群VLAN的流量。

    tip-icon

    提示:如果兩台中繼交換機都支援PVLAN,思科建議使用標準中繼埠。

    Manually Configure PVLANS on all Switches in the Layer 2 Network在第2層網路中的所有交換機上手動配置PVLAN

    由於VTP不支援PVLAN,因此您必須在第2層網路中的所有交換機上手動配置PVLAN。如果沒有在網路中的某些交換機中配置主要和輔助VLAN關聯,則這些交換機中的第2層資料庫不會合併。這種情況可能導致這些交換機上出現不必要的PVLAN流量泛洪。

    專用VLAN中繼

    PVLAN中繼埠可以承載多個輔助VLAN和非PVLAN。在PVLAN中繼埠上使用輔助或常規VLAN標籤接收和傳輸資料包。

    僅支援IEEE 802.1q封裝。隔離的中繼埠允許您通過中繼合併所有輔助埠的流量。混雜中繼埠允許您將本拓撲中所需的多個混雜埠組合到承載多個主VLAN的單個中繼埠中。

    當您預計使用專用VLAN隔離主機埠來承載多個VLAN(普通的VLAN或多個專用VLAN域)時,請使用隔離專用VLAN中繼埠。因此,連線不支援專用VLAN的下游交換機很有用。

    專用VLAN混雜中繼通常用於專用VLAN混雜主機埠,但必須承載多個VLAN(普通的VLAN或多個專用VLAN域)。因此,連線不支援專用VLAN的上游路由器很有用。

    其他資訊

    有關詳細資訊,請參閱專用VLAN中繼

    要將介面配置為PVLAN中繼埠,請參閱將第2層介面配置為PVLAN中繼埠

    要將介面配置為混雜中繼埠,請參閱將第2層介面配置為混雜中繼埠

    驗證

    使用本節內容,確認您的組態是否正常運作。

    CatOS

    • show pvlan — 顯示PVLAN配置。檢驗隔離的VLAN和主VLAN是否相互關聯。此外,請確認是否顯示任何主機埠。

    • show pvlan mapping — 顯示混雜埠上配置的PVLAN對映。

    Cisco IOS軟體

    • show vlan private-vlan — 顯示PVLAN資訊,包括關聯的埠。

    • show interfacemod/portswitchport — 顯示介面特定的資訊。驗證操作模式以及操作PVLAN設定是否正確。

    • show interfaces private-vlan mapping — 顯示已配置的PVLAN對映。

    驗證程式

    請完成以下步驟:

    1. 檢驗交換機上的PVLAN配置。

      檢查以確定主PVLAN和輔助PVLAN是否相互關聯/對映。此外,檢驗是否包含必要的埠。

      Access_Layer> (enable) show pvlan
Primary Secondary Secondary-Type   Ports
------- --------- ---------------- ------------
 100     101       isolated         2/20

Core#show vlan private-vlan 

Primary Secondary Type              Ports
------- --------- ----------------- -----------
100     101       isolated          Gi3/26

    2. 檢驗混雜埠配置是否正確。

      此輸出表示連線埠操作模式是混雜,且操作VLAN是100和101。

      Core#show interface gigabitEthernet 3/26 switchport 
Name: Gi3/26
Switchport: Enabled
Administrative Mode: private-Vlan promiscuous
Operational Mode: private-vlan promiscuous
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative Private VLAN Host Association: none 
Administrative Private VLAN Promiscuous Mapping: 100 
(primary_for_101) 101 (isolated_under_100)
Private VLAN Trunk Native VLAN: none
Administrative Private VLAN Trunk Encapsulation: dot1q
Administrative Private VLAN Trunk Normal VLANs: none
Administrative Private VLAN Trunk Private VLANs: none
Operational Private VLANs: 
100 (primary_for_101) 101 (isolated_under_100) 
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL

    3. 起始從主機連線埠到混雜連線埠的網際網路控制訊息通訊協定(ICMP)Ping封包。

      請記住,由於兩台裝置位於同一個主要VLAN中,因此兩台裝置必須位於同一個子網中。

      host_port#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
      
!--- The Address Resolution Protocol (ARP) table on the client indicates 
      !--- that no MAC addresses other than the client addresses are known.
      
      host_port#ping 10.1.1.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms

!--- The ping is successful. The first ping fails while the 
      !--- device attempts to map via ARP for the peer MAC address.


host_port#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
Internet  10.1.1.254              0   0060.834f.66f0  ARPA   FastEthernet0/24

!--- There is now a new MAC address entry for the peer.

    4. 在主機埠之間發起ICMP ping。

      在本例中, host_port_2(10.1.1.99)嘗試ping > host_port(10.1.1.100)。此ping失敗。但是,從另一個主機埠ping混雜埠仍然成功。

      host_port_2#ping 10.1.1.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

!--- The ping between host ports fails, which is desirable.


host_port_2#ping 10.1.1.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

!--- The ping to the promiscuous port still succeeds.


host_port_2#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.1.99               -   0005.7428.1c40  ARPA   Vlan1
Internet  10.1.1.254              2   0060.834f.66f0  ARPA   Vlan1

!--- The ARP table includes only an entry for this port and 
      !--- the promiscuous port.

    疑難排解

    排除PVLAN故障

    本部分介紹PVLAN配置中出現的一些常見問題。

    問題1

    您會收到以下錯誤消息: %PM-SP-3-ERR_INCOMP_PORT: <mod/port>被設定為非活動,因為<mod/port>是中繼埠

    此錯誤消息可能由於多種原因而顯示,此處將對此進行討論。

    解釋 — 1:由於硬體限制,當同一COIL ASIC中的一個連線埠為主幹、SPAN目的地或混雜PVLAN連線埠時,Catalyst 6500/6000 10/100-Mbps模組會限制隔離或群體VLAN連線埠的組態。(COIL ASIC控制大多數模組上的12個埠和Catalyst 6548模組上的48個埠。) 本檔案的規則與限制一節中的提供Catalyst 6500/6000 10/100-Mbps模組上的連線埠限制明細。

    解決過程 — 1:如果該埠不支援PVLAN,請在該模組或不同模組上的不同ASIC上選擇一個埠。若要重新啟用連線埠,請移除隔離或群體VLAN連線埠組態,並發出shutdown命令和no shutdown命令。

    說明 — 2:如果埠是手動配置或預設配置為動態desirable或動態自動模式。

    解決步驟 — 2:使用switchport mode access命令將埠配置為接入模式。若要重新啟用連線埠,請發出shutdown命令和no shutdown命令。

    note-icon

    :在Cisco IOS軟體版本12.2(17a)SX和更新版本中,12埠限制不適用於WS-X6548-RJ-45、WS-X6548-RJ-21和WS-X6524-100FX-MM乙太網交換模組。

    問題2

    在PVLAN設定期間,您會遇到以下訊息之一:

    Cannot add a private vlan mapping to a port with another Private port in 
the same ASIC. 
Failed to set mapping between <vlan> and <vlan> on <mod/port>
    Port with another Promiscuous port in the same ASIC cannot be made 
Private port.
Failed to add ports to association.

    解釋:由於硬體限制,當同一COIL ASIC中的一個連線埠為主幹、SPAN目的地或混雜PVLAN連線埠時,Catalyst 6500/6000 10/100-Mbps模組會限制隔離或群體VLAN連線埠的組態。(COIL ASIC控制大多數模組上的12個埠和Catalyst 6548模組上的48個埠。) 本檔案的規則與限制一節中的提供Catalyst 6500/6000 10/100-Mbps模組上的連線埠限制明細。

    解決過程:發出show pvlan capability命令(CatOS),指示埠是否可以成為PVLAN埠。如果該特定埠不支援PVLAN,請選擇模組上不同ASIC或不同模組上的埠。

    note-icon

    :在Cisco IOS軟體版本12.2(17a)SX和更新版本中,12埠限制不適用於WS-X6548-RJ-45、WS-X6548-RJ-21和WS-X6524-100FX-MM乙太網交換模組。

    問題3

    在某些平台上無法配置PVLAN。

    解析度:驗證平台是否支援PVLAN。在開始配置之前,請參閱專用VLAN Catalyst交換機支援清單以確定您的平台和軟體版本是否支援PVLAN。

    問題4

    在Catalyst 6500/6000 MSFC上,無法對連線到交換器上隔離連線埠的裝置執行Ping。

    解析度:在Supervisor Engine上,驗證通往MSFC(15/1或16/1)的埠是否混雜。

    cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

    此外,請按照本文檔的第3層配置部分中的說明配置MSFC上的VLAN介面。

    問題5

    由於 no shutdown 命令有問題,您無法啟用隔離或社群VLAN的VLAN介面。

    解析度:由於PVLAN的性質,您不能啟用隔離或社群VLAN的VLAN介面。您只能啟用屬於主要VLAN的VLAN介面。

    問題6

    在具有MSFC/MSFC2的Catalyst 6500/6000裝置上,在第3層PVLAN介面上獲知的ARP條目不會過期。

    解析:在第3層專用VLAN介面上獲知的ARP條目是粘性ARP條目,不會過期。連線具有相同IP地址的新裝置會生成一條消息,並且不會建立ARP條目。因此,如果MAC地址發生變化,您必須手動刪除PVLAN埠ARP條目。若要手動新增或移除PVLAN ARP專案,請發出以下命令:

    Router(config)#no arp 10.1.3.30 
IP ARP:Deleting Sticky ARP entry 10.1.3.30 
Router(config)#arp 10.1.3.30 0000.5403.2356 arpa 
IP ARP:Overwriting Sticky ARP entry 10.1.3.30, hw:00d0.bb09.266e by 
hw:0000.5403.2356

    另一種方法是在Cisco IOS軟體版本12.1(11b)E和更新版本中發出no ip sticky-arp命令。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    3.0
    13-Sep-2023
    已從「相關資訊」部分刪除損壞的連結。
    2.0
    26-Jun-2023
    重新認證
    1.0
    24-Feb-2003
    初始版本
    TAC Authored

    由思科工程師貢獻

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您