تكوين شبكات VLAN الخاصة المعزولة على مُبدّلات Catalyst

المقدمة

يصف هذا المستند إجراء تكوين شبكات PVLAN المعزولة على مُبدّلات Cisco Catalyst باستخدام Catalyst OS ‫(CatOS) أو برنامج ‪Cisco IOS®‬.

المتطلبات الأساسية

المتطلبات

يفترض هذا وثيقة أن أنت تتلقى شبكة أن يكون موجود بالفعل وقادر أن يخلق موصولية بين الميناء مختلف ل إضافة إلى VLANs خاص (PVLANs). إذا كان لديك محولات متعددة، فتأكد من أن خط الاتصال بين المحولات يعمل بشكل صحيح ويسمح بشبكات VLAN الخاصة على خط الاتصال.

لا تدعم كل المحولات وإصدارات البرامج شبكات VLAN الخاصة.

ملاحظة: تدعم بعض المحولات (كما هو محدد في مصفوفة دعم محول Catalyst من الشبكة المحلية الظاهرية (VLAN) الخاصة) حاليا ميزة حافة شبكة VLAN الخاصة فقط. يشير المصطلح محمي ميناء أيضا إلى هذه الميزة. تحتوي منافذ حافة شبكة VLAN الخاصة على تقييد يمنع الاتصال بالمنافذ المحمية الأخرى على المحول نفسه. ومع ذلك، يمكن للمنافذ المحمية على محولات منفصلة الاتصال ببعضها البعض. لا تخلط هذه الميزة مع تكوينات PVLAN العادية التي يبدي هذا المستند. أحلت ل كثير معلومة على ميناء محمي، ال يشكل أيسر أمن قسم من الوثيقة يشكل baser حركة مرور تحكم.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• مادة حفازة 4003 مفتاح مع مشرف محرك 2 وحدة نمطية أن يركض CatOS صيغة 6.3(5)

• مادة حفازة 4006 مفتاح مع مشرف محرك 3 وحدة نمطية أن يركض cisco ios برمجية إطلاق 12.1(12c)ew1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

معلومات أساسية

في بعض الحالات، يلزمك منع الاتصال من الطبقة 2 (L2) بين الأجهزة الطرفية على محول ما دون وضع الأجهزة في شبكات IP الفرعية المختلفة. يمنع هذا الإعداد إهدار عناوين IP. تسمح شبكات VLAN الخاصة بعزل الأجهزة في الطبقة 2 في شبكة IP الفرعية نفسها. أنت يستطيع قيدت بعض ميناء على المفتاح أن يبلغ فقط ميناء خاص أن يتلقى تقصير مدخل، نسخة إحتياطية نادل، أو cisco محلي مدير يربط.

يصف هذا وثيقة الإجراء أن يشكل PVLANs معزولة على cisco مادة حفازة مفتاح مع إما مادة حفازة os (CatOS) أو cisco ios برمجية.

PVLAN هي شبكة VLAN مع تكوين لعزل الطبقة 2 من المنافذ الأخرى داخل نفس مجال البث أو الشبكة الفرعية. يمكنك تخصيص مجموعة معينة من المنافذ داخل شبكة VLAN الخاصة وبالتالي التحكم في الوصول بين المنافذ في الطبقة 2. أنت يستطيع شكلت PVLANs و VLANs عادي على ال نفسه مفتاح.

هناك ثلاثة أنواع من منافذ PVLAN: المختلطة، والمعزولة، والمجتمعية.

1. يتصل المنفذ المختلطة مع جميع منافذ PVLAN الأخرى. المنفذ المختلطة هو المنفذ الذي تستخدمه عادة للاتصال بالموجهات الخارجية والمدراء المحليين وأجهزة إدارة الشبكة وخوادم النسخ الاحتياطي ومحطات العمل الإدارية والأجهزة الأخرى. في بعض المحولات، يلزم أن يكون المنفذ إلى وحدة المسار النمطية (على سبيل المثال، بطاقة ميزة التحويل متعدد الطبقات [MSFC]) مختلطا.

2. ميناء معزول يتلقى كامل طبقة 2 فاصل من آخر ميناء ضمن ال نفسه PVLAN. ويتضمن هذا الفصل عمليات البث، والاستثناء الوحيد هو المنفذ المختلطة. يقع منح الخصوصية في مستوى الطبقة 2 مع كتلة حركة مرور البيانات الصادرة إلى كل المنافذ المعزولة. حركة المرور التي تأتي من إعادة توجيه المنفذ المعزول إلى جميع المنافذ المختلطة فقط.

3. يمكن لمنافذ المجتمع الاتصال ببعضها البعض وبالمنافذ المختلطة. لهذه المنافذ عملية عزل من الطبقة 2 من جميع المنافذ الأخرى في المجتمعات الأخرى، أو المنافذ المعزولة داخل شبكة VLAN الخاصة. يتم نشر عمليات البث فقط بين منافذ المجتمع المقترنة والمنفذ المختلطة.

ملاحظة: لا يغطي هذا المستند تكوين شبكة VLAN المجتمعية.

القواعد والحدود

يوفر هذا القسم بعض القواعد والقيود التي يجب عليك مراقبتها عند تنفيذ شبكات VLAN الخاصة.

• لا يمكن أن تتضمن شبكات VLAN الخاصة شبكات VLAN رقم 1 أو 1002-1005.

• أنت ينبغي ثبتت VLAN شنطة بروتوكول (VTP) أسلوب إلى شفاف.

• أنت يستطيع فقط عينت واحد يعزل VLAN لكل VLAN أساسي.

• أنت يستطيع فقط عينت VLAN ك PVLAN إن أن VLAN يتلقى ما من منفذ تعيين حالي ميناء. أزلت أي ميناء في أن VLAN قبل أن أنت تجعل ال VLAN PVLAN.

• لا يشكل PVLAN ميناء ك EtherChannels.

• بسبب قيود الأجهزة، تعمل وحدات محول الإيثرنت السريع Catalyst 6500/6000 Fast Ethernet switch modules على تقييد تكوين منفذ VLAN معزول أو مجتمعي عندما يكون منفذ واحد داخل نفس الدائرة المتكاملة الخاصة بتطبيق COIL (ASIC) واحدا من التالي:

  • جذع

  • وجهة محلل منفذ المحول

  • منفذ PVLAN مختلط

يشير هذا الجدول إلى نطاق المنافذ التي تنتمي إلى ASIC نفسه على وحدات Catalyst 6500/6000 FastEthernet النمطية:

العرض pvlan قدرة (CatOS) يشير أيضا إن أنت يستطيع جعلت ميناء PVLAN ميناء. لا يوجد أمر مكافئ في برنامج Cisco IOS Software.

• إن يمحو أنت VLAN أن أنت تستعمل في ال PVLAN تشكيل، الميناء أن يربط مع ال VLAN يصبح غير نشط.

• قم بتكوين واجهات الطبقة 3 (L3) لشبكة VLAN فقط لشبكات VLAN الأساسية. تكون واجهات VLAN لشبكات VLAN المجتمعية والمعزولة غير نشطة بينما تحتوي شبكة VLAN على تكوين شبكات VLAN المجتمعية أو المعزولة.

• يمكنك توسيع شبكات VLAN الخاصة عبر المحولات باستخدام خطوط الاتصال. تحمل منافذ خطوط الاتصال حركة مرور البيانات من شبكات VLAN العادية وأيضا من شبكات VLAN الأساسية والمعزولة والمجتمعية. توصي Cisco باستخدام منافذ خطوط الاتصال القياسية إذا كان كلا المحولين الذين يتلقون دعم توصيل شبكات VLAN.

ملاحظة: أنت ينبغي يدويا دخلت ال نفسه PVLAN تشكيل على كل مفتاح مع مشاركة لأن VTP في أسلوب شفاف لا ينشر هذا معلومة.

التكوين

في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

ملاحظة: أستخدم أداة بحث الأوامر للعثور على مزيد من المعلومات حول الأوامر المستخدمة في هذا المستند. يمكن فقط للمستخدمين المسجلين الوصول إلى أدوات Cisco ومعلومات داخلية.

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

في هذا السيناريو، تحتوي الأجهزة الموجودة في شبكة VLAN المعزولة (101) على تقييد من الاتصال في الطبقة 2 مع بعضها البعض. ومع ذلك، يمكن أن تتصل الأجهزة بالإنترنت. بالإضافة إلى ذلك، يحتوي Port Gig 3/26 في 4006 على التسمية المختلطة. يتيح هذا التكوين الاختياري للجهاز الموجود على GigabitEthernet 3/26 الاتصال بجميع الأجهزة في شبكة VLAN المعزولة. كما يتيح هذا التكوين، على سبيل المثال، النسخ الاحتياطي للبيانات من جميع الأجهزة المضيفة لشبكة VLAN الخاصة إلى محطة عمل إدارية. وتتضمن الاستخدامات الأخرى للمنافذ المختلطة الاتصال بموجه خارجي و LocalDirector وجهاز إدارة الشبكة وأجهزة أخرى.

تكوين شبكات VLAN الأساسية والمعزولة

أنجزت هذا steps أن يخلق ال VLANs أساسي وثانوي، as well as أن يربط الميناء مختلف إلى هذا VLANs. تتضمن الخطوات أمثلة لكل من CatOS و cisco IOS®. قم بإصدار مجموعة الأوامر المناسبة لتثبيت نظام التشغيل.

1. قم بإنشاء شبكة PVLAN الأساسية.

   • CatOS

          
     Switch_CatOS> (enable) set vlan primary_vlan_id 
     pvlan-type primary name primary_vlan
     
     
      !--- Note: This command must be on one line.
     
     VTP advertisements transmitting temporarily stopped,
     and will resume after the command finishes.
     Vlan 100 configuration successful

   • برنامج IOS من Cisco

     Switch_IOS(config)#vlan primary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan primary
     
     Switch_IOS(config-vlan)#name primary-vlan
     
     Switch_IOS(config-vlan)#exit
     

2. خلقت ال VLAN معزول أو VLANs.

   • CatOS

     Switch_CatOS> (enable) set vlan secondary_vlan_id 
     pvlan-type isolated name isolated_pvlan
     
     
      !--- Note: This command must be on one line.
     
     VTP advertisements transmitting temporarily stopped,
     and will resume after the command finishes.
     Vlan 101 configuration successful 

   • برنامج IOS من Cisco

     Switch_IOS(config)#vlan secondary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan isolated
     
     Switch_IOS(config-vlan)#name isolated_pvlan
     
     Switch_IOS(config-vlan)#exit    

3. ربط شبكات VLAN/VLAN المعزولة بشبكة VLAN الأساسية.

   • CatOS

     Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id
     
     Vlan 101 configuration successful
     Successfully set association between 100 and 101.

   • برنامج IOS من Cisco

     Switch_IOS(config)#vlan primary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id
     
     Switch_IOS(config-vlan)#exit
     

4. دققت ال VLAN خاص تشكيل.

   • CatOS

     Switch_CatOS> (enable) show pvlan
     Primary Secondary Secondary-Type   Ports
     ------- --------- ---------------- ------------
     100     101       isolated     

   • برنامج IOS من Cisco

     Switch_IOS#show vlan private-vlan
     Primary  Secondary  Type              Ports
     ------- --------- ----------------- -------
     100     101       isolated   

تخصيص منافذ لشبكات VLAN الخاصة

تلميح: قبل تنفيذ هذا الإجراء، قمshow PVLAN capability mod/portبإصدار الأمر (ل CatOS) لتحديد ما إذا كان يمكن أن يصبح المنفذ منفذ PVLAN.

ملاحظة: قبل تنفيذ الخطوة 1 من هذا الإجراء، قم بإصدار الأمر switchport في وضع تكوين الواجهة لتكوين المنفذ كواجهة محولة من الطبقة 2.

• قم بتكوين منافذ المضيف على جميع المحولات المناسبة.

  • CatOS

    Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id mod/port
    
    
    !--- Note: This command must be on one line.
    
    Successfully set the following ports to Private Vlan 100,101: 2/20

  • برنامج IOS من Cisco

    Switch_IOS(config)#interface gigabitEthernet mod/port
    
    Switch_IOS(config-if)#switchport private-vlan host 
    primary_vlan_id secondary_vlan_id
    
    
     !--- Note: This command must be on one line.
    
    Switch_IOS(config-if)#switchport mode private-vlan host
    Switch_IOS(config-if)#exit
    

• قم بتكوين المنفذ المختلطة على أحد المحولات.

  • CatOS

    Switch_CatOS> (enable) set pvlan mapping primary_vlan_id secondary_vlan_id mod/port
    
    
    !--- Note: This command must be on one line.
    
    Successfully set mapping between 100 and 101 on 3/26

    

    ملاحظة: لمادة حفازة 6500/6000 عندما المشرف محرك يركض CatOS كالنظام برمجية، ال MSFC ميناء على المشرف محرك (15/1 أو 16/1) ينبغي كنت مختلط إن يريد أنت أن طبقة 3 مفتاح بين VLANs.

• برنامج IOS من Cisco

  Switch_IOS(config)#interface interface_type mod/port
  
  Switch_IOS(config-if)#switchport private-vlan 
  mapping primary_vlan_id secondary_vlan_id
  
  
   !--- Note: This command must be on one line.
  
  Switch_IOS(config-if)#switchport mode private-vlan promiscuous 
  Switch_IOS(config-if)#end
  

تكوين الطبقة 3

يصف هذا القسم الاختياري خطوات التكوين للسماح بمسار حركة مرور الدخول إلى شبكة VLAN الخاصة. إذا كنت فقط بحاجة إلى تمكين اتصال الطبقة 2، يمكنك تجاهل هذه المرحلة.

1. شكلت ال VLAN قارن بنفس الطريقة أن أنت تشكل لعادي طبقة 3 تحشد.

   يتضمن هذا التكوين:

   • تكوين عنوان IP

   • تنشيط الواجهة باستخدام الأمر no shutdown

   • دققت أن ال VLAN يتواجد في ال VLAN قاعدة معطيات

   أحلت VLANs/VTP دعم ل تشكيل مثال.

2. قم بتعيين شبكات VLAN الثانوية التي تريد توجيهها باستخدام شبكة VLAN الأساسية.

   Switch_IOS(config)#interface vlan primary_vlan_id
   
   Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list
    
   Switch_IOS(config-if)#end
   

   

   ملاحظة: قم بتكوين واجهات الطبقة 3 لشبكة VLAN فقط لشبكات VLAN الأساسية. تكون واجهات VLAN لشبكات VLAN المجتمعية والمعزولة غير نشطة مع تكوين شبكة VLAN المعزولة أو المجتمعية.

3. أصدرت العرض قارن خاص-VLAN يخطط (cisco ios برمجية) أو أبديت pvlan يخطط (CatOS) أمر أن يدقق التخطيط.

4. إذا كنت بحاجة إلى تعديل قائمة شبكات VLAN الثانوية بعد تكوين التعيين، فاستخدم الكلمة الأساسية add أو remove.

   Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list
   
   or
   Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
   
   

ملاحظة: بالنسبة لمحولات Catalyst 6500/6000 مع MSFC، تأكد من أن المنفذ من Supervisor Engine (المحرك المشرف) إلى محرك التوجيه (على سبيل المثال، المنفذ 15/1 أو 16/1) مختلط.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

أصدرت الأمر عرض pvlan يخطط أن يدقق ال يخطط.

cat6000> (enable) show pvlan mapping 
Port Primary Secondary
---- ------- ---------
15/1  100      101

التكوينات

يستخدم هذا المستند التكوينات التالية:

• access_layer (Catalyst 4003: CatOS)

• Core (Catalyst 4006: برنامج Cisco IOS Software)

Access_Layer> (enable) show config
 This command shows non-default configurations only.
 Use 'show config all' to show both default and non-default configurations.
 .............

 
!--- Output suppressed.


 #system
 set system name  Access_Layer
 !
 #frame distribution method
 set port channel all distribution mac both
 !
 #vtp
 set vtp domain Cisco
 set vtp mode transparent
 set vlan 1 name default type ethernet mtu 1500 said 100001 state active 
 set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500 
 said 100100 state active 

!--- This is the primary VLAN 100. 
!--- Note: This command must be on one line.

 set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu 
 1500 said 100101 state active 

!--- This is the isolated VLAN 101. 
!--- Note: This command must be on one line.

 set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active 


!--- Output suppressed.


 #module 1 : 0-port Switching Supervisor
 !
 #module 2 : 24-port 10/100/1000 Ethernet
 set pvlan 100 101 2/20

!--- Port 2/20 is the PVLAN host port in primary VLAN 100, isolated 
!--- VLAN 101.

 set trunk 2/3  desirable dot1q 1-1005
 set trunk 2/4  desirable dot1q 1-1005
 set trunk 2/20 off dot1q 1-1005

!--- Trunking is automatically disabled on PVLAN host ports.

 set spantree portfast    2/20 enable

!--- PortFast is automatically enabled on PVLAN host ports.

 set spantree portvlancost 2/1  cost 3


!--- Output suppressed.


 set spantree portvlancost 2/24 cost 3
 set port channel 2/20 mode off

!--- Port channeling is automatically disabled on PVLAN !--- host ports.

 set port channel 2/3-4 mode desirable silent
 !
 #module 3 : 34-port 10/100/1000 Ethernet
 end

Core#show running-config
 Building configuration...

 
!--- Output suppressed.

 !
 hostname Core
 !
 vtp domain Cisco
 vtp mode transparent

!--- VTP mode is transparent, as PVLANs require.

 ip subnet-zero
 !
 vlan 2-4,6,10-11,20-22,26,28 
 !
 vlan 100
  name primary_for_101
   private-vlan primary
   private-vlan association 101
 !
 vlan 101
  name isolated_under_100
   private-vlan isolated
 !
 interface Port-channel1

!--- This is the port channel for interface GigabitEthernet3/1 
!--- and interface GigabitEthernet3/2.

  switchport
  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
 !
 interface GigabitEthernet1/1
 !
 interface GigabitEthernet1/2
 !
 interface GigabitEthernet3/1

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/2

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/3
 !

!--- There is an omission of the interface configuration 
!--- that you do not use.

 !
 interface GigabitEthernet3/26
  
  switchport private-vlan mapping 100 101
  switchport mode private-vlan promiscuous

!--- Designate the port as promiscuous for PVLAN 101.

 !

!--- There is an omission of the interface configuration 
!--- that you do not use.

 !

!--- Output suppressed.

 interface Vlan25

!--- This is the connection to the Internet.

  ip address 10.25.1.1 255.255.255.0
 !
 interface Vlan100

!--- This is the Layer 3 interface for the primary VLAN.

  ip address 10.1.1.1 255.255.255.0
  private-vlan mapping 101

!--- Map VLAN 101 to the VLAN interface of the primary VLAN (100). 
!--- Ingress traffic for devices in isolated VLAN 101 routes 
!--- via interface VLAN 100.

شبكات VLAN الخاصة عبر محولات متعددة

يمكن إستخدام شبكات VLAN الخاصة عبر محولات متعددة في طريقتين. يناقش هذا القسم هذه الأساليب:

• خطوط الاتصال العادية

• شبكات VLAN الخاصة

خطوط الاتصال العادية

كما هو الحال مع شبكات VLAN العادية، يمكن أن تغطي شبكات VLAN PVLAN محولات متعددة. يحمل منفذ خط الاتصال شبكة VLAN الأساسية وشبكات VLAN الثانوية إلى محول مجاور. يتعامل منفذ خط الاتصال مع شبكة VLAN الخاصة كأي شبكة VLAN أخرى. سمة من PVLANs عبر يتعدد مفتاح أن حركة مرور من ميناء معزول في واحد مفتاح لا يبلغ ميناء معزول على آخر مفتاح.

قم بتكوين شبكات VLAN الخاصة على جميع الأجهزة الوسيطة، والتي تتضمن الأجهزة التي ليس لها منافذ PVLAN، من أجل الحفاظ على أمان تكوين شبكات VLAN الخاصة بك وتجنب الاستخدام الآخر لشبكات VLAN التي تم تكوينها كشبكات VLAN الخاصة. تحمل منافذ خطوط الاتصال حركة مرور البيانات من شبكات VLAN العادية، وأيضا من شبكات VLAN الأساسية والمعزولة والمجتمعية.

تلميح: توصي Cisco باستخدام منافذ خطوط الاتصال القياسية إذا كان كلا المحولين الذين يخضعون لشبكات PVLAN لدعم trunking.

تكوين شبكات VLAN يدويا على جميع المحولات في شبكة الطبقة 2

لأن VTP لا يدعم شبكات VLAN الخاصة، يجب عليك تكوين شبكات VLAN الخاصة يدويا على جميع المحولات في شبكة الطبقة 2. إن لا يشكل أنت الأساسي والثانوي VLAN اقتران في بعض مفتاح في الشبكة، الطبقة 2 قاعدة معطيات في هذا مفتاح لا يدمج. قد يؤدي هذا الموقف إلى حدوث فيضانات غير ضرورية لحركة مرور VLAN الخاصة على هذه المحولات.

شبكات VLAN الخاصة

يمكن أن يحمل منفذ PVLAN trunkport العديد من الشبكات المحلية الظاهرية (VLANs) الثانوية وغير الثانوية. يتم إستلام الحزم وإرسالها مع علامات VLAN الثانوية أو العادية على منافذ خط اتصال شبكة VLAN الخاصة.

يتم دعم تضمين IEEE 802.1q فقط. تسمح لك منافذ خطوط الاتصال المعزولة بدمج حركة مرور البيانات لجميع المنافذ الثانوية عبر خط اتصال. تسمح لك منافذ خطوط الاتصال المختلطة بدمج المنافذ المختلطة المتعددة المطلوبة في هذا المخطط في منفذ خط اتصال واحد يحمل شبكات VLAN أساسية متعددة.

استعملت يعزل VLAN خاص شنطة ميناء عندما أنت تتوقع الإستعمالمن خاص VLAN يعزل مضيف ميناء أن يحمل يتعدد VLANs، إما عادي VLANs أو ل يتعدد VLAN خاص. وهذا يجعله مفيدا لتوصيل محول من الخادم لا يدعم شبكات VLAN الخاصة.

يتم إستخدام شبكات VLAN المختلطة الخاصة في الحالات التي يتم فيها إستخدام منفذ مضيف مختلط لشبكة VLAN الخاصة بشكل طبيعي ولكن حيث يكون من الضروري حمل شبكات VLAN متعددة، إما شبكات VLAN العادية أو لمجالات شبكات VLAN الخاصة المتعددة. هذا يجعله مفيدا لتوصيل موجه تدفق البيانات الذي لا يدعم شبكات VLAN الخاصة.

معلومات إضافية

راجع شبكات VLAN الخاصة للحصول على مزيد من المعلومات.

أحلت in order to شكلت قارن كPVLAN شنطة ميناء، يشكل طبقة 2 قارن كPVLAN شنطة ميناء .

أحلت in order to شكلت قارن كميناء شنطة مختلط، يشكل طبقة 2 قارن كميناء شنطة مختلط .

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

CatOS

• show pvlan— يعرض تكوين شبكة VLAN الخاصة. تحقق من اقتران شبكات VLAN المعزولة والأساسية ببعضها البعض. دققت أيضا، أن أي مضيف يظهر ميناء.

• show pvlan mapping— يعرض تعيين شبكة VLAN الخاصة مع التكوين على المنافذ المختلطة.

برنامج IOS من Cisco

• show vlan private-vlan— يعرض معلومات شبكة VLAN، والتي تتضمن المنافذ التي تقترن.

• show interfaceMud/portswitchport— يعرض معلومات خاصة بالواجهة. تحقق من صحة وضع التشغيل وكذلك إعدادات PVLAN التشغيلية.

• يعرض أبديت قارن خاص-VLAN يخطط ال PVLAN أن أنت تشكل.

إجراء التحقق

أكمل الخطوات التالية:

1. تحقق من تكوين شبكة VLAN الخاصة على المحولات.

   تحقق لتحديد ما إذا كانت شبكات VLAN الأساسية والثانوية مرتبطة/تقوم بخريطة لبعضها البعض. تحقق أيضا من تضمين المنافذ اللازمة.

   Access_Layer> (enable) show pvlan
   Primary Secondary Secondary-Type   Ports
   ------- --------- ---------------- ------------
    100     101       isolated         2/20
   
   Core#show vlan private-vlan 
   
   Primary Secondary Type              Ports
   ------- --------- ----------------- -----------
   100     101       isolated          Gi3/26

2. تحقق من التكوين الصحيح للمنفذ المختلطة.

   يشير هذا الإخراج إلى أن وضع تشغيل المنفذ مختلط وأن شبكات VLAN التشغيلية هي 100 و 101.

   Core#show interface gigabitEthernet 3/26 switchport 
   Name: Gi3/26
   Switchport: Enabled
   Administrative Mode: private-Vlan promiscuous
   Operational Mode: private-vlan promiscuous
   Administrative Trunking Encapsulation: negotiate
   Operational Trunking Encapsulation: native
   Negotiation of Trunking: Off
   Access Mode VLAN: 1 (default)
   Trunking Native Mode VLAN: 1 (default)
   Voice VLAN: none
   Administrative Private VLAN Host Association: none 
   Administrative Private VLAN Promiscuous Mapping: 100 
   (primary_for_101) 101 (isolated_under_100)
   Private VLAN Trunk Native VLAN: none
   Administrative Private VLAN Trunk Encapsulation: dot1q
   Administrative Private VLAN Trunk Normal VLANs: none
   Administrative Private VLAN Trunk Private VLANs: none
   Operational Private VLANs: 
   100 (primary_for_101) 101 (isolated_under_100) 
   Trunking VLANs Enabled: ALL
   Pruning VLANs Enabled: 2-1001
   Capture Mode Disabled
   Capture VLANs Allowed: ALL

3. ابدأ حزمة إختبار اتصال لبروتوكول رسائل التحكم بالإنترنت (ICMP) من منفذ المضيف إلى المنفذ المختلطة.

   تذكر أنه، نظرا لأن كلا الجهازين في شبكة VLAN الأساسية نفسها، فيجب أن تكون الأجهزة في الشبكة الفرعية نفسها.

   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   
   !--- The Address Resolution Protocol (ARP) table on the client indicates 
   !--- that no MAC addresses other than the client addresses are known.
   
   host_port#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   .!!!!
   Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
   
   !--- The ping is successful. The first ping fails while the 
   !--- device attempts to map via ARP for the peer MAC address.
   
   
   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   Internet  10.1.1.254              0   0060.834f.66f0  ARPA   FastEthernet0/24
   
   !--- There is now a new MAC address entry for the peer.
   
   

4. ابدأ إختبار اتصال ICMP بين منافذ المضيف.

   في هذا المثال، يحاول host_port_2 (10.1.1.99) إختبار الاتصال > host_port (10.1.1.100). فشل إختبار الاتصال هذا. ومع ذلك، لا يزال إختبار الاتصال من منفذ مضيف آخر إلى المنفذ المختلطة ينجح.

   host_port_2#ping 10.1.1.100
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds:
   .....
   Success rate is 0 percent (0/5)
   
   !--- The ping between host ports fails, which is desirable.
   
   
   host_port_2#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   !!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
   
   !--- The ping to the promiscuous port still succeeds.
   
   
   host_port_2#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.99               -   0005.7428.1c40  ARPA   Vlan1
   Internet  10.1.1.254              2   0060.834f.66f0  ARPA   Vlan1
   
   !--- The ARP table includes only an entry for this port and 
   !--- the promiscuous port.
   
   

استكشاف الأخطاء وإصلاحها

أستكشاف أخطاء شبكات VLAN وإصلاحها

يتناول هذا القسم بعض المشاكل الشائعة التي تحدث مع تكوينات شبكة VLAN الخاصة.

المشكلة 1

تتلقى رسالة الخطأ هذه: ٪PM-SP-3-ERR_INCOMP_PORT: <mod/port> تم تعيينها على غير نشط لأن <mod/port> هو منفذ خط اتصال.

يمكن عرض رسالة الخطأ هذه لعدة أسباب، كما هو موضح هنا.

الشرح - 1

بسبب قيود الأجهزة، تعمل الوحدات النمطية Catalyst 6500/6000 10/100-Mbps على تقييد تكوين منفذ VLAN معزول أو مجتمعي عندما يكون منفذ واحد داخل نفس COIL ASIC هو خط اتصال، أو فسحة بين دعامتين غاية، أو منفذ PVLAN مختلط. (يتحكم ASIC للوكيل في 12 منفذا على معظم الوحدات النمطية و 48 منفذا على الوحدة النمطية Catalyst 6548.) يزود الجدول في القواعد والحدود قسم من هذا وثيقة تصنيف من الميناء قيد على المادة حفازة 6500/6000 10/100-mbps وحدة نمطية.

إجراء القرار - 1

إذا لم يكن هناك دعم لشبكة VLAN الخاصة على ذلك المنفذ، فعليك انتقاء منفذ على ASIC مختلف على الوحدة النمطية أو على وحدة نمطية مختلفة. أزلت in order to أعدت تنشيط الميناء، المعزول أو الجماعة VLAN ميناء تشكيل وأصدر الإيقاف عمل أمر وما من إيقاف عمل أمر.

الشرح - 2

إذا تم تكوين المنافذ يدويا أو بشكل افتراضي على الوضع الديناميكي المرغوب أو التلقائي الديناميكي.

إجراء القرار - 2

قم بتكوين المنافذ كوضع وصول باستخدام الأمر switchport mode access. أصدرت in order to أعدت تنشيط الميناء، الإيقاف عمل أمر وما من إيقاف عمل أمر.

ملاحظة: في برنامج Cisco IOS الإصدار 12.2(17a)SX والإصدارات الأحدث، لا ينطبق تقييد 12 منفذا على وحدات تحويل الإيثرنت WS-X6548-RJ-45 و WS-X6548-RJ-21 و WS-X6524-100FX-MM Ethernet.

المشكلة 2

أثناء تكوين شبكة VLAN الخاصة، تواجه إحدى الرسائل التالية:

Cannot add a private vlan mapping to a port with another Private port in 
the same ASIC. 
Failed to set mapping between <vlan> and <vlan> on <mod/port>

Port with another Promiscuous port in the same ASIC cannot be made 
Private port.
Failed to add ports to association.

الشرح

بسبب قيود الأجهزة، تعمل الوحدات النمطية Catalyst 6500/6000 10/100-Mbps على تقييد تكوين منفذ VLAN معزول أو مجتمعي عندما يكون منفذ واحد داخل نفس COIL ASIC هو خط اتصال، أو فسحة بين دعامتين غاية، أو منفذ PVLAN مختلط. (يتحكم ASIC للوكيل في 12 منفذا على معظم الوحدات النمطية و 48 منفذا على الوحدة النمطية Catalyst 6548.) يزود الجدول في القواعد والحدود قسم من هذا وثيقة تصنيف من الميناء قيد على المادة حفازة 6500/6000 10/100-mbps وحدة نمطية.

إجراء القرار

أصدرت العرض pvlan قدرة أمر (CatOS)، أي يشير إن ميناء يستطيع أصبحت PVLAN ميناء. إذا لم يكن هناك دعم لشبكة VLAN الخاصة على ذلك المنفذ المحدد، فعليك انتقاء منفذ على ASIC مختلف على الوحدة النمطية أو على وحدة نمطية مختلفة.

ملاحظة: في برنامج Cisco IOS الإصدار 12.2(17a)SX والإصدارات الأحدث، لا ينطبق تقييد 12 منفذا على وحدات تحويل الإيثرنت WS-X6548-RJ-45 و WS-X6548-RJ-21 و WS-X6524-100FX-MM Ethernet.

المشكلة 3

لا يمكنك تكوين شبكات VLAN الخاصة على بعض الأنظمة الأساسية.

قرار

تحقق من أن النظام الأساسي يدعم شبكات VLAN الخاصة. أحلت خاص VLAN مادة حفازة مفتاح دعم مادة حفازة مصفوفة أن يقرر إن ك منصة وبرمجية صيغة دعم PVLANs قبل أن أنت تبدأ التشكيل.

المشكلة 4

على مادة حفازة 6500/6000 MSFC، أنت يستطيع لا يمسك أداة أن يربط إلى الميناء يعزل على المفتاح.

قرار

على Supervisor Engine (المحرك المشرف)، تحقق من أن المنفذ إلى MSFC (15/1 أو 16/1) مختلط.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

أيضا، شكلت ال VLAN قارن على ال MSFC بما أن الطبقة 3 تشكيل قسم من هذا وثيقة يعين.

المشكلة 5

مع إصدار الأمر no shutdown ، لا يمكنك تنشيط واجهة شبكة VLAN لشبكات VLAN المعزولة أو المجتمعية.

قرار

نظرا لطبيعة شبكات VLAN الخاصة، لا يمكنك تنشيط واجهة شبكة VLAN لشبكات VLAN المعزولة أو المجتمعية. أنت يستطيع فقط نشط ال VLAN قارن أن ينتسب إلى VLAN أساسي.

المشكلة 6

في أجهزة Catalyst 6500/6000 مع MSFC/MSFC2، لا تنقضي إدخالات ARP التي تم التعرف عليها على واجهات الطبقة 3 لشبكة PVLAN.

قرار

إدخالات ARP التي يتم التعرف عليها على واجهات شبكة VLAN الخاصة للطبقة 3 هي إدخالات ARP اللاصقة ولا تتقادم. يقوم اتصال الأجهزة الجديدة بنفس عنوان IP بإنشاء رسالة، ولا يوجد إنشاء لإدخال ARP. لذلك، أنت ينبغي أزلت يدويا ARP ميناء مدخل إن {upper}mac address تغير. أصدرت in order to أضفت أو أزلت ARP مدخل PVLAN يدويا، هذا أمر:

Router(config)#no arp 10.1.3.30 
IP ARP:Deleting Sticky ARP entry 10.1.3.30 
Router(config)#arp 10.1.3.30 0000.5403.2356 arpa 
IP ARP:Overwriting Sticky ARP entry 10.1.3.30, hw:00d0.bb09.266e by 
hw:0000.5403.2356

خيار آخر هو إصدار الأمر no ip sticky-arp في برنامج Cisco IOS الإصدار 12.1(11b)E والإصدارات الأحدث.

معلومات ذات صلة

• الشبكات الآمنة باستخدام شبكات VLAN الخاصة وقوائم التحكم في الوصول إلى شبكة VLAN (VACLs)
• دعم تقنية تحويل شبكات LAN
• الدعم الفني والتنزيلات من Cisco