Geïsoleerde privé VLAN’s op Catalyst Switches configureren

Inleiding

Dit document beschrijft de procedure om geïsoleerde VLAN’s op Cisco Catalyst switches te configureren met Catalyst OS (CatOS) of Cisco IOS®-software.

Voorwaarden

Vereisten

Dit document veronderstelt dat u een netwerk hebt dat reeds bestaat en connectiviteit tussen de diverse poorten voor toevoeging aan Private VLAN’s (VLAN’s) kunt instellen. Als u meerdere switches hebt, zorg er dan voor dat de trunk tussen de switches correct functioneert en de VLAN’s op de trunk toestaat.

Niet alle switches en softwareversies ondersteunen VLAN’s.

Opmerking: sommige switches (zoals gespecificeerd in de Private VLAN Catalyst Switch Support Matrix ) ondersteunen momenteel alleen de functie VLAN Edge. De term "beschermde havens" verwijst ook naar deze eigenschap. VLAN Edge-poorten hebben een beperking die communicatie met andere beschermde poorten op dezelfde switch voorkomt. Beschermde havens op aparte switches kunnen echter wel met elkaar communiceren. Verwar deze functie niet met de normale VLAN-configuraties die in dit document worden getoond. Raadpleeg voor meer informatie over beschermde poorten het gedeelte Configuration Port Security van het document Configuration Port-Based Traffic Control.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Catalyst 4003 switch met Supervisor Engine 2-module waarin CatOS versie 6.3(5) wordt uitgevoerd

• Catalyst 4006 switch met Supervisor Engine 3-module waarin Cisco IOS-softwarerelease 12.1(12c)EW1 wordt uitgevoerd

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Achtergrondinformatie

In bepaalde situaties moet u voorkomen dat Layer 2 (L2)-connectiviteit tussen eindapparaten op een switch ontstaat zonder dat de apparaten in verschillende IP-subnetten worden geplaatst. Deze instelling voorkomt de verspilling van IP-adressen. PVLAN’s staan de isolatie bij Layer 2 van apparaten in hetzelfde IP-subnetje toe. U kunt bepaalde poorten op de switch beperken tot alleen bepaalde poorten die een standaardgateway, back-upserver of Cisco Local Director hebben aangesloten.

Dit document beschrijft de procedure om geïsoleerde VLAN’s op Cisco Catalyst switches te configureren met Catalyst OS (CatOS) of Cisco IOS-software.

Een VLAN is een VLAN met configuratie voor Layer 2-isolatie van andere poorten binnen hetzelfde uitzenddomein of dezelfde subnetverbinding. U kunt een specifieke reeks poorten binnen een VLAN toewijzen en daarbij de toegang controleren tussen de poorten op Layer 2. U kunt VLAN’s en normale VLAN’s configureren op dezelfde switch.

Er zijn drie soorten PVLAN-poorten: losse, geïsoleerde en gemeenschappelijke poorten.

1. Een promiscuous port communiceert met alle andere PVLAN poorten. De promiscuous port is de poort die u meestal gebruikt om te communiceren met externe routers, lokale directors, netwerkbeheerapparaten, back-upservers, administratieve werkstations en andere apparaten. Op sommige switches moet de poort naar de routemodule (bijvoorbeeld functiekaart voor meerlaagse Switch [MSFC]) promiscue zijn.

2. Een geïsoleerde poort heeft een volledige Layer 2-scheiding van andere poorten binnen hetzelfde VLAN. Deze scheiding omvat uitzendingen, en de enige uitzondering is de promiscuous port. Een privacysubsidie op Layer 2-niveau gebeurt met het blok van uitgaand verkeer naar alle geïsoleerde poorten. Verkeer dat afkomstig is van een geïsoleerde poort wordt alleen doorgestuurd naar alle promiscuous ports.

3. Communautaire havens kunnen met elkaar en met de promiscuous ports communiceren. Deze poorten hebben Layer 2-isolatie van alle andere poorten in andere gemeenschappen of geïsoleerde poorten binnen het VLAN. Uitzendingen verspreiden zich alleen tussen geassocieerde gemeenschapshavens en de promiscuous port.

Opmerking: dit document is niet van toepassing op community-VLAN-configuratie.

Regels en beperkingen

Deze sectie biedt enkele regels en beperkingen waarop u moet letten wanneer u VLAN’s implementeert.

• VLAN’s kunnen geen VLAN’s 1 of 1002-1005 omvatten.

• U moet de VLAN Trunk Protocol (VTP)-modus op transparant instellen.

• U kunt slechts één geïsoleerd VLAN per primair VLAN specificeren.

• U kunt een VLAN alleen als VLAN aanwijzen als dat VLAN op dit moment geen toegangspoorttoewijzingen heeft. Verwijder alle poorten in dat VLAN voordat u het VLAN tot een VLAN maakt.

• Configureer VLAN-poorten niet als EtherChannel.

• Als gevolg van hardwarebeperkingen beperken de Catalyst 6500/6000 Fast Ethernet-switch de configuratie van een geïsoleerde of community-VLAN-poort wanneer één poort binnen dezelfde COIL-toepassingsspecifieke geïntegreerde schakeling (ASIC) een van deze is:

  • Een stam

  • Een Switched Port Analyzer (SPAN)-bestemming

  • Een promiscuous VLAN-poort

Deze tabel geeft het bereik aan van poorten die tot dezelfde ASIC op Catalyst 6500/6000 Fast Ethernet-modules behoren:

De show pvlan mogelijkheid commando (CatOS) geeft ook aan of u een poort kunt maken een PVLAN poort. Er is geen equivalente opdracht in Cisco IOS-software.

• Als u een VLAN verwijdert dat u in de VLAN-configuratie gebruikt, worden de poorten die aan het VLAN zijn gekoppeld, inactief.

• Configureer Layer 3 (L3) VLAN-interfaces alleen voor de primaire VLAN’s. VLAN-interfaces voor geïsoleerde VLAN’s en community-VLAN’s zijn inactief terwijl VLAN’s een geïsoleerde VLAN-configuratie of een community-VLAN hebben.

• U kunt VLAN’s over switches uitbreiden met trunks. Trunkpoorten dragen verkeer van reguliere VLAN’s en ook van primaire, geïsoleerde en lokale VLAN’s. Cisco raadt het gebruik van standaardtrunkpoorten aan als beide switches trunkingondersteuning bieden voor VLAN’s.

Opmerking: u moet handmatig dezelfde VLAN-configuratie invoeren op elke switch waarbij u betrokken bent, omdat VTP in de transparante modus deze informatie niet doorgeeft.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: gebruik de opdracht Lookup Tool om meer informatie te vinden over de opdrachten die in dit document worden gebruikt. Alleen geregistreerde gebruikers kunnen toegang krijgen tot interne Cisco-tools en -informatie.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

In dit scenario hebben de apparaten in het geïsoleerde VLAN (101) een beperking van communicatie bij Layer 2 met elkaar. De apparaten kunnen echter wel verbinding maken met internet. Bovendien heeft haven Gig 3/26 op de 4006 de promiscuous aanduiding. Met deze optionele configuratie kan een apparaat op Gigabit Ethernet 3/26 verbinding maken met alle apparaten in het geïsoleerde VLAN. Deze configuratie maakt bijvoorbeeld ook de back-up van de gegevens mogelijk van alle VLAN-hostapparaten naar een beheerwerkstation. Andere toepassingen voor promiscuous ports omvatten verbinding met een externe router, LocalDirector, netwerkbeheerapparaat, en andere apparaten.

Configureer de primaire en geïsoleerde VLAN’s

Voer deze stappen uit om de primaire en secundaire VLAN’s te maken en de verschillende poorten aan deze VLAN’s te binden. De stappen omvatten voorbeelden voor zowel CatOS als Cisco IOS®-software. Geef de juiste opdrachtset voor de installatie van uw besturingssysteem uit.

1. Maak het primaire VLAN.

   • CatOS

          
     Switch_CatOS> (enable) set vlan primary_vlan_id 
     pvlan-type primary name primary_vlan
     
     
      !--- Note: This command must be on one line.
     
     VTP advertisements transmitting temporarily stopped,
     and will resume after the command finishes.
     Vlan 100 configuration successful

   • Cisco IOS-software

     Switch_IOS(config)#vlan primary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan primary
     
     Switch_IOS(config-vlan)#name primary-vlan
     
     Switch_IOS(config-vlan)#exit
     

2. Maak geïsoleerde VLAN’s of VLAN’s.

   • CatOS

     Switch_CatOS> (enable) set vlan secondary_vlan_id 
     pvlan-type isolated name isolated_pvlan
     
     
      !--- Note: This command must be on one line.
     
     VTP advertisements transmitting temporarily stopped,
     and will resume after the command finishes.
     Vlan 101 configuration successful 

   • Cisco IOS-software

     Switch_IOS(config)#vlan secondary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan isolated
     
     Switch_IOS(config-vlan)#name isolated_pvlan
     
     Switch_IOS(config-vlan)#exit    

3. Bind geïsoleerde VLAN’s aan het primaire VLAN.

   • CatOS

     Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id
     
     Vlan 101 configuration successful
     Successfully set association between 100 and 101.

   • Cisco IOS-software

     Switch_IOS(config)#vlan primary_vlan_id
     
     Switch_IOS(config-vlan)#private-vlan association secondary_vlan_id
     
     Switch_IOS(config-vlan)#exit
     

4. Controleer de configuratie van het privé-VLAN.

   • CatOS

     Switch_CatOS> (enable) show pvlan
     Primary Secondary Secondary-Type   Ports
     ------- --------- ---------------- ------------
     100     101       isolated     

   • Cisco IOS-software

     Switch_IOS#show vlan private-vlan
     Primary  Secondary  Type              Ports
     ------- --------- ----------------- -------
     100     101       isolated   

Poorten toewijzen aan de VLAN’s

show PVLAN capability mod/portTip: Voordat u deze procedure implementeert, geeft u de opdracht (voor CatOS) om te bepalen of een poort een PVLAN-poort kan worden.

Opmerking: voordat u Stap 1 van deze procedure uitvoert, geeft u de switchport-opdracht in interfaceconfiguratiemodus uit om de poort te configureren als een Layer 2 switched interface.

• Configureer de hostpoorten op alle juiste switches.

  • CatOS

    Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id mod/port
    
    
    !--- Note: This command must be on one line.
    
    Successfully set the following ports to Private Vlan 100,101: 2/20

  • Cisco IOS-software

    Switch_IOS(config)#interface gigabitEthernet mod/port
    
    Switch_IOS(config-if)#switchport private-vlan host 
    primary_vlan_id secondary_vlan_id
    
    
     !--- Note: This command must be on one line.
    
    Switch_IOS(config-if)#switchport mode private-vlan host
    Switch_IOS(config-if)#exit
    

• Configureer de promiscuous port op een van de switches.

  • CatOS

    Switch_CatOS> (enable) set pvlan mapping primary_vlan_id secondary_vlan_id mod/port
    
    
    !--- Note: This command must be on one line.
    
    Successfully set mapping between 100 and 101 on 3/26

    

    Opmerking: voor Catalyst 6500/6000 wanneer de Supervisor Engine CatOS als systeemsoftware draait, moet de MSFC-poort op de Supervisor Engine (15/1 of 16/1) veelzijdig zijn als u Layer 3-switch tussen de VLAN’s wilt gebruiken.

• Cisco IOS-software

  Switch_IOS(config)#interface interface_type mod/port
  
  Switch_IOS(config-if)#switchport private-vlan 
  mapping primary_vlan_id secondary_vlan_id
  
  
   !--- Note: This command must be on one line.
  
  Switch_IOS(config-if)#switchport mode private-vlan promiscuous 
  Switch_IOS(config-if)#end
  

Layer 3-configuratie

In deze optionele sectie worden de configuratiestappen beschreven om de route van VLAN-toegangsverkeer toe te staan. Als u slechts Layer 2-connectiviteit hoeft in te schakelen, kunt u deze fase weglaten.

1. Configureer de VLAN-interface op dezelfde manier als u dat doet voor de normale Layer 3-routing.

   Deze configuratie omvat:

   • Configuratie van een IP-adres

   • Activering van de interface met de opdracht no shutdown

   • Verificatie dat het VLAN bestaat in de VLAN-database

   Raadpleeg Technische ondersteuning van VLAN’s/VTP voor configuratievoorbeelden.

2. Breng secundaire VLAN's in kaart die u met het primaire VLAN wilt leiden.

   Switch_IOS(config)#interface vlan primary_vlan_id
   
   Switch_IOS(config-if)#private-vlan mapping secondary_vlan_list
    
   Switch_IOS(config-if)#end
   

   

   Opmerking: Layer 3 VLAN-interfaces alleen voor primaire VLAN’s configureren. VLAN-interfaces voor geïsoleerde VLAN’s en community-VLAN’s zijn inactief met een geïsoleerde VLAN-configuratie of een community-VLAN.

3. Geef de show interfaces privaat-VLAN-mapping uit (Cisco IOS-software) of toon pvlan-mapping opdracht (CatOS) om de mapping te verifiëren.

4. Als u de secundaire VLAN-lijst moet wijzigen na de configuratie van de toewijzing, gebruikt u het trefwoord toevoegen of verwijderen.

   Switch_IOS(config-if)#private-vlan mapping add secondary_vlan_list
   
   or
   Switch_IOS(config-if)#private-vlan mapping remove secondary_vlan_list
   
   

Opmerking: zorg er voor Catalyst 6500/6000 switches met MSFC voor dat de poort van de Supervisor Engine naar de routingengine (bijvoorbeeld poort 15/1 of 16/1) promiscue is.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

Geef het bevel uit tonen pvlan afbeelding om de afbeelding te verifiëren.

cat6000> (enable) show pvlan mapping 
Port Primary Secondary
---- ------- ---------
15/1  100      101

Configuraties

Dit document gebruikt de volgende configuraties:

• Access_Layer (Catalyst 4003: CatOS)

• Core (Catalyst 4006: Cisco IOS-software)

Access_Layer> (enable) show config
 This command shows non-default configurations only.
 Use 'show config all' to show both default and non-default configurations.
 .............

 
!--- Output suppressed.


 #system
 set system name  Access_Layer
 !
 #frame distribution method
 set port channel all distribution mac both
 !
 #vtp
 set vtp domain Cisco
 set vtp mode transparent
 set vlan 1 name default type ethernet mtu 1500 said 100001 state active 
 set vlan 100 name primary_for_101 type ethernet pvlan-type primary mtu 1500 
 said 100100 state active 

!--- This is the primary VLAN 100. 
!--- Note: This command must be on one line.

 set vlan 101 name isolated_under_100 type ethernet pvlan-type isolated mtu 
 1500 said 100101 state active 

!--- This is the isolated VLAN 101. 
!--- Note: This command must be on one line.

 set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active 


!--- Output suppressed.


 #module 1 : 0-port Switching Supervisor
 !
 #module 2 : 24-port 10/100/1000 Ethernet
 set pvlan 100 101 2/20

!--- Port 2/20 is the PVLAN host port in primary VLAN 100, isolated 
!--- VLAN 101.

 set trunk 2/3  desirable dot1q 1-1005
 set trunk 2/4  desirable dot1q 1-1005
 set trunk 2/20 off dot1q 1-1005

!--- Trunking is automatically disabled on PVLAN host ports.

 set spantree portfast    2/20 enable

!--- PortFast is automatically enabled on PVLAN host ports.

 set spantree portvlancost 2/1  cost 3


!--- Output suppressed.


 set spantree portvlancost 2/24 cost 3
 set port channel 2/20 mode off

!--- Port channeling is automatically disabled on PVLAN !--- host ports.

 set port channel 2/3-4 mode desirable silent
 !
 #module 3 : 34-port 10/100/1000 Ethernet
 end

Core#show running-config
 Building configuration...

 
!--- Output suppressed.

 !
 hostname Core
 !
 vtp domain Cisco
 vtp mode transparent

!--- VTP mode is transparent, as PVLANs require.

 ip subnet-zero
 !
 vlan 2-4,6,10-11,20-22,26,28 
 !
 vlan 100
  name primary_for_101
   private-vlan primary
   private-vlan association 101
 !
 vlan 101
  name isolated_under_100
   private-vlan isolated
 !
 interface Port-channel1

!--- This is the port channel for interface GigabitEthernet3/1 
!--- and interface GigabitEthernet3/2.

  switchport
  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
 !
 interface GigabitEthernet1/1
 !
 interface GigabitEthernet1/2
 !
 interface GigabitEthernet3/1

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/2

!--- This is the trunk to the Access_Layer switch.

  switchport trunk encapsulation dot1q
  switchport mode dynamic desirable
  channel-group 1 mode desirable
 !
 interface GigabitEthernet3/3
 !

!--- There is an omission of the interface configuration 
!--- that you do not use.

 !
 interface GigabitEthernet3/26
  
  switchport private-vlan mapping 100 101
  switchport mode private-vlan promiscuous

!--- Designate the port as promiscuous for PVLAN 101.

 !

!--- There is an omission of the interface configuration 
!--- that you do not use.

 !

!--- Output suppressed.

 interface Vlan25

!--- This is the connection to the Internet.

  ip address 10.25.1.1 255.255.255.0
 !
 interface Vlan100

!--- This is the Layer 3 interface for the primary VLAN.

  ip address 10.1.1.1 255.255.255.0
  private-vlan mapping 101

!--- Map VLAN 101 to the VLAN interface of the primary VLAN (100). 
!--- Ingress traffic for devices in isolated VLAN 101 routes 
!--- via interface VLAN 100.

Private VLAN’s over meerdere Switches

Private VLAN’s kunnen op twee manieren over meerdere switches worden genomen. In dit gedeelte worden deze methoden besproken:

• Reguliere trunks

• Private VLAN-trunks

Reguliere trunks

Zoals met normale VLAN’s kunnen VLAN’s meerdere switches omvatten. Een trunkpoort draagt het primaire VLAN en secundaire VLAN’s naar een naburige switch. De trunkpoort behandelt het privé-VLAN als elk ander VLAN. Een kenmerk van VLAN’s over meerdere switches is dat verkeer vanaf een geïsoleerde poort in de ene switch geen geïsoleerde poort op een andere switch bereikt.

Configureer VLAN’s op alle intermediaire apparaten, waaronder apparaten die geen PVLAN-poorten hebben, om de beveiliging van uw PVLAN-configuratie te handhaven en ander gebruik van de VLAN’s die als VLAN’s zijn geconfigureerd te vermijden. Trunkpoorten dragen verkeer van normale VLAN’s en ook van primaire, geïsoleerde en lokale VLAN’s.

Tip: Cisco raadt het gebruik van standaardtrunkpoorten aan als beide switches die trunking ondergaan VLAN’s ondersteunen.

PVLAN’s handmatig configureren op alle Switches in Layer 2-netwerk

Omdat VTP geen VLAN’s ondersteunt, moet u VLAN’s handmatig configureren op alle switches in Layer 2-netwerken. Als u de combinatie van het primaire en het secundaire VLAN niet in bepaalde switches in het netwerk configureert, worden Layer 2-databases in deze switches niet samengevoegd. Deze situatie kan leiden tot onnodige overstroming van VLAN-verkeer op die switches.

Private VLAN-trunks

Een PVLAN-trunkpoort kan meerdere secundaire en niet-PVLAN’s dragen. Pakketten worden ontvangen en verzonden met secundaire of reguliere VLAN-tags op de VLAN-trunkpoorten.

Alleen IEEE 802.1q-insluiting wordt ondersteund. Met geïsoleerde trunkpoorten kunt u verkeer combineren voor alle secundaire poorten via een trunk. Met veelbelovende trunkpoorten kunt u de meerdere veelbelovende poorten die in deze topologie nodig zijn, combineren in één trunkpoort die meerdere primaire VLAN’s draagt.

Gebruik geïsoleerde Private VLAN-trunkpoorten wanneer u verwacht dat Private VLAN-geïsoleerde hostpoorten zullen worden gebruikt om meerdere VLAN’s, normale VLAN’s of meerdere Private VLAN-domeinen te dragen. Dit maakt het nuttig om een stroomafwaartse switch te verbinden die geen Private VLAN’s ondersteunt.

Private VLAN Promiscuous Trunks worden gebruikt in situaties waar een Private VLAN-promiscuous host poort normaal wordt gebruikt, maar waar het nodig is om meerdere VLAN’s te dragen, ofwel normale VLAN’s of voor meerdere Private VLAN-domeinen. Dit maakt het nuttig om een stroomopwaartse router te verbinden die geen Private VLAN’s ondersteunt.

Aanvullende informatie

Raadpleeg Private VLAN-trunks voor meer informatie.

Raadpleeg Layer 2-interface configureren als VLAN Trunk-poort om een interface te configureren als VLAN Trunk-poort .

Raadpleeg Layer 2-interface configureren als een veelzijdige Trunk-poort om een interface te configureren.

Verifiëren

Gebruik deze sectie om te controleren of uw configuratie goed werkt.

CatOS

• toon pvlan-Toont de configuratie van VLAN. Controleer dat de geïsoleerde en primaire VLAN’s met elkaar geassocieerd zijn. Controleer ook of er hostpoorten verschijnen.

• toon pvlan afbeelding-Toont de PVLAN afbeelding met configuratie op promiscuous ports.

Cisco IOS-software

• toon VLAN privé-VLAN-Vertoningen PVLAN informatie, die havens omvat die associëren.

• toon interfacemod/portswitchport-Toont interface-specifieke informatie. Controleer of de operationele modus en de operationele VLAN-instellingen correct zijn.

• toon interfaces privé-VLAN afbeelding-Toont de afbeelding van VLAN die u hebt gevormd.

Controleprocedure

Voer de volgende stappen uit:

1. Controleer de VLAN-configuratie op de switches.

   Controleer of de primaire en secundaire VLAN’s aan elkaar gekoppeld/gekoppeld zijn. Controleer ook of de benodigde poorten zijn opgenomen.

   Access_Layer> (enable) show pvlan
   Primary Secondary Secondary-Type   Ports
   ------- --------- ---------------- ------------
    100     101       isolated         2/20
   
   Core#show vlan private-vlan 
   
   Primary Secondary Type              Ports
   ------- --------- ----------------- -----------
   100     101       isolated          Gi3/26

2. Controleer de juiste configuratie van de promiscuous poort.

   Deze uitvoer geeft aan dat de operationele poortmodus promiscuous is en dat de operationele VLAN’s 100 en 101 zijn.

   Core#show interface gigabitEthernet 3/26 switchport 
   Name: Gi3/26
   Switchport: Enabled
   Administrative Mode: private-Vlan promiscuous
   Operational Mode: private-vlan promiscuous
   Administrative Trunking Encapsulation: negotiate
   Operational Trunking Encapsulation: native
   Negotiation of Trunking: Off
   Access Mode VLAN: 1 (default)
   Trunking Native Mode VLAN: 1 (default)
   Voice VLAN: none
   Administrative Private VLAN Host Association: none 
   Administrative Private VLAN Promiscuous Mapping: 100 
   (primary_for_101) 101 (isolated_under_100)
   Private VLAN Trunk Native VLAN: none
   Administrative Private VLAN Trunk Encapsulation: dot1q
   Administrative Private VLAN Trunk Normal VLANs: none
   Administrative Private VLAN Trunk Private VLANs: none
   Operational Private VLANs: 
   100 (primary_for_101) 101 (isolated_under_100) 
   Trunking VLANs Enabled: ALL
   Pruning VLANs Enabled: 2-1001
   Capture Mode Disabled
   Capture VLANs Allowed: ALL

3. Start een Internet Control Message Protocol (ICMP) door pakket te pingelen van de hostpoort naar de promiscuous poort.

   Houd in gedachten dat, aangezien beide apparaten in hetzelfde primaire VLAN zijn, de apparaten zich in hetzelfde subnet moeten bevinden.

   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   
   !--- The Address Resolution Protocol (ARP) table on the client indicates 
   !--- that no MAC addresses other than the client addresses are known.
   
   host_port#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   .!!!!
   Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
   
   !--- The ping is successful. The first ping fails while the 
   !--- device attempts to map via ARP for the peer MAC address.
   
   
   host_port#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.100              -   0008.a390.fc80  ARPA   FastEthernet0/24
   Internet  10.1.1.254              0   0060.834f.66f0  ARPA   FastEthernet0/24
   
   !--- There is now a new MAC address entry for the peer.
   
   

4. Start een ICMP-ping tussen hostpoorten.

   In dit voorbeeld probeert host_port_2 (10.1.1.99) > host_port (10.1.1.100) te pingen. Dit pingelt mislukt. Pingel van een andere gastheerhaven aan de promiscuous haven, echter, nog slaagt.

   host_port_2#ping 10.1.1.100
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.100, timeout is 2 seconds:
   .....
   Success rate is 0 percent (0/5)
   
   !--- The ping between host ports fails, which is desirable.
   
   
   host_port_2#ping 10.1.1.254
   
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 10.1.1.254, timeout is 2 seconds:
   !!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
   
   !--- The ping to the promiscuous port still succeeds.
   
   
   host_port_2#show arp
   Protocol  Address          Age (min)  Hardware Addr   Type   Interface
   Internet  10.1.1.99               -   0005.7428.1c40  ARPA   Vlan1
   Internet  10.1.1.254              2   0060.834f.66f0  ARPA   Vlan1
   
   !--- The ARP table includes only an entry for this port and 
   !--- the promiscuous port.
   
   

Problemen oplossen

Probleemoplossing voor VLAN’s

In deze sectie worden enkele veelvoorkomende problemen met VLAN-configuraties besproken.

Probleem 1

Je krijgt deze foutmelding: "%PM-SP-3-ERR_INCOMP_PORT: <mod/port> is ingesteld op inactief omdat <mod/port> een trunkpoort is."

Deze foutmelding kan om meerdere redenen worden weergegeven, zoals hier is besproken.

Uitleg - 1

Vanwege hardwarebeperkingen beperken Catalyst 6500/6000 10/100 Mbps modules de configuratie van een geïsoleerde of community-VLAN-poort wanneer één poort binnen dezelfde COIL-ASIC een trunk, een SPAN-bestemming of een promiscuous VLAN-poort is. (De COIL ASIC regelt 12 poorten op de meeste modules en 48 poorten op de Catalyst 6548 module.) De tabel in de sectie Regels en Beperkingen van dit document bevat een uitsplitsing van de poortbeperking op Catalyst 6500/6000 10/100-Mbps modules.

Afwikkelingsprocedure - 1

Als er geen ondersteuning is voor PVLAN op die poort, kies dan een poort op een andere ASIC op de module of op een andere module. Om de poorten te reactiveren, verwijdert u de geïsoleerde of lokale VLAN-poortconfiguratie en geeft u de opdracht tot afsluiten en niet tot afsluiten.

Uitleg - 2

Als de poorten handmatig of standaard zijn ingesteld op dynamische gewenste of dynamische automatische modus.

Afwikkelingsprocedure - 2

Configureer de poorten als toegangsmodus met de opdracht toegang switchport modus. Om de poorten opnieuw te activeren, geeft u de opdracht afsluiten en geen opdracht tot afsluiten uit.

Opmerking: in Cisco IOS-softwarerelease 12.2(17a)SX en latere releases is de 12-poorts beperking niet van toepassing op WS-X6548-RJ-45, WS-X6548-RJ-21 en WS-X6524-100FX-M Ethernet-switchmodules.

Probleem 2

Tijdens de VLAN-configuratie stuit u op een van deze berichten:

Cannot add a private vlan mapping to a port with another Private port in 
the same ASIC. 
Failed to set mapping between <vlan> and <vlan> on <mod/port>

Port with another Promiscuous port in the same ASIC cannot be made 
Private port.
Failed to add ports to association.

Toelichting

Vanwege hardwarebeperkingen beperken Catalyst 6500/6000 10/100 Mbps modules de configuratie van een geïsoleerde of community-VLAN-poort wanneer één poort binnen dezelfde COIL-ASIC een trunk, een SPAN-bestemming of een promiscuous VLAN-poort is. (De COIL ASIC regelt 12 poorten op de meeste modules en 48 poorten op de Catalyst 6548 module.) De tabel in de sectie Regels en Beperkingen van dit document bevat een uitsplitsing van de poortbeperking op Catalyst 6500/6000 10/100-Mbps modules.

Resolutie Procedure

Geef de show pvlan mogelijkheid commando (CatOS) uit, die aangeeft of een poort een PVLAN poort kan worden. Als er geen ondersteuning is voor PVLAN op die bepaalde poort, kies dan een poort op een andere ASIC op de module of op een andere module.

Opmerking: in Cisco IOS-softwarerelease 12.2(17a)SX en latere releases is de 12-poorts beperking niet van toepassing op WS-X6548-RJ-45, WS-X6548-RJ-21 en WS-X6524-100FX-M Ethernet-switchmodules.

Probleem 3

U kunt geen VLAN’s configureren op bepaalde platforms.

Resolutie

Controleer dat het platform VLAN’s ondersteunt. Raadpleeg de Private VLAN Catalyst Switch Support Matrix om te bepalen of uw platform en softwareversie VLAN’s ondersteunen voordat u met de configuratie begint.

Probleem 4

Op een Catalyst 6500/6000 MSFC kunt u geen apparaat pingen dat verbinding maakt met de geïsoleerde poort op de switch.

Resolutie

Controleer in de Supervisor Engine of de poort naar de MSFC (15/1 of 16/1) promiscue is.

cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1
Successfully set mapping between 100 and 101 on 15/1

Configureer ook de VLAN-interface op de MSFC als de sectie Layer 3 Configuration van dit document aangeeft.

Probleem 5

Met de uitgifte van de opdracht no shutdown kunt u de VLAN-interface niet activeren voor geïsoleerde VLAN’s of community-VLAN’s.

Resolutie

Vanwege de aard van VLAN’s kunt u de VLAN-interface voor geïsoleerde VLAN’s of community-VLAN’s niet activeren. U kunt alleen de VLAN-interface activeren die tot het primaire VLAN behoort.

Probleem 6

Op Catalyst 6500/6000-apparaten met MSFC/MSFC2 worden ARP-vermeldingen die op Layer 3 VLAN-interfaces zijn geleerd, niet verouderd.

Resolutie

ARP ingangen die op Layer 3 privé VLAN-interfaces worden geleerd, zijn kleverige ARP-ingangen en worden niet verouderd. De verbinding van nieuwe apparatuur met hetzelfde IP-adres genereert een bericht en er wordt geen ARP-ingang gemaakt. Daarom moet u PVLAN poort ARP vermeldingen handmatig verwijderen als een MAC-adres wijzigt. Om VLAN ARP-vermeldingen handmatig toe te voegen of te verwijderen, geeft u deze opdrachten uit:

Router(config)#no arp 10.1.3.30 
IP ARP:Deleting Sticky ARP entry 10.1.3.30 
Router(config)#arp 10.1.3.30 0000.5403.2356 arpa 
IP ARP:Overwriting Sticky ARP entry 10.1.3.30, hw:00d0.bb09.266e by 
hw:0000.5403.2356

Een andere optie is de opdracht geen ip-sticky-arp uit te geven in Cisco IOS-softwarerelease 12.1(11b)E en hoger.

Gerelateerde informatie

• Beveiligde netwerken met VLAN’s en VACL’s
• Ondersteuning voor LAN-switching technologie
• Cisco Technical Support en downloads