Изоляция vlan на портах

[aleksandr_t]

Добрый день.
Возможно ли текущими средствами на коммутаторах MES реализовать следующую схему разграничения трафика разных Vlan?
Имеем три порта TE0/1 (Uplink), Gi 0/1 (оборудование клиента), GI 0/2 (оборудование клиента), все в режиме trunk. На всех портах прописаны vlan'ы 2-10.
Требуется: для Vlan 2-4 разрешить объмен трафиком между всеми тремя портами; для vlan 5-10 настроить изоляцию трафика между портами Gi 0/1 и Gi 0/2 и разрешить передачу трафик от портов Gi 0/1, Gi 0/2 до порта TE 0/1.

[Евгений Т]

Добрый день.

О каком коммутаторе идет речь?
Настройками изоляции тут не решить проблему, поскольку изоляция работает для порта.
Можно решить с помощью ACL, если известны MAC или IP адреса устройств, находящихся за портами gi0/1-2.
Также можно решить проблему, если в сети есть маршрутизация и клиенты за портами gi0/1-2 общаются со шлюзом, который находится за te0/1. Тогда нужен MAC шлюза.

[aleksandr_t]

Например, коммутаторы MES2124M или MES3124. ACL не подходит, так как в общем случае MAC/IP неизвестны и их может быть очень много.

[Евгений Т]

Также можно решить проблему, если в сети есть маршрутизация и клиенты за портами gi0/1-2 общаются со шлюзом, который находится за te0/1. Тогда нужен MAC шлюза.

Это условие тоже не выполняется?

[aleksandr_t]

Со стороны TE0/1 шлюз, как может быть, так и может быть продолжение L2 сервиса.

[Евгений Т]

ак и может быть продолжение L2 сервиса.

При этом порты gi0/1-2 должны общаться с утройствами, находящимися в продолжении данного L2 сервиса за te0/1 портом?

[aleksandr_t]

Да

[Евгений Т]

Тогда текущую схему реализовать не получится.

[cactus]

Коллеги, как я понимаю данную схему не сложно реализовать с помощью pvlan , но есть засада клиентские порты trunk, и это все портит.

Коллеги из Eltex , а может отойдете от RFC и разрешите работать клиентскому isolated порту в pvlan в trunk режиме? Учитывая, что абонентское оборудование pvlan пока не поддерживается (а я его видел на 3124F пока только). Смысла в pvlan нет.

Было бы очень удобно. на уровне дома режем proteсted port, а на уровне агрегации загоняем все в pvlan. Но с домов и управляющие виланы и прочие клиентские прилетают, кроме одного абонентского. Поэтому access там не катит, и это основное ограничение pvlan.

[Евгений Т]

Добрый день.

Коллеги, как я понимаю данную схему не сложно реализовать с помощью pvlan , но есть засада клиентские порты trunk, и это все портит.

pvlan работает для акцесных портов. Он уже реализован на коммутаторах.

Коллеги из Eltex , а может отойдете от RFC и разрешите работать клиентскому isolated порту в pvlan в trunk режиме?

Дело не в RFC, а в ограничениях чипа. Поэтому запрашиваемая вами реализация не осуществима в текущей формулировке.

[cactus]

Дело не в RFC, а в ограничениях чипа. Поэтому запрашиваемая вами реализация не осуществима в текущей формулировке

тогда надо натянуть pvlan еще и на свитчи доступа, собственно так где появляются access порты, иначе смысла особого нет, разве что с Длинками дружить только.