La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

sur Commutateurs Catalyst

Publié parThérèse Petit Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "sur Commutateurs Catalyst"— Transcription de la présentation:

1 sur Commutateurs Catalyst
Configuration de VLANs privés isolés sur Commutateurs Catalyst ccnp-cch

2 Sommaire • Introduction - Prérequis Composants utilisés Rappels Règles et limitations • Configuration - Schéma du réseau Configurer les VLANs primaire et isolé Configuration couche Configurations - VLANs privés à travers plusieurs commutateurs • Vérification • Résolution de problèmes - Résolution de problèmes sur les PVLANs ccnp-cch

3 Introduction ccnp-cch
Dans certaines situations vous devez empêcher la connectivité couche 2 (L2) entre des équipements d'extrémité sur un commutateur sans placer ces équipements dans des réseaux IP différents. Cette configuration évite le gaspillage d'adresses. Les VLANs pri- vés (Private VLANs) permettent l'isolement d'équipements à la couche 2 dans le même sous-réseau IP. Vous pouvez restreindre quelques ports du commutateur pour attein- dre des ports spécifiques qui ont une passerelle par défaut, un serveur de backup ou Cisco Local Director attaché. Ce document décrit les procédures pour configurer les PVLANs isolés sur les commu- tateurs Cisco Catalyst soit avec le Catalyst OS (CatOS) ou IOS Cisco. Prérequis Ce document présume que vous avez un réseau existant capable d'établir la connecti- vité parmi les différents ports pour l'ajout à un PVLAN. Si vous avez plusieurs com- mutateurs, assurez-vous que le trunk entre les commutateurs fonctionne correcte- ment et permet les PVLANs sur le trunk. Tous les commutateurs et toutes les versions logicielles n'offrent pas le support pour les PVLANs. Référez-vous au document "Matrice de support des PVLANs sur commu- tateur Catalyst" pour déterminer si votre version logicielle et votre plateforme suppor- tent les PVLANs avant de commencer cette configuration. Note: Quelques commutateurs (comme cela est spécifié dans le document "Matrice de support des PVLANs sur commutateur Catalyst") supportent uniquement la fonction- nalité PVLAN Edge. Le terme "protected port" fait également référence à cette fonction- nalité. Les ports PVLAN Edge ont une restriction qui empêche les communications avec d'autres ports protégés sur le même commutateur. Les ports protégés sur des commutateurs séparés peuvent communiquer entre eux. Ne confondez pas cette fonc- tionnalité avec les configurations PVLAN normales qui sont montrées dans ce docu- ment. Pour plus d'informations sur les ports protégés, référez-vous à la section "Con- figuration de la sécurité de port" du document "Configuration du contrôle de trafic basé sur le port". Composants utilisés • Commutateur Catalyst 4003 avec module Supervisor Engine 2 qui opère avec CatOS version 6.3(5) • Commutateur Catalyst 4006 avec module Supervisor Engine 3 qui opère avec Cisco IOS Software Release 12.1(12c)EW1 ccnp-cch

4 Rappels Un PVLAN est un VLAN avec une configuration pour l'isolement couche 2 des autres ports dans le même domaine de broadcast ou de sous-réseau. Vous pouvez affecter un ensemble de ports spécifique dans le PVLAN et par conséquent contrôler l'accès entre ports à la couche 2. Vous pouvez configurer des VLANs classiques et des PVLANs sur le même commutateur. Il y a trois types de ports PVLAN: promiscuous, isolé et communauté.  Un port "promiscuous" communique avec tous les autres ports du PVLAN. Le port "promiscuous" est le port que vous utilisez de manière typique pour communiquer avec des routeurs externes, Local Director, des équipements d'administration de réseau, des serveurs de sauvegarde, stations d'administration et autres équipe ments. Sur quelques commutateurs, le port vers le module de routage (comme par exemple la carte MFSC- Multilayer Feature Switch Card) doit être un port promis cuous.  Un port "isolé" (isolated) a une séparation de couche complète avec les autres ports du même PVLAN. Cette séparation inclut les broadcasts et la seule exception est le port promiscuous. Une politique de remise privée à la couche 2 se traduit par le blocage du trafic sortant vers des ports isolés. Le trafic qui vient d'un port isolé est acheminé uniquement vers tous les ports promiscuous.  Les ports "communauté" peuvent communiquer avec chacun des autres ports et avec les ports promiscuous. Ces ports ont un isolement couche 2 avec tous les au- tres ports des autres commutateurs ou avec les ports isolés dans le PVLAN. La pro- pagation des broadcasts se fait uniquement entre ports de la même communauté et le port promiscuous. Note: ce document ne couvre pas la configuration des VLANs de communauté. Règles et limitations Cette section fournit quelques règles et limitations pour lesquelles vous devez avoir une attention particulière quand vous implémentez des PVLANs.  Les PVLANs ne peuvent pas inclure le VLAN 1 ou 1002 à  Vous devez fixer le mode VTP (VLAN Trunking Protocol) à transparent  Vous pouvez spécifier un seul VLAN isolé par VLAN primaire  Vous pouvez désigner un VLAN comme PVLAN si ce VLAN n'a pas de configuration courante de port d'accès. retirez tous les ports présents dans ce VLAN avant de faire de ce VLAN un PVLAN.  Ne pas configurer des ports PVLANs comme Etherchannels.  A cause de limitations matérielles, les modules de commutation FastEthernet du Catalyst 6500/6000 restreignent la configuration d'un port isolé ou de communauté VLAN quand un port dans le même CoiL (ASIC) est un de ceux-ci: Un trunk Une destination SPAN (Switch Port Analyzer) Un port PVLAN promiscuous ccnp-cch

5 Ce tableau indique l'intervalle de ports qui appartiennent au même ASIC sur les mo-
dules FastEthernet du Catalyst 6500/6000. Module Ports par ASIC WS−X6224−100FX−MT, WS−X6248−RJ−45, WS−X6248−TEL Ports 1−12, 13−24, 25−36, 37−48 WS−X6024−10FL−MT 13−24 WS−X6548−RJ−45, WS−X6548−RJ−21 Ports 1−48 La commande show pvlan capability (CatOS) indique également si vous pouvez faire d'un port un port PVLAN. Il n'y a pas de commande équivalente dans le logi- ciel IOS Cisco.  Si vous effacez un VLAN que vous utilisez dans la configuration PVLAN, les ports qui sont associés au VLAN deviennent inactifs.  Configurez des interfaces VLAN de couche 3 uniquement pour les VLANs primaire les interfaces VLAN pour les VLANs isolés ou de communauté sont inactifs pen dant que le VLAN a une configuration de VLAN isolé ou de communauté.  Vous pouvez étendre les PVLANs à travers les commutateurs par l'utilisation de trunks. Note: Vous devez entrer manuellement la même configuration PVLAN sur chaque commutateur car le VTP est en mode transparent et ne propage pas cette information. ccnp-cch

6 Configuration Dans cette section sont présentées les informations nécessaires pour la configuration des fonctionnalités décrites dans ce document. Schéma du réseau Internet Port promiscuous Gig3/26 4006 (IOS) /24 dot1q Etherchannel trunk 4003 (CatOS) Port host isolé 2/20 /24 /24 Vlan isolé 101 Dans ce scénario, les équipements dans le VLAN isolé (101) ont une restriction de communication à la couche 2 les uns avec les autres. Cependant ces équipements peuvent se connecter à Internet. De plus le port "Gig3/26" sur le Catalyst 4006 a la désignation promiscuous. Cette configuration optionnelle permet à un équipement connecté sur le port GigaEthernet 3/26 de se connecter avec tous les autres équipe- ments dans le VLAN isolé. Cette configuration permet également la sauvegarde des données de tous les équipements host du PVLAN vers une station d'administration. Les autres utilisations pour les ports promiscuous comprennent la connexion vers un routeur externe, Local Director, un équipement d'administration de réseau et d'autres équipements. ccnp-cch

7 ccnp-cch Configurer les VLANs Primaire et isolé
Exécutez ces étapes pour créer les VLANs primaire et secondaires et pour également lier les différents ports à ces VLANs. Ces étapes comprennent les exemples pour les logiciels CatOS et IOS Cisco. Entrez le jeu de commandes approprié pour votre OS Créer le VLAN primaire  CatOS Switch_CatOS> (enable) set vlan primary_vlan_id pvlan−type primary name primary_vlan !−−− Note: Cette commande doit être sur une seule ligne. VTP advertisements transmitting temporarily stopped, and will resume after the command finishes. Vlan 100 configuration successful  IOS Cisco Switch_IOS(config)#vlan primary_vlan_id Switch_IOS(config−vlan)#private−vlan primary Switch_IOS(config−vlan)#name primary−vlan Switch_IOS(config−vlan)#exit 2. Créer le VLAN isolé ou les VLANs  CatOS Switch_CatOS> (enable) set vlan secondary_vlan_id pvlan−type isolated name isolated_pvlan Vlan 101 configuration successful Switch_IOS(config)#vlan secondary_vlan_id Switch_IOS(config−vlan)#private−vlan isolated Switch_IOS(config−vlan)#name isolated_pvlan ccnp-cch

8 3. Lier les VLAN/VLANs isolés au VLAN primaire
3. Lier les VLAN/VLANs isolés au VLAN primaire  CatOS Switch_CatOS> (enable) set pvlan primary_vlan_id secondary_vlan_id Vlan 101 configuration successful Successfully set association between 100 and 101.  IOS Cisco Switch_IOS(config)#vlan primary_vlan_id Switch_IOS(config−vlan)#private−vlan association Switch_IOS(config−vlan)#exit 4. Vérifier la configuration VLAN privé  CatOS Switch_CatOS> (enable) show pvlan Primary Secondary Secondary−Type Ports −−−−−−− −−−−−−−−− −−−−−−−−−−−−−−−− −−−−−−−−−−−− isolated Switch_IOS#show vlan private−vlan Primary Secondary Type Ports −−−−−−− −−−−−−−−− −−−−−−−−−−−−−−−−− −−−−−−− Affecter des ports aux PVLANs Conseil: avant d'implémenter cette procédure, entrez la commande pvlan capability mod/port (pour CatOS) pour déterminer si un port peut devenir un port PVLAN. Note: Avant d'exécuter l'étape 1 de cette procédure, entrez la commande switchport en mode de configuration interface pour configurer le port comme une interface de couche 2 commutée. ccnp-cch

9 1. Configurer les ports host sur tous les commutateurs concernés
1. Configurer les ports host sur tous les commutateurs concernés  CatOS Switch_CatOS> (enable)set pvlan primary_vlan_id secondary_vlan_id mod/port !−−− Note: Cette commande doit être sur une seule ligne. Successfully set the following ports to Private Vlan 100,101: 2/20  IOS Cisco Switch_IOS(config)#interface gigabitEthernet mod/port Switch_IOS(config−if)#switchport private−vlan host primary_vlan_id secondary_vlan_id Switch_IOS(config−if)#switchport mode private−vlan host Switch_IOS(config−if)#exit 2. Configurer le port promiscuous sur un des commutateurs  CatOS Switch_CatOS> (enable) set pvlan mapping primary_vlan_id Successfully set mapping between 100 and 101 on 3/26 Note: Pour le Catalyst 6500/6000 quand le Supervisor Engine opère avec le CatOS comme logiciel système, le port MFSC sur le Supervisor Engine (15/1 ou 16/1) doit être promiscuous si vous désirez une commutation de couche 3 entre VLANs  IOS Cisco Switch_IOS(config)#interface interface_type mod/port Switch_IOS(config−if)#switchport private−vlan mapping primary_vlan_id secondary_vlan_id Switch_IOS(config−if)#switchport mode private−vlan promiscuous Switch_IOS(config−if)#end ccnp-cch

10 ccnp-cch Configuration de couche 3
Cette section optionnelle décrit les étapes de configuration pour permettre de router le trafic entrant des PVLANs. Si vous avez uniquement besoin de valider la connectivité de couche 2, vous pouvez passer cette phase Configurez l'interface VLAN de la même manière que lorsque vous la configurez pour un routage couche 3. Cette configuration comprend:  Configuration d'une adresse IP  Activation de l'interface avec la commande no shutdown  Vérification de l'existence des VLANs dans la base de données VLAN. 2. Mappez les VLANs secondaires que vous voulez router avec le VLAN primaire Switch_IOS(config)#interface vlan primary_vlan_id Switch_IOS(config−if)#private−vlan mapping secondary_vlan_list Switch_IOS(config−if)#end Note: Configurez les interfaces VLAN couche 3 uniquement pour les VLANs pri- maire. Les interfaces VLAN pour les VLANs isolés ou les VLANs de communauté sont inactives avec une configuration de VLAN isolé ou de communauté Entrez la commande show interfaces private-vlan mapping (IOS Cisco) ou show pvlan mapping (CatOS) pour vérifier le mapping Si vous avez besoin de modifier la liste de VLANs secondaires après la configura- tion du mapping, utilisez les mots-clés add ou remove Switch_IOS(config−if)#private−vlan mapping add secondary_vlan_list ou Switch_IOS(config−if)#private−vlan mapping remove secondary_vlan_list Pour plus d'informations, référez-vous à la section "Mapping Secondary VLANs to the Layer 3 VLAN Interface of a Primary VLAN" du document "Configuring Private VLANs" Note: Pour les commutateurs Catalyst 6500/6000 avec MFSC, assurez-vous que le port du Supervisor Engine vers le système de routage (par exemple port 15/ ou 16/1) est promiscuous cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1 Successfully set mapping between 100 and 101 on 15/1 ccnp-cch

11 Couche Accès (Catalyst 4003: CatOS)
Entrez la commande show pvlan mapping pour vérifier le mapping. cat6000> (enable) show pvlan mapping Port Primary Secondary −−−− −−−−−−− −−−−−−−−− 15/ Configurations Ce document utilise ces configurations:  Couche Accès (Catalyst 4003: CatOS)  Cœur de réseau (Catalyst 4006: IOS Cisco) Couche Accès (Catalyst 4003: CatOS) Access_Layer> (enable) show config Cette commande ne montre pas les configurations par défaut. Utilisez 'show config all' pour afficher toutes les configurations. !−−− Partie supprimée. #system set system name Access_Layer ! #frame distribution method set port channel all distribution mac both #vtp set vtp domain Cisco set vtp mode transparent set vlan 1 name default type ethernet mtu 1500 said state active set vlan 100 name primary_for_101 type ethernet pvlan−type primary mtu 1500 said state active !−−− C'est le VLAN primaire 100. !−−− Note: Cette commande doit être sur une seule ligne. set vlan 101 name isolated_under_100 type ethernet pvlan−type isolated mtu 1500 said state active !−−− C'est le VLAN isolé 101. set vlan 1002 name fddi−default type fddi mtu 1500 said state active ccnp-cch

12 ccnp-cch #module 1 : 0−port Switching Supervisor !
#module 2 : 24−port 10/100/1000 Ethernet set pvlan /20 !−−− Le port 2/20 est le port PVLAN host dans le VLAN primaire ! , isolé 101. set trunk 2/3 desirable dot1q 1−1005 set trunk 2/4 desirable dot1q 1−1005 set trunk 2/20 off dot1q 1−1005 !−−− Le trunking est automatiquement dévalidé sur les ports !--- host PVLAN. set spantree portfast 2/20 enable !−−− PortFast est automatiquement validé sur les ports host !--- PVLAN. set spantree portvlancost 2/1 cost 3 !−−− Partie supprimée. set spantree portvlancost 2/24 cost 3 set port channel 2/20 mode off !−−− Port channel est automatiquement dévalidé sur les ports !−−− host PVLAN. set port channel 2/3−4 mode desirable silent #module 3 : 34−port 10/100/1000 Ethernet end ccnp-cch

13 Cœur de réseau (Catalyst 4006: IOS Cisco)
Core#show running−config Building configuration... !−−− Partie supprimée. ! hostname Core vtp domain Cisco vtp mode transparent !−−− Le mode VTP est transparent, comme requis par les PVLANs. ip subnet−zero vlan 2−4,6,10−11,20−22,26,28 vlan 100 name primary_for_101 private−vlan primary private−vlan association 101 vlan 101 name isolated_under_100 private−vlan isolated interface Port−channel1 !−−− C'est le port channel pour l'interface GigabitEthernet3/1 !−−− et l'interface GigabitEthernet3/2. switchport switchport trunk encapsulation dot1q switchport mode dynamic desirable interface GigabitEthernet1/1 interface GigabitEthernet1/2 interface GigabitEthernet3/1 !−−− C'est le trunk pour le commutateur d'Accès. channel−group 1 mode desirable interface GigabitEthernet3/2 ccnp-cch

14 ccnp-cch ! interface GigabitEthernet3/3 interface GigabitEthernet3/26
switchport private−vlan mapping switchport mode private−vlan promiscuous !−−− Désigne le port comme promiscuous pour le PVLAN 101. !−−− Partie supprimée. interface Vlan25 !−−− C'est la connexion vers Internet. ip address interface Vlan100 !−−− C'est l'interface de Couche 3 pour le VLAN primaire. ip address private−vlan mapping 101 !−−− Mappe le VLAN 101 à l'interface VLAN du VLAN primaire(100). !−−− Le trafic entrant des équipements dans le VLAN isolé 101 !−−− passe par l'interface VLAN 100. PVLANs à travers plusieurs commutateurs Les VLANs privés peuvent être crées à travers plusieurs commutateurs avec deux mé- thodes:  Trunks classiques  Trunks VLANs Privés Trunks classiques Comme avec les VLANs classiques, les PVLANs peuvent recouvrir plusieurs commu- tateurs. Un port trunk transporte le vlan primaire et les VLANs secondaires vers un commutateur voisin. Le port trunk se comporte avec les VLANs privés comme tout autre VLAN. Une des caractéristiques des PVLANs à travers plusieurs commutateurs est que le trafic issu d'un port isolé d'un commutateur ne peut pas atteindre un au- tre port isolé d'un autre commutateur. Configurez les PVLANs sur tous les équipements intermédiaires y compris ceux qui n'ont pas de ports PVLAN pour maintenir la sécurité de votre configuration PVLAN et éviter une autre utilisation des VLANs configurés comme PVLANs. Les ports trunk transportent le trafic des VLANs classiques et celui des VLANs pri- maire, des ports isolés et des VLANs de communauté. ccnp-cch

15 Conseils: Cisco recommande l'utilisation de ports trunks standards si le deux com-
mutateurs qui ont le trunking supportent les PVLANs. VLAN 202 VLAN 201 VLAN 100 Switch A Ports trunk VLAN 100 Switch B VLAN 201 VLAN 202 Transporte le trafic de VLAN 100, 201 et 202 VLAN 100 = VLAN primaire VLAN 201 = VLAN secondaire isolé VLAN 202 = VLAN secondaire de communauté Comme VTP ne supporte pas les PVLANs, vous devez configurer les PVLANs manuel- lement sur tous les commutateurs du réseau couche 2. Si vous ne configurez pas les associations VLAN primaire et VLAN secondaire dans quelques commutateurs du ré- seau, les bases de données couche 2 ne fusionnent pas. Cette situation peut entrainer une diffusion générale non nécessaire du trafic PVLAN sur ces commutateurs. Trunks VLANs privés Un port trunk PVLAN peut transporter plusieurs VLANs secondaires et non-PVLANs. Les paquets sont reçus et transmis avec des marques de VLAN classique ou secon- daire sur des ports trunks PVLAN. Seule l'encapsulation 802.1Q est supportée. Les ports trunk isolés vous permettent de mélanger le trafic de tous les ports secondaires sur un trunk. Les ports trunk pro- miscuous vous permettent de mélanger les multiples ports promiscuous requis dans cette topologie en un seul port trunk qui transporte de multiples VLANs primaires. Référez-vous " Private VLAN Trunks" pour plus d'information. ccnp-cch

16 Vérification ccnp-cch
Référez-vous à "Configuring a Layer 2 Interface as a PVLAN Trunk Port" pour configu- rer une interface comme port trunk PVLAN. Référez-vous à "Configuring a Layer 2 Interface as a Promiscuous Trunk Port" pour configurer une interface comme port trunk promiscuous. Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement. CatOS  show pvlan - Affiche la configuration PVLAN. Vérifiez que les VLANs isolés et pri- maire sont associés les uns avec les autres. Vérifiez également que tout port host apparaît.  show pvlan mapping - Affiche le mapping PVLAN mapping avec la configuration sur les ports promiscuous. IOS Cisco  show vlan private−vlan - Affiche l'information PVLAN qui inclut les ports associés.  show interface mod/port switchport - Affiche l'information spécifique interface Vérifie que le mode opérationnel et les paramètres opérationnels des PVLANs sont corrects  show interfaces private−vlan mapping - Affiche le mapping PVLAN que vous avez configuré. Procédure de vérification Exécutez ces étapes: Vérifiez la configuration PVLAN sur les commutateurs. Vérifiez que l'association PVLANs primaire et secondaire est correcte. Vérifiez également l'inclusion des ports Access_Layer> (enable) show pvlan Primary Secondary Secondary−Type Ports −−−−−−− −−−−−−−−− −−−−−−−−−−−−−−−− −−−−−−−−−−−− isolated /20 Core#show vlan private−vlan Primary Secondary Type Ports −−−−−−− −−−−−−−−− −−−−−−−−−−−−−−−−− −−−−−−−−−−− isolated Gi3/26 ccnp-cch

17 ccnp-cch 2. Vérifiez la configuration du port promiscuous
Cette sortie indique que le mode opérationnel du port est "promiscuous" et que les VLANs opérationnels sont 100 et Core#show interface gigabitEthernet 3/26 switchport Name: Gi3/26 Switchport: Enabled Administrative Mode: private−Vlan promiscuous Operational Mode: private−vlan promiscuous Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative Private VLAN Host Association: none Administrative Private VLAN Promiscuous Mapping: 100 (primary_for_101) 101 (isolated_under_100) Private VLAN Trunk Native VLAN: none Administrative Private VLAN Trunk Encapsulation: dot1q Administrative Private VLAN Trunk Normal VLANs: none Administrative Private VLAN Trunk Private VLANs: none Operational Private VLANs: 100 (primary_for_101) 101 (isolated_under_100) Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2−1001 Capture Mode Disabled Capture VLANs Allowed: ALL 3. Initiez un paquet ICMP (Internet Control Message Protocol) ping à partir du port host vers le port promiscuous Gardez en mémoire que si les deux équipements sont dans le même VLAN primai- re, ils doivent être dans le même sous-réseau host_port#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet − 0008.a390.fc80 ARPA FastEthernet0/24 !−−− La table ARP(Address Resolution Protocol) sur le client indique !−−− qu'aucune adresse MAC autre que celle du client est connue. host_port#ping Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: .!!!! Success rate is 80 percent (4/5), round−trip min/avg/max = 1/2/4 ms !−−− Le ping est réussi. Le premier ping échoue car l'équipement tente !−−− de mapper via ARP pour l'adresses MAC de l'autre extrémité. ccnp-cch

18 host_port#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet − 0008.a390.fc80 ARPA FastEthernet0/24 Internet f.66f0 ARPA FastEthernet0/24 !−−− Il y a maintenant une entrée d'adresse MAC pour l'autre extrémité. 4. Initiez un ping ICMP entre ports host Dans cet exemple, host_port_2 ( ) tente de d'atteindre le host_port ( ). Ce ping échoue. Un ping à partir d'un autre port vers le port promis cuous fonctionne toujours host_port_2#ping Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: ..... Success rate is 0 percent (0/5) !−−− Le ping entre ports host échoue ce qui est normal. host_port_2#ping Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: !!!! Success rate is 100 percent (5/5), round−trip min/avg/max = 4/4/4 ms !−−− Le ping vers le port promiscuous réussit toujours. host_port_2#show arp Internet − c40 ARPA Vlan1 Internet f.66f0 ARPA Vlan1 !−−− La table ARP contient uniquement une entrée pour ce port et !−−− le port promiscuous. ccnp-cch

19 Résolution de problèmes
Résoudre les problèmes de PVLANs Cette section traite quelques problèmes communs qui se produisent avec les configu- rations PVLANs. Problème 1: Vous avez ce message d'erreur: %PM−SP−3−ERR_INCOMP_PORT: <mod/port> is set to inactive because <mod/port> is a trunk port. Explication: A cause des limitations matérielles, les modules Catalyst 6500/ /100 Mb/s restreignent la configuration d'un port VLAN isolé ou de communauté quand un port dans le même ASIC COIL est un trunk, une destination SPAN ou un port PVLAN promiscuous. (L'ASIC COIL contrôle 12 ports sur la majorité des modules et 48 ports sur le module Catalyst 6548). Le tableau de la section "Règles et limita- tions" de ce document donne un aperçu de la restriction de port sur les Catalyst /6000 modules 10/100 Mb/s. Procédure de résolution: S'il n'y a pas de support PVLAN sur ce port, prendre un port sur un autre ASIC du module ou sur un module différent. Pour réactiver les ports, retirez la configuration du port VLAN communauté ou isolé et entrez la com- mande shutdown puis la commande no shutdown. Note: Dans la Release 12.2(17a)SX et suivantes de l'IOS Cisco, la restriction 12 ports ne s'applique pas aux modules de commutation Ethernet WS-X6548RJ-45, WS-X6548-RJ-21 et WS-X FX_MM. Problème 2: Pendant la configuration PVLAN, vous recevez un de ces messages:  Cannot add a private vlan mapping to a port with another Private port in the same ASIC. Failed to set mapping between <vlan> and <vlan> on <mod/port>  Port with another Promiscuous port in the same ASIC cannot be made Private port. Failed to add ports to association Explication: A cause des limitations matérielles, les modules Catalyst 6500/ /100 Mb/s restreignent la configuration d'un port VLAN isolé ou de communauté quand un port dans le même ASIC COIL est un trunk, une destination SPAN ou un port PVLAN promiscuous. (L'ASIC COIL contrôle 12 ports sur la majorité des modu- les et 48 ports sur le module Catalyst 6548). Le tableau de la section "Règles et limi- tations" de ce document donne un aperçu de la restriction de port sur les Catalyst /6000 modules 10/100 Mb/s. ccnp-cch

20 Procédure de résolution: Entrez la commande show vlan capability (CatOS) laquelle indique si un port peut devenir un port PVLAN. S'il n'y a pas de support PVLAN sur ce port, prendre un port sur un autre ASIC du module ou sur un module différent. Note: Dans la Release 12.2(17a)SX et suivantes de l'IOS Cisco, la restriction 12 ports ne s'applique pas aux modules de commutation Ethernet WS-X6548RJ-45, WS-X6548-RJ-21 et WS-X FX_MM. Problème 3: Vous ne pouvez pas configurer les PVLANs sur certaines plateformes. Résolution: Vérifiez que la plateforme supporte les PVLANs. Référez-vous au docu- ment "Matrice de support des PVLANs sur Commutateur Catalyst" pour déterminer si votre plateforme et la version logicielle supporte les PVLANs avant de commencer cette configuration. Problème 4: Sur un MFSC du Catalyst 6500/6000, vous pouvez pas pinguer un équipement qui est connecté au port isolé d'un commutateur. Résolution: Sur le Supervisor Engine, vérifiez que le port vers le MFSC (15/1 ou 16/1) est un port promiscuous. cat6000> (enable) set pvlan mapping primary_vlan secondary_vlan 15/1 Successfully set mapping between 100 and 101 on 15/1 Configurez également l'interface VLAN sur le MFSC comme le spécifie la section "Con- figuration couche 3" de ce document. Problème 5: En entrant la commande no shutdown, vous ne pouvez pas activer l'interface VLAN pour les VLANs isolé ou de communauté. Résolution: A cause de la nature des PVLANs, vous ne pouvez pas activer l'interface VLAN pour les VLANs isolés ou de communauté. Vous pouvez activer uniquement l'interface qui appartient au VLAN primaire. Problème 6: Sur les équipements Catalyst 6500/6000 avec MFSC/MFSC2, les entrées ARP appri- ses sur des interfaces PVLAN couche 3 n'expirent jamais. Résolution: Les entrées ARP qui sont apprises sur des interfaces PVLAN couche 3 sont des entrées ARP figées et n'expirent jamais. La connexion d'un nouvel équipe- ment avec la même adresse IP génère un message et il n'y a pas de création d'entrée ARP. Par conséquent vous devez retirer manuellement les entrées ARP du port PVLAN si l'adresse MAC change. Pour ajouter ou retirer manuellement les entrées ARP de port PVLAN, entrez ces commandes: ccnp-cch

21 ccnp-cch Router(config)#no arp 11.1.3.30
IP ARP:Deleting Sticky ARP entry Router(config)#arp arpa IP ARP:Overwriting Sticky ARP entry , hw:00d0.bb09.266e by hw: Une autre option est d'entrer la commande no ip sticky−arp dans Cisco IOS Release 12.1(11b)E et suivants. ccnp-cch

Télécharger ppt "sur Commutateurs Catalyst"

Présentations similaires

Soutenance TP Réseau Sujet 10 Plateforme de commutation multi-niveaux Catalyst 8540 Gilles Bricier & Paul ChauchisFévrier 2006.

Soutenance TP Réseau Sujet 10 Plateforme de commutation multi-niveaux Catalyst 8540 Gilles Bricier & Paul ChauchisFévrier 2006.
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
Catalyst 500E - Réinitialisation avec les Paramètres usine

Catalyst 500E - Réinitialisation avec les Paramètres usine
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
TP - Configuration Etherchannel

TP - Configuration Etherchannel
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP

Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77
Configuration Frame Relay Hub-and-Spoke

Configuration Frame Relay "Hub-and-Spoke"
Plateformes supportées d'adresse MAC unique sur des interfaces VLAN

Plateformes supportées d'adresse MAC unique sur des interfaces VLAN

Présentations similaires

Annonces Google