我有一个 sw 关系
我有一个带有 vlan 50 的路由器 BGN 将切换然后模式访问客户端 1 和客户端 2
BNG ==== SW1 == PORT1 =Client 1 (Mode access vlan 50)
PORT2 =Client 2 (Mode access vlan 50
)
已通过 pppoe 连接到 BNG,一切正常
但问题是
当客户端 1 尝试连接到 BNG 时,发送一个 PADI 数据包,它是一个广播,所以这个数据包将发送到客户端 2 和 BNG 路由器
我需要在端口 1(出站)中应用一些过滤器,所以只需过滤任何 PADI 数据包以发送到客户端
所以端口 1 和 2 他们只能发送 PADI 消息,而不能从另一个客户端接收它。
您正在寻找的通常称为“端口隔离”。在 NX-OS 上,这是通过私有 vlan 完成的。是的,乍一看,PVLAN 配置可能会令人困惑,但思科有许多记录在案的示例。这是一份这样的文件。(旧的,忽略它适用于 7000 和 v5_x)
vlan 3
private-vlan isolated
vlan 2
private-vlan primary
private-vlan association 3
! ROUTER PORT
interface ethernet 1/1
switchport
switchport mode private-vlan promiscuous
! CLIENT1
interface ethernet 1/2
switchport
switchport mode private-vlan host
switchport private-vlan host-association 2 3
! CLIENT2
interface ethernet 1/3
switchport
switchport mode private-vlan host
switchport private-vlan host-association 2 3
! Layer-3 interface (optional?)
interface vlan 2
private-vlan mapping 3
您只需要一个主 vlan 和隔离 vlan。主vlan将流量向下游传送到隔离的客户端端口。隔离vlan 从隔离端口向上游传输流量。这应该可以防止客户端之间的流量。但是,来自路由器 (e1/1) 的广播流量仍将发送到所有客户端。
MAC 过滤也可以工作,但需要始终了解所有设备的 MAC。设备的任何更改都需要更新过滤器。