Назад | Перейти на главную страницу

Фильтрация широковещательной рассылки уровня 2 в VLAN? (Порты доступа на Cisco SG-500-52MP)

Я впервые настраиваю VLAN на Cisco, поэтому я, вероятно, сделал несколько ошибок - был бы признателен за некоторые предложения. Заранее спасибо.

...

Насколько я понимаю коммутаторы, когда получен широковещательный пакет уровня 2, коммутатор должен отправить его на все другие порты в пределах широковещательного домена, кроме исходного порта.

Без VLAN в широковещательном домене должны быть все физические порты. Если эти порты подключены к коммутаторам, то эти коммутаторы, в свою очередь, будут реплицировать его и на все другие порты.

В настройке VLAN широковещательный домен - это все физические порты, которые «настроены» для использования этой VLAN.
Примечание. Технически «интерфейсы» .. и «помеченные» являются правильной терминологией, но я стараюсь не использовать слова, которые могут означать разные вещи у разных поставщиков.

Итак, если я правильно понимаю, то, похоже, что-то препятствует отправке широковещательного трафика на все другие порты. Я использовал анализатор пакетов на маршрутизаторе, чтобы определить это. На конкретном интерфейсе нет полученных пакетов с MAC-адресом назначения ff: ff: ff: ff: ff: ff: ff: ff.

Моя физическая установка такова:

Коммутатор Cisco SG500-52MP. Для VLAN №14 настроено три порта. На языке Cisco они настроены как «Порты доступа». Насколько я понимаю, это означает, что весь входящий трафик помечен для VLAN 14. Весь исходящий трафик не помечен. Когда я говорю «с тегами», я имею в виду, что идентификатор VLAN добавляется к пакету, а без тегов означает, что он удален.

Из этих трех портов один подключается к ПК, один к контроллеру и один к маршрутизатору Mikrotik. Интерфейс на маршрутизаторе вообще не имеет конфигурации VLAN - порты не соединены мостом - он функционирует как настоящий маршрутизатор.

На коммутаторе Cisco, когда я "показать влан"он показывает мне:

`Vlan Tagged Ports UnTagged Ports ---- ------------ -------------- 1 gi1 / 23-24, gi1 / 31-47, gi1 / 49-52, po1-32 10 14 gi1 / 25-30 32 gi1 / 49 gi1 / 1-22, gi1 / 48 200 gi1 / 50

Интерфейсы 27-29 имеют одинаковую конфигурацию порта коммутатора.
показать интерфейсы switchport ge1 / 1/27

Added by: D-Default, S-Static, G-GVRP, R-Radius Assigned VLAN, T-Guest VLAN, V-Voice VLAN
Port : gi1/27
Port Mode: Access 
Gvrp Status: disabled
Ingress Filtering: true
Acceptable Frame Type: admitAll
Ingress UnTagged VLAN ( NATIVE ): 14

Port is member in: 

Vlan               Name               Egress rule     Added by     
---- -------------------------------- ----------- ---------------- 
 14                BMS                 Untagged          S         


Forbidden VLANS: 
Vlan               Name               
---- -------------------------------- 


Classification rules: 

Protocol based VLANs:                                 
  Group ID   Vlan ID 
------------ ------- 


Mac based VLANs: 
  Group ID   Vlan ID 
------------ -------

Я заметил, что там написано "Ingress Filtering: true". Я понимаю, что не следует фильтровать пакеты без идентификатора VLAN (VLan # 1 на языке Cisco), поскольку это порт доступа.

показать run int ge1 / 1/29

interface gigabitethernet1/29
 switchport mode access
 switchport access vlan 14
!

Также - версия ... показать версию

SW version    1.4.11.2 ( date  26-Sep-2019 time  20:01:21 )
Boot version    1.3.5.06 ( date  21-Jul-2013 time  15:12:21 )
HW version    V03

Когда я использую средство сниффера пакетов маршрутизатора на определенном порту для этой VLAN, я могу видеть только многоадресные пакеты между коммутатором и маршрутизатором ... и один одиночный пакет обнаружения от маршрутизатора. Это очень ясно показывает, что пакеты с идентификатором VLAN не принимаются - чего я и ожидал.

Когда я выполняю обнюхивание пакетов при попытке проверить связь со статическим IP-адресом хоста контроллера, я вижу, что запросы ARP оставляют маршрутизатор правильно, но ничего не получают.

Ранее я взял еще один маленький Mikrotik, подключил его к одному из трех портов Cisco и произвел захват пакетов на принимающей стороне. Пакеты ARP не прошли.

Это говорит мне, что Cisco фильтрует их ... но почему? Я должен добавить, что когда я настроил эти переключатели, я выполнил полный сброс настроек, а затем скопировал / вставил сохраненные мной команды конфигурации. Это мой способ исключить какие-либо опечатки или случайно указать неправильный интерфейс. Я знаю, что у этих коммутаторов для малого бизнеса есть некоторые нюансы по сравнению с катализаторами - и что-то мне подсказывает, что меня укусил один из них.