У нас есть несколько машин, подключенных к различным портам на Cisco Nexus 5000. Мы хотим разделить коммутатор на группы, чтобы несколько машин могли видеть и разговаривать друг с другом и ни с кем другим. Итак, чтобы создать физически изолированную группу портов.
У нас (по-видимому) нет доступных идентификаторов VLAN, поскольку все они используются (большая корпоративная сеть), поэтому мы не можем просто разделить их на VLAN или PVLAN.
Есть ли способ просто указать коммутатору физически изолировать трафик только до определенной группы портов?
Если вы хотите, чтобы эти устройства были полностью изолированы от всего остального, просто добавьте их все на отдельный коммутатор и закончите. Нет смысла переключаться на общий переключатель компании, если вы специально не хотите, чтобы они могли разговаривать с кем-либо еще.
Редактировать:
Чего еще вы хотите избежать в том же сегменте, что и вы? Вы просто не хотите, чтобы серверы могли отключаться? Или есть другие серверы в том же сегменте VLAN, с которыми они не могут разговаривать?
Если вы действительно хотите сходить с ума, вы можете поручить ИТ-отделу создать новый виртуальный коммутатор на шасси Nexus, которому назначены порты вашего сервера. Вы можете использовать любые VLAN, которые вам нравятся, и они не будут связываться с теми, которые находятся в основном контексте. Конечно, если бы я был вашим сетевым инженером, и вы попросили бы меня сделать это, я бы посмеялся над этим с парнями после работы.
Есть и другие способы взлома. Конечно, PVLAN, но у вас больше нет VLAN. Фильтры VLAN могут использоваться только для того, чтобы ваши IP-адреса могли общаться с вашими собственными IP-адресами. Если вы захотите, просто старые списки ACL на портах могут остановить трафик L3.
У меня также есть подозрение, что коммутатор находится не за пределами VLAN, и ваш специалист по сети просто хочет избежать работы или объяснять вам, почему политика этого не позволяет. Но примите это за то, что стоит - предположение.
Правильный ответ - использовать VLAN - в значительной степени именно для этого они предназначены.
К сожалению, Nexus 5K не поддерживает VDC, как Nexus 7K. Поэтому я согласен, что единственный способ разделить сеть (за исключением использования нового коммутатора) - это использовать VLAN или PVLAN.