我们有几台机器插入 Cisco Nexus 5000 上的各种端口。我们希望将交换机分成几组,这样少数几台机器可以互相看到和通信,而其他机器则无法看到和通信。因此,需要创建一个物理隔离的端口组。
我们(显然)没有可用的 VLAN ID,因为它们都被使用了(大型企业网络),所以我们不能将它们分离到 VLAN 或 PVLAN 中。
有没有办法只告诉交换机将流量物理隔离到给定的一组端口?
答案1
如果您希望这些设备与其他设备完全隔离,只需将它们全部添加到各自的单独交换机上即可。如果您明确不希望它们与任何其他设备通信,则没有必要将它们放在共享的公司交换机上。
编辑:
与您位于同一网段的其他服务器中,您还想避免哪些服务器?您只是不希望服务器能够路由出去吗?还是说同一 VLAN 网段上还有其他服务器无法与它们通信?
如果您真的想疯狂一下,您可以让 IT 在 Nexus 机箱上配置一个新的虚拟交换机,并将您的服务器端口分配给它。您可以使用任何您喜欢的 VLAN,它们不会与主上下文中的 VLAN 通信。当然,如果我是您的网络工程师,而您让我这样做,我会在下班后和大家一起开怀大笑。
您还可以进行其他黑客攻击。当然是 PVLAN,但您没有更多 VLAN。可以使用 VLAN 过滤器仅允许您的 IP 与您自己的 IP 通信。如果您愿意,只需在端口上使用普通的旧 ACL 就可以阻止 L3 流量。
我还怀疑交换机没有超出 VLAN,而您的网络人员只是想避免工作或向您解释为什么政策不允许这样做。但请相信它的价值——这只是猜测。
对此的正确答案是使用 VLAN——这几乎就是它们的设计目的。
答案2
不幸的是,Nexus 5K 不像 Nexus 7K 那样支持 VDC。因此,我同意划分网络的唯一方法(使用新交换机除外)是使用 VLAN 或 PVLAN。