Добрый день!

Есть два свитча 3526, соединённых между собой через 24 порты. В свитч 1 включены 2 рабочие станции, в 4 и 7 порты. В свитч 2, в порт 4 включен сервер, к которому должны иметь доступ компы с 4 и 7 порта свитча 1. При этом порты 4 и 7 не должны иметь доступ друг к другу. Так как Traffic Segmentation работает только в пределах одного свитча, пробую делать с помошью асимметричных вланов. В FAQ написано, что асимметнричные вланы работают тоже только в пределах одного свитча, но почитав форум заметил сообщение



И попытался сделать следующее:

свитч 1

enable asymmetric_vlan
config vlan default delete 4,7
create vlan v2 tag 2
config vlan v2 add untagged 4
config vlan v2 add tagged 24
create vlan v3 tag 3
config vlan v3 add untagged 7
config vlan v3 add tagged 24

свитч 2

enable asymmetric_vlan
config vlan default delete 4
create vlan v2 tag 2
config vlan v2 add untagged 4
config vlan v2 add tagged 24
create vlan v3 tag 3
config vlan v3 add untagged 4
config vlan v3 add tagged 24

На свитче 2 в таблицу Unicast Forwarding Table занёс MAC-адрес сервера с привязкой к 4 порту во всех VLAN.
В итоге сервер и рабочие станции друг друга не видят.

Что я забыл сделать или сделал не так?

А еще какие-либо станции должны иметь доступ к серверу?
Можно собрать эти станции в отдельный vlan и навесить сверху traffic segmentation - в пределах коммутатора порты 4 и 7 пересекаться не будут, но будут иметь доступ к аплинку, на котором висит сервер.

Да, есть много других станций, которые должны видеть только друг друга в своём влане и также видеть сервер. Причём эти станции находятся на разных коммутаторах. Я просто привёл пример с двумя станциями, чтобы было проще понять. На свитчах стоят следующие версии прошивок:

Boot PROM Version : Build 3.00.008
Firmware Version : Build 4.01-B19

Читаем тут
Пример: Сегментация трафика с двухуровневой иерархией

Пример применим когда каждая из групп находится в пределах одного коммутатора, а у меня группа рабочих станций находится на разных коммутаторах. Я не описал это в начале задачи. Допустим на свитче 1 порты 4,5 и на свитче 2 порты 7,8 являются одной группой, которые должны видеть только себя и сервер на порту 4 свитча 2. А порты 6,7 на свитче 1 и порты 9,10 на свитче 2 тоже составляют одну группу, которые могут общаться только между собой и видеть сервер на порту 4 свитча 2.

Asymmetric VLAN тут не поможет, так как информация о группе никак не передается в самом пакетике (в Asymmetric VLAN нет роли Tag).

Значит и предлагаемый вариант решения



тоже не помогает?

А вообще можно ли решить данную задачу на свитчах 3526 ?

Так, как вы ее описали - нельзя.
Я бы взял L2+ свич, разбил на подсети и закрылся в нужных местах acl