Limitação de portas

Prezados,

Eu não possuo conhecimento algum de Cisco. Precisava de ajuda para aplicar o recurso de limitação de acesso à portas.

Normalmente se faria isto com VLANs, mas da forma como o gerente aplicou o seguimento de rede. Precisaremos fazer a limitação por portas.

Esta limitação consiste em colocar as 4 primeiras portas sem comunicação entre elas e as demais se comunicando.

A porta 1 pinga para a porta 20, mas a 20 não pinga para a 1.

Tentei isto abaixo, mas não obtive sucesso.

switch2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
switch2(config)#interface range fastEthernet 0/9 - 16
switch2(config-if-range)#switchport protected
switch2(config-if-range)#end


switch2#show run | begin interface FastEthernet0/9
interface FastEthernet0/9
switchport protected
no ip address
spanning-tree portfast
!
interface FastEthernet0/10
switchport protected
no ip address
spanning-tree portfast
!
interface FastEthernet0/11
switchport protected
no ip address
spanning-tree portfast
!
interface FastEthernet0/12
switchport protected
no ip address
spanning-tree portfast
!
interface FastEthernet0/13
switchport protected
no ip address
spanning-tree portfast
!
interface FastEthernet0/14
switchport protected
no ip address
spanning-tree portfast
!
interface FastEthernet0/15
switchport protected
no ip address
spanning-tree portfast
!
interface FastEthernet0/16
switchport protected
no ip address
spanning-tree portfast
!

Coloca cada uma em uma vlan diferente:

interface FastEthernet0/1
sw mode access
sw acce vlan 10

interface FastEthernet0/2
sw mode access
sw acce vlan 20

interface FastEthernet0/3
sw mode access
sw acce vlan 30

interface FastEthernet0/4
sw mode access
sw acce vlan 40

Att.
Jr,

juniou escreveu:

Coloca cada uma em uma vlan diferente:

interface FastEthernet0/1
sw mode access
sw acce vlan 10

interface FastEthernet0/2
sw mode access
sw acce vlan 20

interface FastEthernet0/3
sw mode access
sw acce vlan 30

interface FastEthernet0/4
sw mode access
sw acce vlan 40

Att.
Jr,

Juniou!

Obrigado!
Mas, desta forma terei que ter subredes diferentes para cada VLAN. Correto????

exato. o que eu recomendei de certa forma não faz muito sentido.=]
Contudo só quis exemplificar como isolar as portas conforme a descrição da dúvida. É claro que deve ser feita uma adequação da configuração para o ambiente onde será aplicada. Enfim, são muitas variáveis, e o escopo da pergunta está um pouco aberto sem maiores detalhes.

Abs,
Jr,

- VACL (em conjunto com Private vlan ou em bridge para multiplas vlans)
- MAC ACL

Sobre o switchport protected, funciona parecido com o conceito de interface isolated do private vlan.

Basicamente, portas configuradas como protected não conseguem visualizar outras portas que também estejam configuradas como protected, porém conseguem se comunicar com as outras configuradas como NÃO protected e com outros switches.

Pelo que entendi, este não seria seu caso.

Se seu caso é impedir apenas a comunicação entre as portas 1 a 4, mas permitindo que outras comuniquem com as mesmas, configure switchport protected nas interfaces de 1 a 4.

Porém, ainda existirá comunicação entre a porta 1 e 20. aí, você poderia utilizar uma ACL baseada em MAC na interface (lembrando que MAC ACL trabalha apenas com inbound).

Por isso, talvez compense você trabalhar com múltiplas vlans em modo bridge ou trabalhar com private vlan, com assistência de VACL / MACL.