隔离Cisco Nexus 5000上的以太网端口

Question

我们有几台机器插在思科Nexus 5000上的各种端口上。我们想把这个开关分成几个组，这样少数机器就可以互相看到和交谈，而不是其他人。因此，要创建一个物理隔离的端口组。

我们(显然)没有可用的VLAN ID，因为它们都是使用的(大型企业网络)，所以我们不能仅仅将它们分成VLAN或PVLAN。

有没有一种方法只告诉交换机将通信量物理隔离到给定的一组端口？

Answer 1

如果您想让这些设备与其他设备完全隔离，只需将它们全部添加到它们自己的单独交换机上，并结束一天。如果你特别不希望他们能够和其他人交谈，那么在共享公司的开关上是没有意义的。

编辑：

在您想要避免的同一段中，还有什么是其他的？你只是不希望服务器能够路由出去吗？或者，在同一VLAN段中是否还有其他服务器无法与其对话？

如果你真的想发疯，你可以让it在Nexus底盘上提供一个新的虚拟开关，并将服务器端口分配给它。您可以使用任何您喜欢的VLAN，它们不会与主上下文中的VLAN进行通信。当然，如果我是你的网络工程师，而你让我这么做的话，我会在下班后和其他人一起笑一笑。

还有其他你可以做的黑客。当然，PVLAN，但您没有更多的VLAN。VLAN过滤器只允许您的IP与您自己的IP对话。如果您愿意的话，端口上的普通老ACL也可以阻止L3通信。

我还怀疑这个交换机没有脱离VLAN，而您的网络管理员只是想避免工作，或者必须向您解释为什么策略不允许使用VLAN。但把它当作它的价值--一个猜测。

正确的答案是使用VLANs -这正是它们设计的目的。

Answer 2

不幸的是，Nexus5K不像Nexus7K那样支持VDC。因此，我同意区分网络的唯一方法(除了使用新的交换机)是使用VLAN或PVLAN。