https://opennet.ru/openforum/vsluhforumID6/20357.html Cat 6506.<br>s72033-adventerprisek9_wan-mz.122-33.SXI3<br><br>Воспользовался механизмом "private hosts" для изоляции портов. Все работает как надо.<br>Но после применения директив:<br><br>access-group mode prefer port<br>private-hosts mode isolated<br><br><br>На транковом порту, перестал работать "ip policy route-map" описаный в вилане, который проходит в этот порт.<br><br>private-hosts vlan-list 200-207<br>private-hosts promiscuous PPPoE_Interfaces vlan-list 200-207<br>private-hosts mac-list PPPoE_Interfaces 0025.B3A6.9918 remark PPPoE6_Gi1-27<br>private-hosts<br><br>interface GigabitEthernet1/30<br>description PPPoE5<br>switchport<br>switchport trunk encapsulation dot1q<br>switchport trunk allowed vlan 200-207<br>switchport mode trunk<br>access-group mode prefer port<br>private-hosts mode promiscuous<br><br>interface GigabitEthernet3/6<br>description rev40<br>switchport<br>switchport trunk encapsulation dot1q<br>switchport trunk allowed vlan 10,14,200<br>switchport mode trunk<br>access-group mode prefer port<br>private-hosts mode isolated<br><br>interface Vlan10<br>description https://opennet.ru/openforum/vsluhforumID6/20357.html#3 Fri, 17 Apr 2015 05:14:38 GMT &gt;[оверквотинг удален]<br>&gt; no ip unreachables <br>&gt; ip policy route-map NAT-access <br>&gt; После применения "private-hosts mode isolated" на "interface GigabitEthernet3/6" <br>&gt; перестает срабатывать "ip policy route-map NAT-access" на "interface Vlan10" <br>&gt; Подозреваю, что дело в режиме "access-group mode prefer port". Но толком незнаю <br>&gt; как он влияет.<br>&gt; Фильтры, которые накладывает "private hosts" по сути не должны касаться влана 10. <br>&gt; так как (private-hosts vlan-list 200-207) <br>&gt; Но факт на лицо. Роут-мап работать перестает. :-( <br>&gt; Можете прояснить ? И чем это вылечить ?<br><br>Сталкивался с похожей проблемой. При навешивании на порт PACL на С6500 он требует перевести порт в режим "access-group mode prefer port". Что приводит к особенной обработке всех последующих в системе ACL. Перестают работать такие вещи как "route-map", "dhcp snooping opt.82", любые ACL для входящих пакетов после обработки на PACL и до попадания на RP.<br>Данное ограничение видимо связанно с железной реализацией на 65-й, потому как на софтовых https://opennet.ru/openforum/vsluhforumID6/20357.html#2 Tue, 19 Jan 2010 19:24:21 GMT Честно говоря, для меня это "китайская грамота"...<br><br><br>FM_FEATURE_PVT_HOST_INGRESS i/f: Gi3/6 mode: PVT_HOST_ISOLATED<br>===========================================================================<br><br>---------------------------------------------------------------<br>MAC Seq. No: 10 Seq. Result : PVT_HOSTS_ACTION_DENY<br>---------------------------------------------------------------<br>Indx - VMR index T - V(Value)M(Mask)R(Result)<br>EtTy - Ethernet Type EtCo - Ethernet Code<br>+----+-+--------------+--------------+----+----+<br>&#124;Indx&#124;T&#124; Dest Node &#124; Source Node &#124;EtTy&#124;EtCo&#124;<br>+----+-+--------------+--------------+----+----+<br><br> 1 V 0000.0000.0000 0025.b3a6.9918 0 0<br> M 0000.0000.0000 ffff.ffff.ffff 0 0<br> TM_PERMIT_RESULT<br><br> 2 V 0000.0000.0000 0023.7da1.3120 0 0<br> M 0000.0000.0000 ffff.ffff.ffff 0 0<br> TM_PERMIT_RESULT<br><br> 3 V 0000.0000.0000 001f.2969.f980 0 0<br> M 0000.0000.0000 ffff.ffff.ffff 0 0<br> T https://opennet.ru/openforum/vsluhforumID6/20357.html#1 Tue, 19 Jan 2010 15:43:44 GMT А что скажет show fm private-hosts interface GigabitEthernet 3/6?<br>