Cisco 4500 и сегментация vlan

[andryas 1 059]

В свете отсутствия на платформе PVLAN edge, для изоляции портов приходится использовать private-vlan.

private-vlan host работает прекрасно, но возникли проблемы с пониманием работы private-vlan trunk secondary

 

Конфиг

 

vlan 113

  private-vlan primary

  private-vlan association 2113

!

vlan 2113

  private-vlan isolated

!

interface Vlan113

 ip address 192.168.2.1 255.255.255.0

 ip local-proxy-arp

 private-vlan mapping 2113

!

interface GigabitEthernet1/1

 switchport private-vlan host-association 113 2113

 switchport mode private-vlan host

!

interface GigabitEthernet1/2

 switchport private-vlan host-association 113 2113

 switchport mode private-vlan host

!

interface GigabitEthernet1/3

 switchport private-vlan trunk allowed vlan 113

 switchport private-vlan mapping trunk 113 2113

 switchport mode private-vlan trunk promiscuous

!

interface GigabitEthernet1/4

 switchport private-vlan trunk native vlan 1

 switchport private-vlan trunk allowed vlan 1,113

 switchport private-vlan association trunk 113 2113

 switchport mode private-vlan trunk secondary

!

interface GigabitEthernet1/5

 switchport private-vlan trunk native vlan 1

 switchport private-vlan trunk allowed vlan 1,2113

 switchport private-vlan association trunk 113 2113

 switchport mode private-vlan trunk secondary

 

Нетегированные порты (1/1 и 1/2) работают как и требуется, то есть не видят друг друга напрямую (а только через proxyarp), и видят SVI vlan113 (192.168.2.1)

Порт 1/3 работает в тегированном режиме, поскольку он promiscuous, то из него видно напрямую как SVI так и устройства, подключённые к портам 1/1 и 1/2

А вот с портов 1/4 и 1/5 - SWI (192.168.2.1) не видно. Хотелось, чтобы они работали так, как и 1-2, но с тегированным трафиком, т.е чтобы видели друг друга исключительно через proxyarp.

Вопрос, собственно в том, ЧЯНД и КЭЗП?