The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"настройка вланов на циске и каталисте"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"настройка вланов на циске и каталисте"  
Сообщение от fox81 (ok) on 12-Сен-06, 10:38 
Здравствуйте.
может быть поможете разобраться с настройкой вланов?
читаю форум opennet но ответа пока не нашел
задачка то тривиальная
надо разделить сеть на 16 вланов в которых пользователи будут использовать общие ресурсы серверов (контроллер домена  и т.п.) и не смогут получить доступ до соседних вланов.
Сначала один умелец сказал что надо использовать multiport. Но на форуме высказано общее мнение что это прошлый век и что для этого придумали trunk
на циске 2821 настроил субинтерфейсы с маркировкой вланов
вот что получилось
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/0.7
encapsulation dot1Q 7
ip address 10.131.10.1 255.255.255.0
!
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 10.131.0.6 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0.101
encapsulation dot1Q 101
ip address 10.131.101.1 255.255.255.0
ip nat inside
ip virtual-reassembly

с интерфейса 0/0 кинул патчкорд на каталист 3750 в интерф 1/0/1
!
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport mode trunk

как дальше настроить остальные порты каталиста на которых будут сидеть серверы, юзеры, и три каталиста 2950 чтобы 16 групп пользователей были в своих вланах и видели сервер  но не видели друг друга, а также выходили в инет через циску

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "настройка вланов на циске и каталисте"  
Сообщение от weris email(ok) on 12-Сен-06, 10:45 
на циске 5350:

!
interface FastEthernet0/1
description *** ethernet ***
no ip address
ip flow ingress
ip route-cache flow
no cdp enable
!
interface FastEthernet0/1.2
description *** OFFICE VLAN ***
encapsulation dot1Q 2
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip flow ingress
pppoe enable
no cdp enable
!

каталист:

!
interface FastEthernet0/1
description *** Cisco 5350 FastEthernet 0/1 port ***
switchport mode trunk
duplex full
no cdp enable
spanning-tree portfast trunk
!
interface FastEthernet0/2
description *** Office NET ***
switchport access vlan 2
switchport mode access
switchport nonegotiate
duplex full
no cdp enable
!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "настройка вланов на циске и каталисте"  
Сообщение от fox81 (ok) on 12-Сен-06, 10:54 
>на циске 5350:
>
>!
>interface FastEthernet0/1
> description *** ethernet ***
> no ip address
> ip flow ingress
> ip route-cache flow
> no cdp enable
>!
>interface FastEthernet0/1.2
> description *** OFFICE VLAN ***
> encapsulation dot1Q 2
> ip address 192.168.1.1 255.255.255.0
> ip nat inside
> ip flow ingress
> pppoe enable
> no cdp enable
>!
>
>каталист:
>
>!
>interface FastEthernet0/1
> description *** Cisco 5350 FastEthernet 0/1 port ***
> switchport mode trunk
> duplex full
> no cdp enable
> spanning-tree portfast trunk
>!
>interface FastEthernet0/2
> description *** Office NET ***
> switchport access vlan 2
> switchport mode access
> switchport nonegotiate
> duplex full
> no cdp enable
>!


а как быть если на один из портов нужно повесить каталист 2950 на котором тоже будут несколько вланов. как я понял interface FastEthernet0/2 передает только vlan 2. а как настроить чтобы порт передавал несколько вланов на подчиненный каталист
и чтобы потом на порту (например) 15 висел контроллер домена и видел все вланы которые есть и на 3750 и на 2950

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "настройка вланов на циске и каталисте"  
Сообщение от MaxX on 15-Сен-06, 08:27 

>а как быть если на один из портов нужно повесить каталист 2950
>на котором тоже будут несколько вланов. как я понял interface FastEthernet0/2
>передает только vlan 2. а как настроить чтобы порт передавал несколько
>вланов на подчиненный каталист
>и чтобы потом на порту (например) 15 висел контроллер домена и видел
>все вланы которые есть и на 3750 и на 2950


Есть один способ не знаю уж насколько он правильный (меня пока что устраивает).

Циски между собой транками соединить, нарезать Вланы.
общий сервер подключить к циски тоже транком в сетивуху поддержывающую 802.1q (я использую Intel).
На сервера с помощью интеловской Утилитки создаём теже VLANы назначаем Адреса
И в результаре получаем количество интерфейсов на сервере = кол.ву VLANов
Соответственно Любой пользователь из своего VLANа увидить сервер и соседей по VLANу
А все что в не его VLANa останется для него не доступным


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "настройка вланов на циске и каталисте"  
Сообщение от punks email on 12-Сен-06, 10:55 

>
>как дальше настроить остальные порты каталиста на которых будут сидеть серверы, юзеры,
>и три каталиста 2950 чтобы 16 групп пользователей были в своих
>вланах и видели сервер  но не видели друг друга, а
>также выходили в инет через циску

на каталисте например для GigabitEthernet0/0.7
!
interface (куда воткнуто)
  switchport access vlan 7
  switchport mode access
  no ip address

а с доступами к вланам возможно посмотреть в сторону access-list

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "настройка вланов на циске и каталисте"  
Сообщение от fox81 email(??) on 18-Сен-06, 11:21 

interface GigabitEthernet1/0/16
switchport access vlan 101
switchport trunk native vlan 101
switchport mode access
switchport nonegotiate
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
switchport access vlan 100
switchport trunk native vlan 100
switchport mode access
switchport nonegotiate

с таким конфигом каталисты пользователь из влана 100 пингует пользователя из влана 101
как от такого неприятного момента избавиться? конечно можно аксеслистом закрыть весь доступ кроме своего влана но в таком случае аксеслисты получаются большие и проц у основной киски очень сильно напрягается
если по умолчанию каждый пользователь может видеть только свой влан подскажите что надо исправить, все более уважаемые гуру.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "настройка вланов на циске и каталисте"  
Сообщение от Изгой email(??) on 18-Сен-06, 11:52 
>
>interface GigabitEthernet1/0/16
> switchport access vlan 101
> switchport trunk native vlan 101
> switchport mode access
> switchport nonegotiate
>!
>interface GigabitEthernet1/0/17
>!
>interface GigabitEthernet1/0/18
> switchport access vlan 100
> switchport trunk native vlan 100
> switchport mode access
> switchport nonegotiate
>
>с таким конфигом каталисты пользователь из влана 100 пингует пользователя из влана
>101
>как от такого неприятного момента избавиться? конечно можно аксеслистом закрыть весь доступ
>кроме своего влана но в таком случае аксеслисты получаются большие и
>проц у основной киски очень сильно напрягается
>если по умолчанию каждый пользователь может видеть только свой влан подскажите что
>надо исправить, все более уважаемые гуру.

Да интерестная тема ,  топологию можно поподробнее что к чему подсоединено , интерестно покопаться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "настройка вланов на циске и каталисте"  
Сообщение от fox81 email(??) on 18-Сен-06, 13:20 
маршрутизатор циска 2811
на инт 0/0 подняты субинтерейсы от 0 до 16
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 10.131.0.6 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache same-interface
!
interface GigabitEthernet0/0.101
encapsulation dot1Q 101
ip address 10.131.101.1 255.255.255.0
ip nat inside
ip virtual-reassembly

все это дело идет на каталист 3750 на инт 1/0/1
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate


далее это расходится по портам либо по следующим каталистам 2950
interface GigabitEthernet1/0/5
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 7,100-102
switchport mode trunk
switchport nonegotiate

и

interface GigabitEthernet1/0/16
switchport access vlan 101
switchport trunk native vlan 101
switchport mode access
switchport nonegotiate
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
switchport access vlan 100
switchport trunk native vlan 100
switchport mode access
switchport nonegotiate

компы включенные в 16 и в 18 порт легко пингуют друг друга
запретить доступ могу например аксесслистом на интерфейсе киски 0/0.100 и 0/0.101
что нелогично
как должны быть настроены порты 16 и 18 чтобы 16 был в влане 101 а 18 в влане 100
и компы на них не пинговали друг друга?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "настройка вланов на циске и каталисте"  
Сообщение от Изгой email(??) on 18-Сен-06, 15:24 
>маршрутизатор циска 2811
>на инт 0/0 подняты субинтерейсы от 0 до 16
>interface GigabitEthernet0/0.100
> encapsulation dot1Q 100
> ip address 10.131.0.6 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> no ip route-cache same-interface
>!
>interface GigabitEthernet0/0.101
> encapsulation dot1Q 101
> ip address 10.131.101.1 255.255.255.0
> ip nat inside
> ip virtual-reassembly
>
>все это дело идет на каталист 3750 на инт 1/0/1
>interface GigabitEthernet1/0/1
> switchport trunk encapsulation dot1q
> switchport mode trunk
> switchport nonegotiate
>
>
>далее это расходится по портам либо по следующим каталистам 2950
>interface GigabitEthernet1/0/5
> switchport trunk encapsulation dot1q
> switchport trunk allowed vlan 7,100-102
> switchport mode trunk
> switchport nonegotiate
>

>
>interface GigabitEthernet1/0/16
> switchport access vlan 101
> switchport trunk native vlan 101
> switchport mode access
> switchport nonegotiate
>!
>interface GigabitEthernet1/0/17
>!
>interface GigabitEthernet1/0/18
> switchport access vlan 100
> switchport trunk native vlan 100
> switchport mode access
> switchport nonegotiate
>
>компы включенные в 16 и в 18 порт легко пингуют друг друга
>
>запретить доступ могу например аксесслистом на интерфейсе киски 0/0.100 и 0/0.101
>что нелогично
>как должны быть настроены порты 16 и 18 чтобы 16 был в
>влане 101 а 18 в влане 100
>и компы на них не пинговали друг друга?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "настройка вланов на циске и каталисте"  
Сообщение от Изгой email(??) on 18-Сен-06, 15:30 
>>маршрутизатор циска 2811
>>на инт 0/0 подняты субинтерейсы от 0 до 16
>>interface GigabitEthernet0/0.100
>> encapsulation dot1Q 100
>> ip address 10.131.0.6 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
>> no ip route-cache same-interface
>>!
>>interface GigabitEthernet0/0.101
>> encapsulation dot1Q 101
>> ip address 10.131.101.1 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
>>
>>все это дело идет на каталист 3750 на инт 1/0/1
>>interface GigabitEthernet1/0/1
>> switchport trunk encapsulation dot1q
>> switchport mode trunk
>> switchport nonegotiate
>>
>>
>>далее это расходится по портам либо по следующим каталистам 2950
>>interface GigabitEthernet1/0/5
>> switchport trunk encapsulation dot1q
>> switchport trunk allowed vlan 7,100-102
>> switchport mode trunk
>> switchport nonegotiate
>>
>>и
>>
>>interface GigabitEthernet1/0/16
>> switchport access vlan 101
>> switchport trunk native vlan 101
>> switchport mode access
>> switchport nonegotiate
>>!
>>interface GigabitEthernet1/0/17
>>!
>>interface GigabitEthernet1/0/18
>> switchport access vlan 100
>> switchport trunk native vlan 100
>> switchport mode access
>> switchport nonegotiate
>>
>>компы включенные в 16 и в 18 порт легко пингуют друг друга
>>
>>запретить доступ могу например аксесслистом на интерфейсе киски 0/0.100 и 0/0.101
>>что нелогично
>>как должны быть настроены порты 16 и 18 чтобы 16 был в
>>влане 101 а 18 в влане 100
>>и компы на них не пинговали друг друга?

Ну получаеться логично , что у тебя по транку все вланы приходят на  интерфейс маршрутищатора , а там уже распределяеться доступ , может тебе попробывать вланы роутить на 3750 , а на маршрутизатор прописать дефолтовый маршрут ?  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "настройка вланов на циске и каталисте"  
Сообщение от fox81 email(??) on 18-Сен-06, 15:51 

>может тебе попробывать вланы роутить на 3750 , а на маршрутизатор
>прописать дефолтовый маршрут ?

может напишешь как это в конфиге каталисты будет выглядеть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "настройка вланов на циске и каталисте"  
Сообщение от Изгой email(??) on 18-Сен-06, 15:54 
>
>>может тебе попробывать вланы роутить на 3750 , а на маршрутизатор
>>прописать дефолтовый маршрут ?
>
>может напишешь как это в конфиге каталисты будет выглядеть?


ТОка теоритически , так как железок таких нет, если будет свободное время завтра
попробую написать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "настройка вланов на циске и каталисте"  
Сообщение от Изгой email(??) on 20-Сен-06, 08:53 
>>
>>>может тебе попробывать вланы роутить на 3750 , а на маршрутизатор
>>>прописать дефолтовый маршрут ?
>>
>>может напишешь как это в конфиге каталисты будет выглядеть?
>
>
>ТОка теоритически , так как железок таких нет, если будет свободное время
>завтра
>попробую написать.


В общем вот что получаеться , если мы агрегируем все вланы , и маршрутим на 3750 , возникают проблемы  , что если за одним портом привязыны подсети и какието вланы , то на другой порт уже теже вланы и подсети задать нельзя должны быть разными вроде так. То есть маршрутизатор в ланном случае дает возможность свободного  размещения вланов за ним то есть на коммутаторах.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "настройка вланов на циске и каталисте"  
Сообщение от Изгой email(??) on 20-Сен-06, 09:49 
>>>
>>>>может тебе попробывать вланы роутить на 3750 , а на маршрутизатор
>>>>прописать дефолтовый маршрут ?
>>>
>>>может напишешь как это в конфиге каталисты будет выглядеть?
>>
>>
>>ТОка теоритически , так как железок таких нет, если будет свободное время
>>завтра
>>попробую написать.
>
>
>В общем вот что получаеться , если мы агрегируем все вланы ,
>и маршрутим на 3750 , возникают проблемы  , что если
>за одним портом привязыны подсети и какието вланы , то на
>другой порт уже теже вланы и подсети задать нельзя должны быть
>разными вроде так. То есть маршрутизатор в ланном случае дает возможность
>свободного  размещения вланов за ним то есть на коммутаторах.

Нашёл ПДФ на циско  давай почту , там всё ясно описано. с примером и конфигурациями.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "настройка вланов на циске и каталисте"  
Сообщение от weris email(ok) on 29-Сен-06, 07:37 
>Нашёл ПДФ на циско  давай почту , там всё ясно описано.
>с примером и конфигурациями.

можно и мне evgeniy_veris@mail.ru

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "настройка вланов на циске и каталисте"  
Сообщение от fox81 (ok) on 24-Сен-06, 10:16 
fox@rosinv.ru
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "настройка вланов на циске и каталисте"  
Сообщение от DDD (??) on 29-Сен-06, 08:55 
И мне, если не затруднит...  romero@newmail.ru
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "настройка вланов на циске и каталисте"  
Сообщение от saska on 29-Сен-06, 09:57 
>И мне, если не затруднит...  romero@newmail.ru


перешлите мне плиз sasha-home(at)yandex.ru
либо выложите куда-нить!
пасиб

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "настройка вланов на циске и каталисте"  
Сообщение от Изгой email(??) on 29-Сен-06, 15:52 
>>И мне, если не затруднит...  romero@newmail.ru
>
>
>перешлите мне плиз sasha-home(at)yandex.ru
>либо выложите куда-нить!
>пасиб

отправил всем -
cisco.com
intervlan3750_45002.pdf
ищем там , скачиваем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "настройка вланов на циске и каталисте"  
Сообщение от dyn87 email on 11-Дек-08, 14:43 
1)для чего ты сделал транк на 37 свичь ?? и собсна проблемы-то нет, просто настрой аксес контрол лист, в котором и буешь настраивать права и прочии штуки
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру