https://m.opennet.dev/openforum/vsluhforumID6/602.html Построить мост между двумя trunk-портами на 6500<br><br>Доброго времени суток всем!<br>Тему создал не в разделе "Безопасность", т.к. она скорее относится к тонкой настройке multilayer-свитча.<br><br>Собственно мой вопрос я уже задал здесь:<br>https://supportforums.cisco.com/message/3884411#3884411<br><br>Дано:<br>Catalyst 6500 (1 шт.)<br>IPS 4510 (1 шт.)<br>К 6500 подключены серверные VLAN-ы (много) и пользовательские (ещё больше).<br>6500 в настоящий момент осуществляет intel-vlan routing.<br><br>Задача:<br>Трафик, идущий из пользовательских VLAN-ов в серверные VLAN-ы, завернуть через IPS.<br>При этом обеспечить режим fail-open (если IPS падает, траффик должен ходить дальше).<br><br>Некоторые свойства IPS сенсора: <br>- работает как мост (L2)<br>- может воспринимать 802.1q тэги, но не менять их. Какой тэг получил на первый интерфейс в паре - такой же и отправил на другой интерфейс.<br>- есть функция hardware-bypass между спаренными интерфейсами. Если сенсор падает/выключается - происходит физическое замыкание спаренных портов.<br><br>В случае, когда на https://m.opennet.dev/openforum/vsluhforumID6/602.html#8 Tue, 19 Mar 2013 06:25:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt; (6500)gig1/1 &lt;-&gt; IPS &lt;-&gt; (6500)gig1/2 <br>&gt;&gt; gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3 <br>&gt;&gt; в vrf 2, поднастроить маршрутизацию и понеслась...<br>&gt;&gt; Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1 <br>&gt;&gt; на (6500)gig1/2 через IPS...<br>&gt; Звучит здраво. Надо будет порисовать ещё на досуге и понять, как это <br>&gt; ляжет на текущую EGIRP маршрутизацию в 6к...<br>&gt; VRF слабо знаю - руками сам не конфигурил никогда ( <br>&gt; L3 интерфейс из VRF-а можно законектить в существующую EIGRP AS, которая реализована <br>&gt; не на VRF ?<br><br>Исессно, вам даже на сам vrf, а vrf light нужен, т.к. о vrf-ах знать будет исключительно 65-й.<br><br>фактически vrf позволяет "распилить" маршрутизатор на несколько виртуальных маршрутизаторов, у каждого из которых своя назависимая таблица маршрутизации,<br><br><br>прохождение пакета будет выглядеть так:<br><br>client-&gt; vrf_router1-&gt; (IPS) -&gt; vrf_router2 -&gt; server<br><br>но при этом vrf_router1 и vrf_router2 физически одна и та же железка 65-й каталист.<br>взаи https://m.opennet.dev/openforum/vsluhforumID6/602.html#7 Mon, 18 Mar 2013 14:21:54 GMT &gt; А обязательно ли vlan-ы гонять?<br><br>Нет :) Это просто дальнейшие развитие вот этого сценария:<br>https://supportforums.cisco.com/docs/DOC-12206<br><br><br>&gt; пользовательские vlan-ы - в vrf 1, серверные в vrf 2, затем <br>&gt; (6500)gig1/1 &lt;-&gt; IPS &lt;-&gt; (6500)gig1/2 <br>&gt; gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3 <br>&gt; в vrf 2, поднастроить маршрутизацию и понеслась...<br>&gt; Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1 <br>&gt; на (6500)gig1/2 через IPS...<br><br>Звучит здраво. Надо будет порисовать ещё на досуге и понять, как это ляжет на текущую EGIRP маршрутизацию в 6к...<br>VRF слабо знаю - руками сам не конфигурил никогда (<br>L3 интерфейс из VRF-а можно законектить в существующую EIGRP AS, которая реализована не на VRF ?<br><br> https://m.opennet.dev/openforum/vsluhforumID6/602.html#6 Mon, 18 Mar 2013 09:55:48 GMT А обязательно ли vlan-ы гонять? <br><br>пользовательские vlan-ы - в vrf 1, серверные в vrf 2, затем (6500)gig1/1 &lt;-&gt; IPS &lt;-&gt; (6500)gig1/2 <br>gig1/1 - как L3 интерфейс в vrf 1, gig1/2 - как L3 в vrf 2, поднастроить маршрутизацию и понеслась...<br><br>Чтобы попасть из vrf1 в vrf2 трафик обязан перетечь с интерфейса (6500)gig1/1 на (6500)gig1/2 через IPS...<br> https://m.opennet.dev/openforum/vsluhforumID6/602.html#5 Mon, 18 Mar 2013 09:32:37 GMT Думаю вот так это должно работать:<br><br>http://cs307703.vk.me/v307703541/84d6/tATS3l77qPY.jpg<br><br>Конфиг 6k должен быть примерно такой:<br><br>[code]<br>ip routing<br>!<br>interface Ge1/0<br> switchport trunk encapsulation dot1q<br> switchport trunk allowed vlan 10-12,110-112<br> switchport mode trunk<br> switchport nonegotiate<br> switchport vlan mapping enable<br> switchport vlan mapping 110 10<br> switchport vlan mapping 111 11<br> switchport vlan mapping 112 12<br>!<br>interface Ge1/1<br> switchport trunk encapsulation dot1q<br> switchport trunk allowed vlan 10-12<br> switchport mode trunk<br> switchport nonegotiate<br>!<br>interface vlan 2<br> ip address 10.0.2.1 255.255.255.0<br>!<br>interface vlan 3<br> ip address 10.0.3.1 255.255.255.0<br>!<br>interface Vlan4<br> ip address 10.0.4.1 255.255.255.0<br>!<br>interface Vlan110<br> ip address 10.0.10.1 255.255.255.0<br>!<br>interface Vlan111<br> ip address 10.0.11.1 255.255.255.0<br>!<br>interface Vlan112<br> ip address 10.0.12.1 255.255.255.0<br>!<br>no interface Vlan10<br>no interface Vlan11<br>no interface Vlan12[/code]<br><br>IPS соответсве https://m.opennet.dev/openforum/vsluhforumID6/602.html#4 Sun, 17 Mar 2013 21:25:08 GMT &gt; а вот оно че,я че-то пропустил требование с default gateway.ну поразмыслю, поразмыслю...задача <br>&gt; интересная) <br><br>Да - в этом то и сложность... Шеститонник всё сам маршрутизирует внутри. И разбивать один широковещательный домен на два VLANа - это единственный хоть как-то описанный способ заставить его "выплюнуть" трафик наружу :)<br><br>Возможно (даже наверняка) есть ещё какие-нибудь способы. <br>Может быть есть технология, позволяющая заменять 802.1q-теги в поступающих на порт кадрах? В принципе решило бы задачу.<br><br>_________________________<br><br>UPDATE: на запрос "изменить vlan id" гугл выдал vlan mapping. По идее то, что может решить задачу. Буду в эту сторону думать. Хотя всяческие другие идеи (в том числе "вы делаете всё не так, вот как надо...") - люто-бешенно приветствуются.<br> https://m.opennet.dev/openforum/vsluhforumID6/602.html#3 Sun, 17 Mar 2013 18:26:07 GMT &gt;[оверквотинг удален]<br>&gt; То, что транк от коммутатора, проходя через IPS будет иметь те же <br>&gt; VLAN-ID, что и до него.<br>&gt; Т.е. VLAN менятся не будет - а значит трафик через IPS и <br>&gt; не пойдёт вовсе...<br>&gt; В этом вся и хитрость. Когда мы цепляем IPS к 6500 через <br>&gt; access порты, эти порты смотрят в два разных VLAN-а. В одном <br>&gt; из них - как раз и живёт SVI, являющийся гейтвеем для <br>&gt; подсети (т.е. мы пилим одну подсеть на два VLAN-а).<br>&gt; А если на вход в IPS подать транк - то с другой <br>&gt; стороны выйдет тот же самый транк...<br><br>а вот оно че,я че-то пропустил требование с default gateway.ну поразмыслю, поразмыслю...задача интересная)<br> https://m.opennet.dev/openforum/vsluhforumID6/602.html#2 Sun, 17 Mar 2013 18:06:14 GMT &gt; Так а IPS насколько я помню поддерживает trunks. Что мешает настроить транки <br>&gt; между коммутатором и IPS?<br><br>То, что транк от коммутатора, проходя через IPS будет иметь те же VLAN-ID, что и до него.<br>Т.е. VLAN менятся не будет - а значит трафик через IPS и не пойдёт вовсе...<br><br>В этом вся и хитрость. Когда мы цепляем IPS к 6500 через access порты, эти порты смотрят в два разных VLAN-а. В одном из них - как раз и живёт SVI, являющийся гейтвеем для подсети (т.е. мы пилим одну подсеть на два VLAN-а).<br><br>А если на вход в IPS подать транк - то с другой стороны выйдет тот же самый транк...<br> https://m.opennet.dev/openforum/vsluhforumID6/602.html#1 Sun, 17 Mar 2013 17:36:43 GMT &gt;[оверквотинг удален]<br>&gt; VLAN-ов сильно больше :) <br>&gt; Собственно вот и вопрос - как можно сделать мост между двумя trunk-портами <br>&gt; одного коммутатора, да так, чтобы мост этот соединял разные VLAN-ы. Мост <br>&gt; (IPS) при этом теги в кадрах менять не может. А в <br>&gt; случае падения IPS всё должно продолжать работать :) <br>&gt; http://cs410516.vk.me/v410516541/44c5/XxerpOab1vA.jpg <br>&gt; Или тут нужно использовать что-то отличное, от "Вынести SVI в другой VLAN"? <br>&gt; Может какие-нибудь policy-routing, VRF, private VLAN?<br>&gt; Есть идеи? Буду очень признателен. Второй день голову себе взырваю (не так <br>&gt; много опыта общения с multilayer свитчами у меня, как хотелось бы)... <br><br>Так а IPS насколько я помню поддерживает trunks. Что мешает настроить транки между коммутатором и IPS?<br><br>