vlan на Cisco

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
bodriy
Junior member
Сообщения: 5
Зарегистрирован: 02 апр 2009, 17:10
Откуда: Санкт Петербург

vlan на Cisco

Сообщение bodriy » 02 апр 2009, 17:14

Здравствуйте.

Есть циска Catalyst 3550. На ней есть 3 vlan сети: vlan 2 - f0/2-15, vlan 3 - f0/16-31, vlan 4 - f0/32-48. Нужно, чтобы порт f0/1 входил во все три влан сети (это порт в интернет). Смотрел интервлан, но он не подходит в моей ситуации, т.к. не могу влиять на адреса машин входящих в каждый влан. Посоветуйте, с помощью чего это можно сделать.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: vlan на Cisco

Сообщение and3008 » 02 апр 2009, 21:11

Ничего у вас не получится. И я не вижу никакого смысла делать так, как вы хотите.

Объясните популярно какую задачу вы решаете. Вот прямо русским языком без привязки к оборудованию. Тогда будут внятные ответы.

bodriy
Junior member
Сообщения: 5
Зарегистрирован: 02 апр 2009, 17:10
Откуда: Санкт Петербург

Re: vlan на Cisco

Сообщение bodriy » 03 апр 2009, 11:45

Цель: разделить сервера, чтобы они не могли вообще никак взаимодействовать, но выход в интернет у всех был.

redpingvin
Advanced member
Сообщения: 90
Зарегистрирован: 01 дек 2005, 13:01
Откуда: Санкт-Петербург
Контактная информация:

Re: vlan на Cisco

Сообщение redpingvin » 03 апр 2009, 13:47

bodriy писал(а):Цель: разделить сервера, чтобы они не могли вообще никак взаимодействовать, но выход в интернет у всех был.
у вас 1 внешний ip ?
что вы понимаете под словом интернет ? (какие сервисы нужны серверам, если у вас 1 внешний ip)
вариант попытки запрета взаимодействия серверов через интернет тоже закрываем ? =)

bodriy
Junior member
Сообщения: 5
Зарегистрирован: 02 апр 2009, 17:10
Откуда: Санкт Петербург

Re: vlan на Cisco

Сообщение bodriy » 03 апр 2009, 14:17

Нет, несколько подсетей.

redpingvin
Advanced member
Сообщения: 90
Зарегистрирован: 01 дек 2005, 13:01
Откуда: Санкт-Петербург
Контактная информация:

Re: vlan на Cisco

Сообщение redpingvin » 03 апр 2009, 14:53

bodriy писал(а):Нет, несколько подсетей.
несколько подсетей с внутренними адресами ? или внешними


-------
вобщем если вам провайдер дал к примеру 4 внешних сетки и один провод эзернет,

inte fa0/1
descr линк_к_провайдеру
no switcport
ip address ип_который_дал_пров маска

int vlan 2
ip address ip mask

int vlan 3
ip address ip mask

int vlan 4
ip address ip mask


ip route 0.0.0.0 0.0.0.0 ип_шлюза


------------
и попросить прова чтобы эти 3 внешние сетки роутили через вас.

bodriy
Junior member
Сообщения: 5
Зарегистрирован: 02 апр 2009, 17:10
Откуда: Санкт Петербург

Re: vlan на Cisco

Сообщение bodriy » 03 апр 2009, 15:32

Внешние сети.
Допустим мне выделили сеть 193.92.252.0/24.
В vlan2 могут находиться машины с адресами 193.92.252.10, 193.92.252.230, 193.92.252.30 и изменить их адреса я просто не могу. Поэтому не получится тут интервлан роутинга, на сколько я понимаю.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: vlan на Cisco

Сообщение and3008 » 03 апр 2009, 17:28

Объясняю популярно. VLAN разбивает сети на сегменты на втором уровне. Считайте что это выделенные хабы.

Между хабами трафик гонять можно только через маршрутизатор. Т.е. через третий уровень.

Весь Интернет работает только по третьему уровню и это ограничение следует учитывать при планировании сети.

Если было так: получили от провайдера пул: 10.1.1.0/24, взяли 5 компов, подключили к свичу в отдельный VLAN и назначили IP абы как, типа 10.1.1.1, 10.1.1.20, 10.1.1.200, 10.1.1.240.
Теперь требуется трафик между 10.1.1.1 и 10.1.1.240 запретить. IP-адреса менять нельзя.

Докладываю вам, что вы либо хитро разбивайте сеть 10.1.1.0/24 на подсети с попаданием нужных компов в нужные подсети и последующим разруливанием доступ на свиче на уровне ACL-листов, либо таки задумайтесь о смене IP-адресов.
Первый вариант поможет вам решить проблему (может быть), но вы лишитесь части IP-адресов в сегментах и не сможете им гибко управлять.

Ничего другого на свете нет. Никакой интерVLAN вам тут ни поможет ни разу.

Да, есть еще один извращенный вариант. Это ACL по MAC-адресам и ACL по IP-адресам. Надо крепко подумать, получится ли. Думаю что вряд ли... Да и настройки дико усложнит. Работать это будет до первого серьезного траблешутинга. Вам самому быстро надоест багу искать и проще будет все сломать и построить как надо.

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 8 гостей