маршрутизация между VLAN на catalyst 3750G-24T-E

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
MikolaT
member
Сообщения: 26
Зарегистрирован: 17 мар 2004, 09:59

маршрутизация между VLAN на catalyst 3750G-24T-E

Сообщение MikolaT » 10 авг 2005, 11:24

Помогите настроить маршрутизация между VLAN на catalyst 3750G-24T-E.

Vlanы создал, интрефейсы создал, а как заставит между ними трафик бегать?

Смысл в том что есть куча отделов, которые хотят сидеть в разных VLAN, и есть VLAN в котором сидят все сервера и прочие сетевые девайсы.

Так вот, не могу заставить ходить трафик между VLANами отделов и серверным VLAN.

Выдержки из конфигов, если нужны, закину.

Спасибо.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 10 авг 2005, 13:15

Конфиг всегда желателен.
А по проблеме, если у вас 1 девайс с IP на каждый VLAN, то протоколы маршрутизации не нужны - все подсети напрямую connected.

MikolaT
member
Сообщения: 26
Зарегистрирован: 17 мар 2004, 09:59

Сообщение MikolaT » 10 авг 2005, 13:46

В каждом VLAN по несколько девайсов, кроме того транками будут подключены еще несколько коммутаторов.

Сеть выросла из плоской до создания нормального уровня доступа и распределения.
Сеть 192.168.0.0/24
Маршурутизатор на ISP - 192.168.0.1
Соответственно у всех юзеров шлюз по умолчанию - 192.168.0.1

Конфиг:

Код: Выделить всё

!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c-3750G-24T-E
!
enable secret 5 $1$OqXt$8WkWcWNHIHLrnidJzZXwF/
enable password 123456
!
ip subnet-zero
ip routing
!
vtp mode transparent
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
vlan 10
 name V_SERVERS
!
vlan 11
 name V_ADM
!
vlan 12
 name V_SALES
!
vlan 13
 name V_BUHG
!
vlan 14
 name V_TECH
!
vlan 15
 name V_LAB
!
vlan 16
 name V_MANU
!
vlan 17
 name V_URIST
!
!
interface GigabitEthernet1/0/1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10-17
 switchport mode trunk
 no ip address
 mdix auto
!
interface GigabitEthernet1/0/2
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10-17
 switchport mode trunk
 no ip address
 mdix auto
!
interface GigabitEthernet1/0/3
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10-17
 switchport mode trunk
 no ip address
 mdix auto
!
interface GigabitEthernet1/0/4
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10-17
 switchport mode trunk
 no ip address
 mdix auto
!
interface GigabitEthernet1/0/5
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10-17
 switchport mode trunk
 no ip address
 mdix auto
!
interface GigabitEthernet1/0/6
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,10-17
 switchport mode trunk
 no ip address
 mdix auto
!
interface GigabitEthernet1/0/7
 switchport access vlan 16
 switchport mode access
 no ip address
 mdix auto
 no cdp enable
 spanning-tree portfast
!
interface GigabitEthernet1/0/8
 switchport access vlan 17
 switchport mode access
 no ip address
 mdix auto
 no cdp enable
 spanning-tree portfast
!
interface GigabitEthernet1/0/9
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/10
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/11
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/12
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/13
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/14
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/15
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/16
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/17
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/18
 no ip address
 no mdix auto
!
interface GigabitEthernet1/0/19
 switchport access vlan 10
 switchport mode access
 no ip address
 mdix auto
 no cdp enable
 spanning-tree portfast
!
interface GigabitEthernet1/0/20
 switchport access vlan 10
 switchport mode access
 no ip address
 mdix auto
 no cdp enable
 spanning-tree portfast
!
interface GigabitEthernet1/0/21
 switchport access vlan 10
 switchport mode access
 no ip address
 mdix auto
 no cdp enable
 spanning-tree portfast
!
interface GigabitEthernet1/0/22
 switchport access vlan 10
 switchport mode access
 no ip address
 mdix auto
 no cdp enable
 spanning-tree portfast
!
interface GigabitEthernet1/0/23
 switchport access vlan 10
 switchport mode access
 no ip address
 mdix auto
 no cdp enable
 spanning-tree portfast
!
interface GigabitEthernet1/0/24
 switchport access vlan 10
 switchport mode access
 no ip address
 mdix auto
 no cdp enable
 spanning-tree portfast
!
interface Vlan1
 ip address 192.168.0.16 255.255.255.0
!
interface Vlan10
 ip address 10.0.10.1 255.255.255.0
!
interface Vlan11
 ip address 10.0.11.1 255.255.255.0
!
interface Vlan12
 ip address 10.0.12.1 255.255.255.0
!
interface Vlan13
 ip address 10.0.13.1 255.255.255.0
!
interface Vlan14
 ip address 10.0.14.1 255.255.255.0
!
interface Vlan15
 ip address 10.0.15.1 255.255.255.0
!
interface Vlan16
 ip address 10.0.16.1 255.255.255.0
!
interface Vlan17
 ip address 10.0.17.1 255.255.255.0
!
ip default-gateway 10.0.10.1
ip classless
ip http server
!
!
line con 0
line vty 0 4
 password 123456
 login
line vty 5 15
 password 123456
 login
!
end
Соотвественно:
Порты 1-6 - транковые для подключения управляемых L2 свичей с поддержкой VLAN.
Порты 7-8 - VLAN16(V_MANU) и VLAN17(V_URIST) - для подключения
неуправляемых свичей, не поддерживающих VLAN.
Порты 19-24 - VLAN10 (V_SERVERS) - для серверов, сетевыx принтеров. Здесь же маршрутизатор на ISP.
Порты 9-18 пока не используются.

Задача: запретить трафик между VLANами отделов. И разрешить трафик между VLANами отделов и серверным VLAN.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 10 авг 2005, 16:42

Давай по порядку:
1Сеть выросла из плоской до создания нормального уровня доступа и распределения.
Сеть 192.168.0.0/24
- не выросла, одна подсеть, общий броадкаст, запись в ACL на IP каждого юзера(диапазона адресов)
Выдели каждому отделу свою подсеть
2 Маршурутизатор на ISP - 192.168.0.1
- default-gateway на свиче
3.Соответственно у всех юзеров шлюз по умолчанию - 192.168.0.1
- IP VLANa или порта на свиче
4. Если у тебя остальные свичи cisco разберись с vtp
5. ip address vlan XX 10.0.XX.XX - не понял откуда и зачем.
6. управляемых L2 свичей с поддержкой VLAN - машрутизация на L3
7. запретить трафик между VLANами отделов. И разрешить трафик между VLANами отделов и серверным VLAN. - через ACL всё что угодно.

Дальше по мере поступления

MikolaT
member
Сообщения: 26
Зарегистрирован: 17 мар 2004, 09:59

Сообщение MikolaT » 11 авг 2005, 06:58

krasnov писал(а):Выдели каждому отделу свою подсеть
А смысл? Я для этого их в разные VLANы запихиваю.
krasnov писал(а):4. Если у тебя остальные свичи cisco разберись с vtp
Здесь проблем нет, остальные не Cisco
krasnov писал(а):5. ip address vlan XX 10.0.XX.XX - не понял откуда и зачем.
Интерфейсы VLANов, которые будут шлюзами для хостов в разных VLAN.
krasnov писал(а):6. управляемых L2 свичей с поддержкой VLAN - машрутизация на L3
Ну это ясно, для этого и ставится 3750.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 11 авг 2005, 11:29

Хорошо, давай сначала.
Есть у тебя PC подключенная к порту, принадлежащему vlan11 например. Ты для этого vlan создал виртуальный интерфейс с ip 10.0.11.1 255.255.255.0 . Соответственно на PC настройки типа
ip 10.0.11.2 255.255.255.0 и gw 10.0.11.1 255.255.255.0.
ping на другие сети есть?
зачем тебе dg на свой собственный интерфейс?

MikolaT
member
Сообщения: 26
Зарегистрирован: 17 мар 2004, 09:59

Сообщение MikolaT » 11 авг 2005, 14:47

krasnov писал(а):Есть у тебя PC подключенная к порту, принадлежащему vlan11 например. Ты для этого vlan создал виртуальный интерфейс с ip 10.0.11.1 255.255.255.0 . Соответственно на PC настройки типа
ip 10.0.11.2 255.255.255.0 и gw 10.0.11.1 255.255.255.0.
ping на другие сети есть?
Когда хост и интерфейс VLANа в одной сети все начинает работать.

Только вот менять все IP-адреса хостов не очень хорошая мысль... Может быть можно без этого?

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 11 авг 2005, 16:06

Может быть можно без этого?
С L2 на L3 перейти - в одной подсети (без изменения адрессации) -  хороший вопрос.

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей