Маршрутизация между ВЛАНами на 3750

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Dosim
Junior member
Сообщения: 1
Зарегистрирован: 01 окт 2005, 14:01
Откуда: Uzbekistan
Контактная информация:

Маршрутизация между ВЛАНами на 3750

Сообщение Dosim » 01 окт 2005, 14:11

Народ всем привет !
Вам кажется что я повторяю тему NIKOLAYТ, но вовсе не так.

У меня стоит Свитч  ws-c3750g-24t. Я создал там 3 ВЛАНа
Vlan 2 for Servers
Vlan3 for Sales Department
Vlan 4 for Technical Department

вот здесь нужно будет настроит рутинг между серверами и департаментами, но при этом депертаменты не должны видеть друг- друга. Для ВЛАН3 и 4 нужно будет открыть только 5 портов на серверном ВЛАНе а все остальные порты закрыт.
Вот и всё то что я прошу у Вас профессионалы. Помгите начинающему. Спасибо заранее.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 03 окт 2005, 11:23

Если работаешь с портами, то создаёшь extended ACL типа
Switch(config)# ip access-list extended http
Switch(config-ext-nacl)# permit tcp host 10.1.1.32 host 10.1.1.34 eq www
.........
И привязываешь его к интерфейсу
Switch(config)# interface gigabitethernet3/0/5
Switch(config-if)# ip access-group http in
или через vlan-map
Switch(config)# vlan access-map SERVER1_MAP
Switch(config-access-map)# match ip address http
Switch(config-access-map)# action drop
.....
Подробнее читаешь в Software configuration guide для своего IOS, например http://www.cisco.com/en/US/products/hw/ ... 87872.html

Tooonich
Junior member
Сообщения: 4
Зарегистрирован: 30 авг 2006, 11:49

Сообщение Tooonich » 11 сен 2006, 15:38

А какким образом привязываются ACL к конкретным виланам?

Tooonich
Junior member
Сообщения: 4
Зарегистрирован: 30 авг 2006, 11:49

Сообщение Tooonich » 11 сен 2006, 15:50

Разобрался - насколько я понял надо писать так:
vlan filter [SERVER1_MAP ] vlan-list id

Tooonich
Junior member
Сообщения: 4
Зарегистрирован: 30 авг 2006, 11:49

Сообщение Tooonich » 11 сен 2006, 15:58

Вот еще один вопрос - можно ли при таком написании правил фильтрации (привязке к ВЛАНАМ, а не итнерфейсам) обозначить направление трафика. При привязке access-list к интерфейсу это сделать можно (ip access-group http in).

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 11 сен 2006, 16:19

Если коротко по русски, то нельзя, а более полно по английски:

Notice that the VACL is applied globally to one or more VLANs listed and not to a VLAN interface (SVI).
Recall that VLANs can be present in a switch as explicit interfaces or as inherent Layer 2entities.
The VLAN interface is the point where packets enter or leave a VLAN, so it does not make sense to apply a VACL there.
Instead, the VACL needs to function within the VLAN itself, where there is no inbound or outbound direction.

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей