The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"перенос видеонаблюдения в другую сеть"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 15-Май-19, 07:37 
добрый день. есть некоторая локалка из оборудования cisco. абсолютно все ну или почти сидит в одном vlan, хочу вывести все видеонаблюдение в другой vlan. на коммутаторах cisco 2960 создал vlan 88 (видео) назначил ему порты, на другом соответственно такой же vlan и т.д. потом создал транковые порты в голове стоит сisco 4506 там аналогично все создал. теперь как бы все в другом влан как и хотел. но теперь мне необходимо чтобы некоторые компы смотрели эти камеры. другими словами они будут в том же влан что и видеонаблдение, но некоторым из них нужен доступ к сервакам и доступ в интернет. как я понял надо на маршрутизаторе прописать сабинтерфейс и создать acl на маршрутизаторе. ребята если правильно мыслю подскажите в ту хоть сторону?  
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Andrey (??), 15-Май-19, 09:01 
> другими словами они будут в том же влан что и видеонаблдение,

Зачем? Маршрутизацию между сетями сложно сделать?
Или разнесли по VLAN, но оставили одинаковые подсети?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 15-Май-19, 12:02 
>> другими словами они будут в том же влан что и видеонаблдение,
> Зачем? Маршрутизацию между сетями сложно сделать?
> Или разнесли по VLAN, но оставили одинаковые подсети?

нет подсети тоже разные. хочется просто как-то все это дело упорядочить и разграничить. на данный момент есть вторая подсеть и видеонаблюдение там и сидит но все в одном влане. также на данный момент и сервера и пользователи и принтеры в одной сети а их компов только 200.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 15-Май-19, 15:04 

> я понял надо на маршрутизаторе прописать сабинтерфейс и создать acl на
> маршрутизаторе. ребята если правильно мыслю подскажите в ту хоть сторону?

Можно и так - порт на маршрутизаторе загнать в транк и сделать субинтерфейсы, но как показала практика - возможны неожиданные нюансы... и повышенная нагрузка на маршрутизатор.

Лучше сделать так - 4506 это L3 switch, то есть на нем надо поднять RIP/EIGRP/OSPF и начать анонсить подсети, которые назначены VLAN, а на маршрутизаторе - надо принимать эти анонсы. И все заработает. OSPF правда в твоем случае мягко говоря избыточен.


Разграничение доступа по подсетям - man ZBFW, acl в такой роли - плохо, они немного для другого предназначены. Но в принципе - сойдет если правил немного.

Не забудь поднять на всех коммутаторах vtp или если они поддерживают - GVRP/MVRP.

Ну и проверь настройки STP... На всякий случай - возможны нюансы с неприятными сюрпризами при переходе от плоской сети к сети с VLAN.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 15-Май-19, 15:53 
>[оверквотинг удален]
> надо поднять RIP/EIGRP/OSPF и начать анонсить подсети, которые назначены VLAN, а
> на маршрутизаторе - надо принимать эти анонсы. И все заработает. OSPF
> правда в твоем случае мягко говоря избыточен.
> Разграничение доступа по подсетям - man ZBFW, acl в такой роли -
> плохо, они немного для другого предназначены. Но в принципе - сойдет
> если правил немного.
> Не забудь поднять на всех коммутаторах vtp или если они поддерживают -
> GVRP/MVRP.
> Ну и проверь настройки STP... На всякий случай - возможны нюансы с
> неприятными сюрпризами при переходе от плоской сети к сети с VLAN.

ПЛЯЯЯ....сколько много новых слов)))) могу скинуть конфиг маршрутизатора, L3 коммутатора и L2 коммутатора для наглядности. как по мне так там чет не совсем все верно мне кажется

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 15-Май-19, 16:19 

>  ПЛЯЯЯ....сколько много новых слов)))) могу скинуть конфиг маршрутизатора, L3 коммутатора
> и L2 коммутатора для наглядности. как по мне так там чет
> не совсем все верно мне кажется

Ну давай попробуем. На пастебин наверно все же лучше, а ссылки - сюда

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 15-Май-19, 16:52 
>>  ПЛЯЯЯ....сколько много новых слов)))) могу скинуть конфиг маршрутизатора, L3 коммутатора
>> и L2 коммутатора для наглядности. как по мне так там чет
>> не совсем все верно мне кажется
> Ну давай попробуем. На пастебин наверно все же лучше, а ссылки -
> сюда

2 халявных создал

https://pastebin.com/aWKZvQTA это L3 4506

https://pastebin.com/MTUbb5gM это маршрутизатор 2821

ну а ниже l2 cisco 2960

switch-reserv#show conf
Using 2896 out of 65536 bytes
!
! Last configuration change at 00:31:35 UTC Mon Mar 1 1993
!
version 15.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname switch-reserv
!
boot-start-marker
boot-end-marker
!
enable secret

!
no aaa new-model
system mtu routing 1500
!
!
!
!
crypto pki trustpoint TP-self-signed-3804068992
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3804068992
revocation-check none
rsakeypair TP-self-signed-3804068992
!
!
crypto pki certificate chain TP-self-signed-3804068992
certificate self-signed 01 nvram:IOS-Self-Sig#3.cer
!
!
!
no errdisable detect cause loopback
no errdisable detect cause gbic-invalid
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause pagp-flap
no errdisable detect cause dtp-flap
no errdisable detect cause link-flap
no errdisable detect cause dhcp-rate-limit
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface FastEthernet0/1
switchport mode access
!
interface FastEthernet0/2
switchport mode access
!
interface FastEthernet0/3
switchport mode access
!
interface FastEthernet0/4
switchport mode access
!
interface FastEthernet0/5
switchport mode access
!
interface FastEthernet0/6
switchport mode access
!
interface FastEthernet0/7
switchport mode access
!
interface FastEthernet0/8
switchport mode access
!
interface FastEthernet0/9
switchport mode access
!
interface FastEthernet0/10
switchport mode access
!
interface FastEthernet0/11
switchport mode access
!
interface FastEthernet0/12
switchport mode access
!
interface FastEthernet0/13
switchport mode access
!
interface FastEthernet0/14
switchport mode access
!
interface FastEthernet0/15
switchport mode access
!
interface FastEthernet0/16
switchport mode access
!
interface FastEthernet0/17
switchport mode access
!
interface FastEthernet0/18
switchport mode access
!
interface FastEthernet0/19
switchport mode access
!
interface FastEthernet0/20
switchport mode access
!
interface FastEthernet0/21
switchport mode access
!
interface FastEthernet0/22
switchport mode access
!
interface FastEthernet0/23
switchport mode access
!
interface FastEthernet0/24
switchport mode access
!
interface GigabitEthernet0/1
switchport access vlan 2
switchport trunk native vlan 2
switchport mode trunk
!
interface GigabitEthernet0/2
switchport access vlan 2
switchport trunk native vlan 2
switchport mode trunk
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan2
ip address 192.168.10.201 255.255.255.0
no ip route-cache
!
interface Vlan100
no ip address
!
ip default-gateway 192.168.10.1
ip http server
no ip http secure-server
logging esm config
!
line con 0
line vty 0 4


line vty 5 15


!
end

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 15-Май-19, 17:50 

> 2 халявных создал
> https://pastebin.com/aWKZvQTA это L3 4506
> https://pastebin.com/MTUbb5gM это маршрутизатор 2821

Они у тебя приватные - сделай пабликом.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 16-Май-19, 05:55 
>> 2 халявных создал
>> https://pastebin.com/aWKZvQTA это L3 4506
>> https://pastebin.com/MTUbb5gM это маршрутизатор 2821
> Они у тебя приватные - сделай пабликом.

ок поправиил

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 16-Май-19, 08:23 
>>> 2 халявных создал
>>> https://pastebin.com/aWKZvQTA это L3 4506
>>> https://pastebin.com/MTUbb5gM это маршрутизатор 2821
>> Они у тебя приватные - сделай пабликом.
> ок поправиил

хотя у меня есть еще один маршрутизатор. могу его впринципе использовать

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 20-Май-19, 00:27 

> хотя у меня есть еще один маршрутизатор. могу его впринципе использовать

А смысл?

Роутинг включается на L3-коммутаторах командой ip routing
Посмотреть маршруты можно командой sh ip route
Простейшая настройка rip выглядит так, для eigrp кстати аналогично:
router rip
version 2
network 169.254.0.0
network 172.30.0.0
network 192.168.1.0
!
Ну тут сетки, которые я аноншу со своего L3-коммутатора, не забываем про автосуммирование маршрутов!
реальный расклад выглядит так:
sw-01#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 172.30.1.1 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.30.1.1
      172.30.0.0/16 is variably subnetted, 8 subnets, 2 masks
C        172.30.1.0/24 is directly connected, Vlan1
L        172.30.1.2/32 is directly connected, Vlan1
C        172.30.10.0/24 is directly connected, Vlan10
L        172.30.10.1/32 is directly connected, Vlan10
C        172.30.20.0/24 is directly connected, Vlan20
L        172.30.20.1/32 is directly connected, Vlan20
C        172.30.60.0/24 is directly connected, Vlan60
L        172.30.60.1/32 is directly connected, Vlan60
Видим что сетки 172.30.1.0/24, 172.30.10.0/24 и далее просуммировались и анонсятся единой сетью /16.

На маршрутизаторе:
router rip
version 2
network 172.30.0.0
network 192.168.1.0
gw-01#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is 46.188.30.1 to network 0.0.0.0

S*    0.0.0.0/0 [254/0] via 46.188.30.1
      46.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        46.xxx.xxx.xxx/24 is directly connected, GigabitEthernet0/0
L        46.xxx.xxx.xxx/32 is directly connected, GigabitEthernet0/0
      172.30.0.0/16 is variably subnetted, 5 subnets, 2 masks
C        172.30.1.0/24 is directly connected, GigabitEthernet0/1
L        172.30.1.1/32 is directly connected, GigabitEthernet0/1
R        172.30.10.0/24 [120/1] via 172.30.1.2, 00:00:09, GigabitEthernet0/1
R        172.30.20.0/24 [120/1] via 172.30.1.2, 00:00:09, GigabitEthernet0/1
R        172.30.60.0/24 [120/1] via 172.30.1.2, 00:00:09, GigabitEthernet0/1

Ну соответственно стоит наверное еще показать настройки интерфейсов... или все понятно?

Настройки VTP неплохо описано здесь - http://xgu.ru/wiki/VTP
Оно нужно чтоб коммутаторы обменивались информацией о VLAN и на каждом коммутаторе не приходилось создавать нужные VLAN ручками.

Сначала настрой VTP, потом роутинг и после этого - растаскивай подсетки по VLAN

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 20-Май-19, 06:21 
>[оверквотинг удален]
> R        172.30.20.0/24 [120/1] via 172.30.1.2,
> 00:00:09, GigabitEthernet0/1
> R        172.30.60.0/24 [120/1] via 172.30.1.2,
> 00:00:09, GigabitEthernet0/1
> Ну соответственно стоит наверное еще показать настройки интерфейсов... или все понятно?
> Настройки VTP неплохо описано здесь - http://xgu.ru/wiki/VTP
> Оно нужно чтоб коммутаторы обменивались информацией о VLAN и на каждом коммутаторе
> не приходилось создавать нужные VLAN ручками.
> Сначала настрой VTP, потом роутинг и после этого - растаскивай подсетки по
> VLAN

спасибо почитаю))

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

10. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 20-Май-19, 00:11 
Как я понял ты хочешь растащить по разным VLAN вот это безобразие?
interface Vlan1
ip address 192.168.0.4 255.255.255.0 secondary
ip address 192.168.1.1 255.255.255.0 secondary
ip address 192.168.22.1 255.255.255.0 secondary
ip address 82.135.194.114 255.255.255.240 secondary
ip address 192.168.188.1 255.255.255.0 secondary
ip address 192.168.0.5 255.255.255.0
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 20-Май-19, 06:30 
> Как я понял ты хочешь растащить по разным VLAN вот это безобразие?
> interface Vlan1
>  ip address 192.168.0.4 255.255.255.0 secondary
>  ip address 192.168.1.1 255.255.255.0 secondary
>  ip address 192.168.22.1 255.255.255.0 secondary
>  ip address 82.135.194.114 255.255.255.240 secondary
>  ip address 192.168.188.1 255.255.255.0 secondary
>  ip address 192.168.0.5 255.255.255.0

это у меня
0.4 резервный шлюз

1.1 какая то подсеть хз никогда не использовалась
22.1 сетевое оборудование
194.114 внешний ip
188.1 вторая подсеть рабочая
0.5 - шлюз

на данный момент все сидят на сетке 0.0 к 188.1 подключены принтеры, камеры ip, видеорегистраторы, и другое сетевое.
помимо того что нулевая сеть подходит к концу так уже скоро и 188 закончится, все сидит в все равно в одном.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 20-Май-19, 11:39 
Ох как все запущено...

Для начала - сетка 192.168.1.0/24 скорей всего заводилась потому что многие китайские мыльницы находятся в ней по умолчанию и при этом - не имеют консольного порта для управления. То есть - чисто чтоб удобней их было настраивать.

Ну а для начала тебе надо сделать IP & VLAN Plan. То есть взять Exel и в нем сделать табличку, где описываешь все VLAN, назначенные им сети и ее предназначение. Могу скинуть типовую "рыбу", которая с минимальными переделками подходит для практически любой небольшой конторы.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 20-Май-19, 14:40 
> Ох как все запущено...
> Для начала - сетка 192.168.1.0/24 скорей всего заводилась потому что многие китайские
> мыльницы находятся в ней по умолчанию и при этом - не
> имеют консольного порта для управления. То есть - чисто чтоб удобней
> их было настраивать.
> Ну а для начала тебе надо сделать IP & VLAN Plan. То
> есть взять Exel и в нем сделать табличку, где описываешь все
> VLAN, назначенные им сети и ее предназначение. Могу скинуть типовую "рыбу",
> которая с минимальными переделками подходит для практически любой небольшой конторы.

вот это уже похоже на что то )) я в конторе недавно работаю. а оборудование в таком режиме 15 лет.
переодически приходится перезагружать все что есть. еще минус в том что ядро сети одно и маршрутизатор один. на кажды мой эксперимент приходится перезагружаться и соответсвенно пропадает  сеть

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 20-Май-19, 21:38 
Ну давай - VLAN 1 резервируем и не используем. Далее назначаем VLAN-ы с шагом 10 - так на всякий случай, мало ли что добавить придется...
Сразу скажу - хороший вариант по разделению "одно подразделение - один vlan" я не рассматриваю, он хорош с точки зрения СБ, но слегка гимороен для ИТ и писать много придется :)
И еще - считаем что стоят нормальные коммутаторы, которые понимают что номер VLAN может достигать 4к, а не 256 мах. как у дешевых китайцев...
VLAN 10 - administrative vlan, в него пихаем все управляющие интерфейсы сетевого железа, IPMI, управляющие интерфейсы кластерных нод и т.д. Обычному юзеру тут делать нефига.
VLAN 20 - servers vlan, сюда пихаем интерфейсы серверов, на которых предоставляются сервисы пользователям, почта, файлопомойка и т.д. Обычно от некие VM. Сразу замечу - правильным подходом будет когда у VM два интерфейса - управляющий (VLAN 10) и пользовательский (VLAN 20). На первый можно зайти по ssh/rdp/vnc и т.д., но нет никаких пользовательских сервисов, на втором - наоборот.
VLAN 30 - printers vlan, здесь живут принтера если их много и пихать их в "серверный" VLAN - нецелесообразно. В отдельный VLAN пихать их целесообразно в том числе по соображениям контроля за печатью - чтоб печатали только через принт-сервер, который этот контроль осуществляет.
VLAN 40 - iSCSI vlan. Сюда пихаем iSCSI, через который обычно идет обмен между нодами кластера и СХД. Ну врятли вы используете FC...
VLAN 50 - CCTV vlan. Создается в том случае, если у вас используется видеонаблюдение с IP-камерами. ой, вот уж что надо пихать в отдельную сеть это камеры - и безам нравится, и способны загадить любую сеть...
VLAN 60 - СКУД vlan. СКУД-ы и прочее безобразие безов, если их контроллеры используют IP. Ибо их оборудование - имеет КРАЙНЕ странные IP-стеки, лучше их заизолировать от греха подальше.

Ко всем этим VLAN (кроме 20-го), рабочие станции пользователей доступа в общем случае не имеют и к оборудованию, живущих в этих VLAN (кроме принтеров), пользователи в общем случае не имеют непосредственного доступа. Этажные коммутаторы находятся в запертых и опечатанных ящиках, да-да. :) Теперь пошли VLAN=ы, в которых распологаются пользовательские устройства..

VLAN VoIP - их может быть один или несколько в зависимости от политики безопасности на предприятии. В нем живут IP-Phone и прочая телефония.

VLAN WLAN (Wi-Fi) - обычно их минимум два, для сотрудников и гостевой, но может быть и больше - в зависимости от политик безопасности.
VLAN WS - workstation vlan, тут живут рабочие станции пользователей. В простейшем случае - он один, вариант отдельный VLAN на каждое подразделение я рассмотрел выше, но собственно есть промежуточный вариант, который удолетворяет большинство:
VLAN restricted - "огранниченный" vlan, но не в том смысле что он ограничен, а в том смысле что мало кого туда пускают. Это VLAN ИТ-отдела - никаких ограничений, но всем рассказываем "ну мы сами в ограниченном сидим, ибо много куда доступ имеем" IDS/IPS и прочие системы защиты - обязательны. DLP - бесполезны.
VLAN standart - рабочие станции всех обычных сотрудников. Закрытие вконтактников, одноглазников и прочих развлекалочек - на усмотрение начальства, обычно - практикуется. DLP и прочие радости жизни - обычно в полный рост.
VLAN privilege - "привилигерованный" vlan для рабочих станций начальства. Очень жесткий контроль, но вконтактник и прочее - разрешены, что дает ложное ощущение свободы. Наличае DLP упорно отрицается, на самом деле - всегда присутствует. Но это уже забота СБ - DLP обычно управляют они, а не ИТ.

Отмечу что именно такие название - важны, ибо вводят в заблуждение обычного пользователя и мешают ему правильно сформулировать свои хотелки на доступ к вконтактнику и торрентам. :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 20-Май-19, 21:59 
Теперь о том как проще всего выбрать для этих VLAN IP-подсети..
192.168 - "плохие" сети, потому что их очень любят производители всякой китайщины как адреса по умолчанию. В результате нередко возникают коллизии. Плюс к этому иногда прибегает начальник, прочитавший что можно сделать VPN из дома до работы, а дома у него почти 100% что-нибуть из 192.168.ххх.ххх - неудобно. Некоторые "хотелки" могут потребовать ренумерации его сети, которую он сам сделать не в состоянии и т.д. Вообщем этих сетей надо избегать.
10-я сеть. Любима производителями некоторого серьезного сетевого оборудования (например кошки) как сеть по умолчанию для дефолтного конфига и всяческими гордыми ламерообразными админами, которые не могут запомнить 192.168... :) Вообщем по-хорошему стоит выбирать в одном случае - если у тебя несколько десятков удаленных площадок, да и то... под вопросом. :)
И наконец сети 172.16.0.0/16 - 172.31.0.0/16 - мои любимые, можно по разному играться, так чтоб было легко и просто запомнить что-где.
Третий октет - у меня обычно совпадает с номером VLAN, ну с понятными ограничениями разумеется. Далее зависит от наличия филиала, их размеров и их кол-ва. Например при небольшом кол-ве довольно крупных филиалов 172.16 - центральный офис, 172.17 - первый филиал, 172.18 - второй, 172.31 - пировые адреса для тунелей и прочая служебка.  Если филиалы маленькие (с плоской сеткой) и их много - выделяем им скажем 172.20. и в третем октете - номер филиала... И т.д. - комбинировать можно по разному.

Вот после того как составишь на основе всего вышеизложенного табличку в экселе (или либре - не будем придираться к мелочам) - можно приступать к ренумерации сети и разведении ее по VLAN.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 21-Май-19, 15:12 
>[оверквотинг удален]
> понятными ограничениями разумеется. Далее зависит от наличия филиала, их размеров и
> их кол-ва. Например при небольшом кол-ве довольно крупных филиалов 172.16 -
> центральный офис, 172.17 - первый филиал, 172.18 - второй, 172.31 -
> пировые адреса для тунелей и прочая служебка.  Если филиалы маленькие
> (с плоской сеткой) и их много - выделяем им скажем 172.20.
> и в третем октете - номер филиала... И т.д. - комбинировать
> можно по разному.
> Вот после того как составишь на основе всего вышеизложенного табличку в экселе
> (или либре - не будем придираться к мелочам) - можно приступать
> к ренумерации сети и разведении ее по VLAN.

спасибо огромное. уже приступил. маску во вланах использовать 16?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 21-Май-19, 19:48 
Нет разумеется.
Положим ты выбрал в качестве базы сеть 172.16.0.0/16, следовательно на VLAN 10 у тебя будет выделено 172.16.10.0/24 и т.д. если идти по предложенной мной схеме.
Но RIP агрегирует их до /16
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 23-Май-19, 11:18 
> Нет разумеется.
> Положим ты выбрал в качестве базы сеть 172.16.0.0/16, следовательно на VLAN 10
> у тебя будет выделено 172.16.10.0/24 и т.д. если идти по предложенной
> мной схеме.
> Но RIP агрегирует их до /16

еще один момент. в packet tracer схемку сделать или gns3 ?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 23-Май-19, 15:43 

> еще один момент. в packet tracer схемку сделать или gns3 ?

Мне нравится GNS3, а так - в чем удобней.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 27-Май-19, 07:28 
>> еще один момент. в packet tracer схемку сделать или gns3 ?
> Мне нравится GNS3, а так - в чем удобней.

ок. таблицу подготовил. указал к какому интерфейсу кто будет подключен. теперь я так понял надо на свичах создать вланы?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 27-Май-19, 17:35 
>>> еще один момент. в packet tracer схемку сделать или gns3 ?
>> Мне нравится GNS3, а так - в чем удобней.
> ок. таблицу подготовил. указал к какому интерфейсу кто будет подключен. теперь я
> так понял надо на свичах создать вланы?

Сначала - подыми VTP чтоб создавать VLAN-ы один раз, а не на каждом коммутаторе.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 28-Май-19, 08:57 
>>>> еще один момент. в packet tracer схемку сделать или gns3 ?
>>> Мне нравится GNS3, а так - в чем удобней.
>> ок. таблицу подготовил. указал к какому интерфейсу кто будет подключен. теперь я
>> так понял надо на свичах создать вланы?
> Сначала - подыми VTP чтоб создавать VLAN-ы один раз, а не на
> каждом коммутаторе.

получается что vlan 10 administrative будет native vlan?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 28-Май-19, 09:59 
>>>>> еще один момент. в packet tracer схемку сделать или gns3 ?
>>>> Мне нравится GNS3, а так - в чем удобней.
>>> ок. таблицу подготовил. указал к какому интерфейсу кто будет подключен. теперь я
>>> так понял надо на свичах создать вланы?
>> Сначала - подыми VTP чтоб создавать VLAN-ы один раз, а не на
>> каждом коммутаторе.
> получается что vlan 10 administrative будет native vlan?

ай яй яй пардоньте)))) наоборот native vlan надо убрать в неиспользуемый vlan.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 28-Май-19, 11:12 

>> получается что vlan 10 administrative будет native vlan?
> ай яй яй пардоньте)))) наоборот native vlan надо убрать в неиспользуемый vlan.

Ну по идее после пересборки сети дефолтный нативный влан (1й) и не будет использоваться :)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 28-Май-19, 11:11 
> получается что vlan 10 administrative будет native vlan?

Нет, не обязательно. Можно его таковым сделать, но зачем? Вообще не так уж много случаев, когда надо делать native vlan отличным от дефолтного. Не заморачивайтесь с native vlan вообще.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 28-Май-19, 12:07 
>> получается что vlan 10 administrative будет native vlan?
> Нет, не обязательно. Можно его таковым сделать, но зачем? Вообще не так
> уж много случаев, когда надо делать native vlan отличным от дефолтного.
> Не заморачивайтесь с native vlan вообще.

ок. vtp сделал. на свичах 2960 gi 0/1-2 сделал транковыми портами. на свиче L3 создал все нужные вланы и записал gi1/1-13 в транк порты. также на L3 разрешаю нужные мне vlanы в транке. вопрос о nenogotiate. получается мне надо мои gi0/1-2 на 2960 перевести в nenogotiate?

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 28-Май-19, 12:10 
>>> получается что vlan 10 administrative будет native vlan?
>> Нет, не обязательно. Можно его таковым сделать, но зачем? Вообще не так

у меня на данный момент так в конфиге)))) vlan где сетевое оборудование является нативным

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 29-Май-19, 10:49 
> вопрос о nenogotiate. получается мне надо мои gi0/1-2 на 2960 перевести в nenogotiate?

Ну цитирую отсюда - http://xgu.ru/wiki/VLAN_в_Cisco :
> nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим "не-cisco" оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk'а.

Отсюда возникает вопрос - у тебя там не кошка? Если да - то да, если нет - то зачем?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 29-Май-19, 11:00 
>> вопрос о nenogotiate. получается мне надо мои gi0/1-2 на 2960 перевести в nenogotiate?
> Ну цитирую отсюда - http://xgu.ru/wiki/VLAN_в_Cisco :
>> nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим "не-cisco" оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk'а.
> Отсюда возникает вопрос - у тебя там не кошка? Если да -
> то да, если нет - то зачем?

да есть такое. один коммутатор не управляемый длинк.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 29-Май-19, 11:11 
network 169.254.0.0
network 172.30.0.0
network 192.168.1.0


вопрос к чему сеть 169.254.0.0? в твоем случае

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 29-Май-19, 15:31 

> вопрос к чему сеть 169.254.0.0? в твоем случае

Это AutoIP. Оборудование, которое не имеет назначенномго IP и не может получить его по DHCP/BOOTP выбирает адрес из этой сети. Уж не знаю какой магией - наверно случайный и с проверкой что он не занят. :)
Нужна для разборок с некоторыми "полуправляемыми" железками - если что-то пошло не так они берут этот адресс и при этом не имеют консольного порта... Ну вот чтоб не резетить их, а хоть как-то до них добраться и замаршрутизировал эту подсеть :)

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

33. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 29-Май-19, 15:27 
Так а если он не управляемый, то нафига ему информация о VLAN, которую он все равно не сможет использовать? Порт к которому он подключен должен быть access и все порты неуправляемого коммутатора будет относиться к тому VLAN, к которому относиться тот порт на управляемом коммутаторе, к которому он подключен.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

35. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 04-Июн-19, 12:10 
по поводу RIP. у меня один маршрутизатор в сети) оно мне надо? или тут имеется ввиду разделение между подсетями как то маршрутизирует?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

36. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 04-Июн-19, 14:28 
У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор, который внезапно - тоже маршрутизатор по своей сути :)
Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических маршрутов ручками и соотвественно - снижает шансы накосячить.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 04-Июн-19, 14:59 
> У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор,
> который внезапно - тоже маршрутизатор по своей сути :)
> Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических
> маршрутов ручками и соотвественно - снижает шансы накосячить.

так и есть)) накосячить как за здрасте). еще раз изучу тему rip, попробую состряпать маршруты

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 05-Июн-19, 08:55 
>> У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор,
>> который внезапно - тоже маршрутизатор по своей сути :)
>> Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических
>> маршрутов ручками и соотвественно - снижает шансы накосячить.
> так и есть)) накосячить как за здрасте). еще раз изучу тему rip,
> попробую состряпать маршруты

получается мне сабинтерфейсы уже не нужны на маршрутизаторе?

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 05-Июн-19, 09:35 
>>> У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор,
>>> который внезапно - тоже маршрутизатор по своей сути :)
>>> Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических
>>> маршрутов ручками и соотвественно - снижает шансы накосячить.
>> так и есть)) накосячить как за здрасте). еще раз изучу тему rip,
>> попробую состряпать маршруты
> получается мне сабинтерфейсы уже не нужны на маршрутизаторе?

если можно покажите настройки интерфейсов на маршрутизаторе

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 05-Июн-19, 11:08 
>>>> У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор,
>>>> который внезапно - тоже маршрутизатор по своей сути :)
>>>> Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических
>>>> маршрутов ручками и соотвественно - снижает шансы накосячить.
>>> так и есть)) накосячить как за здрасте). еще раз изучу тему rip,
>>> попробую состряпать маршруты
>> получается мне сабинтерфейсы уже не нужны на маршрутизаторе?
> если можно покажите настройки интерфейсов на маршрутизаторе

совсем забыл у меня еще ведь и ASA 5505 стоит))

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

40. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 05-Июн-19, 10:51 

> получается мне сабинтерфейсы уже не нужны на маршрутизаторе?

Да не нужны при такой схеме.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

42. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 10-Июн-19, 11:01 
>> получается мне сабинтерфейсы уже не нужны на маршрутизаторе?
> Да не нужны при такой схеме.

что то пошло не так)) получается мне теперь надо пропускать через cisco asa  весь трафик. или же ее можно как маршрутизатор использовать?


Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 10-Июн-19, 11:02 
где с тобой можно связаться?


Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

44. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Pofigist (?), 10-Июн-19, 14:30 
Да. Оставь мыло, скайп, да хоть телефон... ну вообщем что-то - я свяжусь
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "перенос видеонаблюдения в другую сеть"  +/
Сообщение от Gunsfeel (ok), 10-Июн-19, 14:52 
> Да. Оставь мыло, скайп, да хоть телефон... ну вообщем что-то - я
> свяжусь

jiparik1@gmail.com

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру