URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11490
[ Назад ]

Исходное сообщение
"настройка вланов на циске и каталисте"
Отправлено fox81 , 12-Сен-06 10:38

Здравствуйте.
может быть поможете разобраться с настройкой вланов?
читаю форум opennet но ответа пока не нашел
задачка то тривиальная
надо разделить сеть на 16 вланов в которых пользователи будут использовать общие ресурсы серверов (контроллер домена и т.п.) и не смогут получить доступ до соседних вланов.
Сначала один умелец сказал что надо использовать multiport. Но на форуме высказано общее мнение что это прошлый век и что для этого придумали trunk
на циске 2821 настроил субинтерфейсы с маркировкой вланов
вот что получилось
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/0.7
encapsulation dot1Q 7
ip address 10.131.10.1 255.255.255.0
!
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 10.131.0.6 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/0.101
encapsulation dot1Q 101
ip address 10.131.101.1 255.255.255.0
ip nat inside
ip virtual-reassembly
с интерфейса 0/0 кинул патчкорд на каталист 3750 в интерф 1/0/1
!
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport mode trunk
как дальше настроить остальные порты каталиста на которых будут сидеть серверы, юзеры, и три каталиста 2950 чтобы 16 групп пользователей были в своих вланах и видели сервер но не видели друг друга, а также выходили в инет через циску

Содержание

настройка вланов на циске и каталисте,weris, 10:45 , 12-Сен-06
- настройка вланов на циске и каталисте,fox81, 10:54 , 12-Сен-06
  - настройка вланов на циске и каталисте,MaxX, 08:27 , 15-Сен-06
настройка вланов на циске и каталисте,punks, 10:55 , 12-Сен-06
- настройка вланов на циске и каталисте,fox81, 11:21 , 18-Сен-06
  - настройка вланов на циске и каталисте,Изгой, 11:52 , 18-Сен-06
    - настройка вланов на циске и каталисте,fox81, 13:20 , 18-Сен-06
      - настройка вланов на циске и каталисте,Изгой, 15:24 , 18-Сен-06
        
        настройка вланов на циске и каталисте,Изгой, 15:30 , 18-Сен-06
        
        настройка вланов на циске и каталисте,fox81, 15:51 , 18-Сен-06
        
        настройка вланов на циске и каталисте,Изгой, 15:54 , 18-Сен-06
        
        настройка вланов на циске и каталисте,Изгой, 08:53 , 20-Сен-06
        
        настройка вланов на циске и каталисте,Изгой, 09:49 , 20-Сен-06
        
        настройка вланов на циске и каталисте,weris, 07:37 , 29-Сен-06
        
        настройка вланов на циске и каталисте,fox81, 10:16 , 24-Сен-06
        
        настройка вланов на циске и каталисте,DDD, 08:55 , 29-Сен-06
        
        настройка вланов на циске и каталисте,saska, 09:57 , 29-Сен-06
        
        настройка вланов на циске и каталисте,Изгой, 15:52 , 29-Сен-06
настройка вланов на циске и каталисте,dyn87, 14:43 , 11-Дек-08

Сообщения в этом обсуждении

"настройка вланов на циске и каталисте"
Отправлено weris , 12-Сен-06 10:45

на циске 5350:
!
interface FastEthernet0/1
description *** ethernet ***
no ip address
ip flow ingress
ip route-cache flow
no cdp enable
!
interface FastEthernet0/1.2
description *** OFFICE VLAN ***
encapsulation dot1Q 2
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip flow ingress
pppoe enable
no cdp enable
!
каталист:
!
interface FastEthernet0/1
description *** Cisco 5350 FastEthernet 0/1 port ***
switchport mode trunk
duplex full
no cdp enable
spanning-tree portfast trunk
!
interface FastEthernet0/2
description *** Office NET ***
switchport access vlan 2
switchport mode access
switchport nonegotiate
duplex full
no cdp enable
!

"настройка вланов на циске и каталисте"
Отправлено fox81 , 12-Сен-06 10:54

>на циске 5350:
>
>!
>interface FastEthernet0/1
> description *** ethernet ***
> no ip address
> ip flow ingress
> ip route-cache flow
> no cdp enable
>!
>interface FastEthernet0/1.2
> description *** OFFICE VLAN ***
> encapsulation dot1Q 2
> ip address 192.168.1.1 255.255.255.0
> ip nat inside
> ip flow ingress
> pppoe enable
> no cdp enable
>!
>
>каталист:
>
>!
>interface FastEthernet0/1
> description *** Cisco 5350 FastEthernet 0/1 port ***
> switchport mode trunk
> duplex full
> no cdp enable
> spanning-tree portfast trunk
>!
>interface FastEthernet0/2
> description *** Office NET ***
> switchport access vlan 2
> switchport mode access
> switchport nonegotiate
> duplex full
> no cdp enable
>!

а как быть если на один из портов нужно повесить каталист 2950 на котором тоже будут несколько вланов. как я понял interface FastEthernet0/2 передает только vlan 2. а как настроить чтобы порт передавал несколько вланов на подчиненный каталист
и чтобы потом на порту (например) 15 висел контроллер домена и видел все вланы которые есть и на 3750 и на 2950

"настройка вланов на циске и каталисте"
Отправлено MaxX , 15-Сен-06 08:27

>а как быть если на один из портов нужно повесить каталист 2950
>на котором тоже будут несколько вланов. как я понял interface FastEthernet0/2
>передает только vlan 2. а как настроить чтобы порт передавал несколько
>вланов на подчиненный каталист
>и чтобы потом на порту (например) 15 висел контроллер домена и видел
>все вланы которые есть и на 3750 и на 2950

Есть один способ не знаю уж насколько он правильный (меня пока что устраивает).
Циски между собой транками соединить, нарезать Вланы.
общий сервер подключить к циски тоже транком в сетивуху поддержывающую 802.1q (я использую Intel).
На сервера с помощью интеловской Утилитки создаём теже VLANы назначаем Адреса
И в результаре получаем количество интерфейсов на сервере = кол.ву VLANов
Соответственно Любой пользователь из своего VLANа увидить сервер и соседей по VLANу
А все что в не его VLANa останется для него не доступным

"настройка вланов на циске и каталисте"
Отправлено punks , 12-Сен-06 10:55

>
>как дальше настроить остальные порты каталиста на которых будут сидеть серверы, юзеры,
>и три каталиста 2950 чтобы 16 групп пользователей были в своих
>вланах и видели сервер  но не видели друг друга, а
>также выходили в инет через циску
на каталисте например для GigabitEthernet0/0.7
!
interface (куда воткнуто)
  switchport access vlan 7
  switchport mode access
  no ip address
а с доступами к вланам возможно посмотреть в сторону access-list

"настройка вланов на циске и каталисте"
Отправлено fox81 , 18-Сен-06 11:21

interface GigabitEthernet1/0/16
switchport access vlan 101
switchport trunk native vlan 101
switchport mode access
switchport nonegotiate
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
switchport access vlan 100
switchport trunk native vlan 100
switchport mode access
switchport nonegotiate
с таким конфигом каталисты пользователь из влана 100 пингует пользователя из влана 101
как от такого неприятного момента избавиться? конечно можно аксеслистом закрыть весь доступ кроме своего влана но в таком случае аксеслисты получаются большие и проц у основной киски очень сильно напрягается
если по умолчанию каждый пользователь может видеть только свой влан подскажите что надо исправить, все более уважаемые гуру.

"настройка вланов на циске и каталисте"
Отправлено Изгой , 18-Сен-06 11:52

>
>interface GigabitEthernet1/0/16
> switchport access vlan 101
> switchport trunk native vlan 101
> switchport mode access
> switchport nonegotiate
>!
>interface GigabitEthernet1/0/17
>!
>interface GigabitEthernet1/0/18
> switchport access vlan 100
> switchport trunk native vlan 100
> switchport mode access
> switchport nonegotiate
>
>с таким конфигом каталисты пользователь из влана 100 пингует пользователя из влана
>101
>как от такого неприятного момента избавиться? конечно можно аксеслистом закрыть весь доступ
>кроме своего влана но в таком случае аксеслисты получаются большие и
>проц у основной киски очень сильно напрягается
>если по умолчанию каждый пользователь может видеть только свой влан подскажите что
>надо исправить, все более уважаемые гуру.
Да интерестная тема , топологию можно поподробнее что к чему подсоединено , интерестно покопаться.

"настройка вланов на циске и каталисте"
Отправлено fox81 , 18-Сен-06 13:20

маршрутизатор циска 2811
на инт 0/0 подняты субинтерейсы от 0 до 16
interface GigabitEthernet0/0.100
encapsulation dot1Q 100
ip address 10.131.0.6 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache same-interface
!
interface GigabitEthernet0/0.101
encapsulation dot1Q 101
ip address 10.131.101.1 255.255.255.0
ip nat inside
ip virtual-reassembly
все это дело идет на каталист 3750 на инт 1/0/1
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate

далее это расходится по портам либо по следующим каталистам 2950
interface GigabitEthernet1/0/5
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 7,100-102
switchport mode trunk
switchport nonegotiate
и

interface GigabitEthernet1/0/16
switchport access vlan 101
switchport trunk native vlan 101
switchport mode access
switchport nonegotiate
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
switchport access vlan 100
switchport trunk native vlan 100
switchport mode access
switchport nonegotiate
компы включенные в 16 и в 18 порт легко пингуют друг друга
запретить доступ могу например аксесслистом на интерфейсе киски 0/0.100 и 0/0.101
что нелогично
как должны быть настроены порты 16 и 18 чтобы 16 был в влане 101 а 18 в влане 100
и компы на них не пинговали друг друга?

"настройка вланов на циске и каталисте"
Отправлено Изгой , 18-Сен-06 15:24

>маршрутизатор циска 2811
>на инт 0/0 подняты субинтерейсы от 0 до 16
>interface GigabitEthernet0/0.100
> encapsulation dot1Q 100
> ip address 10.131.0.6 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> no ip route-cache same-interface
>!
>interface GigabitEthernet0/0.101
> encapsulation dot1Q 101
> ip address 10.131.101.1 255.255.255.0
> ip nat inside
> ip virtual-reassembly
>
>все это дело идет на каталист 3750 на инт 1/0/1
>interface GigabitEthernet1/0/1
> switchport trunk encapsulation dot1q
> switchport mode trunk
> switchport nonegotiate
>
>
>далее это расходится по портам либо по следующим каталистам 2950
>interface GigabitEthernet1/0/5
> switchport trunk encapsulation dot1q
> switchport trunk allowed vlan 7,100-102
> switchport mode trunk
> switchport nonegotiate
>
>и
>
>interface GigabitEthernet1/0/16
> switchport access vlan 101
> switchport trunk native vlan 101
> switchport mode access
> switchport nonegotiate
>!
>interface GigabitEthernet1/0/17
>!
>interface GigabitEthernet1/0/18
> switchport access vlan 100
> switchport trunk native vlan 100
> switchport mode access
> switchport nonegotiate
>
>компы включенные в 16 и в 18 порт легко пингуют друг друга
>
>запретить доступ могу например аксесслистом на интерфейсе киски 0/0.100 и 0/0.101
>что нелогично
>как должны быть настроены порты 16 и 18 чтобы 16 был в
>влане 101 а 18 в влане 100
>и компы на них не пинговали друг друга?

"настройка вланов на циске и каталисте"
Отправлено Изгой , 18-Сен-06 15:30

>>маршрутизатор циска 2811
>>на инт 0/0 подняты субинтерейсы от 0 до 16
>>interface GigabitEthernet0/0.100
>> encapsulation dot1Q 100
>> ip address 10.131.0.6 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
>> no ip route-cache same-interface
>>!
>>interface GigabitEthernet0/0.101
>> encapsulation dot1Q 101
>> ip address 10.131.101.1 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
>>
>>все это дело идет на каталист 3750 на инт 1/0/1
>>interface GigabitEthernet1/0/1
>> switchport trunk encapsulation dot1q
>> switchport mode trunk
>> switchport nonegotiate
>>
>>
>>далее это расходится по портам либо по следующим каталистам 2950
>>interface GigabitEthernet1/0/5
>> switchport trunk encapsulation dot1q
>> switchport trunk allowed vlan 7,100-102
>> switchport mode trunk
>> switchport nonegotiate
>>
>>и
>>
>>interface GigabitEthernet1/0/16
>> switchport access vlan 101
>> switchport trunk native vlan 101
>> switchport mode access
>> switchport nonegotiate
>>!
>>interface GigabitEthernet1/0/17
>>!
>>interface GigabitEthernet1/0/18
>> switchport access vlan 100
>> switchport trunk native vlan 100
>> switchport mode access
>> switchport nonegotiate
>>
>>компы включенные в 16 и в 18 порт легко пингуют друг друга
>>
>>запретить доступ могу например аксесслистом на интерфейсе киски 0/0.100 и 0/0.101
>>что нелогично
>>как должны быть настроены порты 16 и 18 чтобы 16 был в
>>влане 101 а 18 в влане 100
>>и компы на них не пинговали друг друга?
Ну получаеться логично , что у тебя по транку все вланы приходят на интерфейс маршрутищатора , а там уже распределяеться доступ , может тебе попробывать вланы роутить на 3750 , а на маршрутизатор прописать дефолтовый маршрут ?

"настройка вланов на циске и каталисте"
Отправлено fox81 , 18-Сен-06 15:51

>может тебе попробывать вланы роутить на 3750 , а на маршрутизатор
>прописать дефолтовый маршрут ?
может напишешь как это в конфиге каталисты будет выглядеть?

"настройка вланов на циске и каталисте"
Отправлено Изгой , 18-Сен-06 15:54

>
>>может тебе попробывать вланы роутить на 3750 , а на маршрутизатор
>>прописать дефолтовый маршрут ?
>
>может напишешь как это в конфиге каталисты будет выглядеть?

ТОка теоритически , так как железок таких нет, если будет свободное время завтра
попробую написать.

"настройка вланов на циске и каталисте"
Отправлено Изгой , 20-Сен-06 08:53

>>
>>>может тебе попробывать вланы роутить на 3750 , а на маршрутизатор
>>>прописать дефолтовый маршрут ?
>>
>>может напишешь как это в конфиге каталисты будет выглядеть?
>
>
>ТОка теоритически , так как железок таких нет, если будет свободное время
>завтра
>попробую написать.

В общем вот что получаеться , если мы агрегируем все вланы , и маршрутим на 3750 , возникают проблемы , что если за одним портом привязыны подсети и какието вланы , то на другой порт уже теже вланы и подсети задать нельзя должны быть разными вроде так. То есть маршрутизатор в ланном случае дает возможность свободного размещения вланов за ним то есть на коммутаторах.

"настройка вланов на циске и каталисте"
Отправлено Изгой , 20-Сен-06 09:49

>>>
>>>>может тебе попробывать вланы роутить на 3750 , а на маршрутизатор
>>>>прописать дефолтовый маршрут ?
>>>
>>>может напишешь как это в конфиге каталисты будет выглядеть?
>>
>>
>>ТОка теоритически , так как железок таких нет, если будет свободное время
>>завтра
>>попробую написать.
>
>
>В общем вот что получаеться , если мы агрегируем все вланы ,
>и маршрутим на 3750 , возникают проблемы  , что если
>за одним портом привязыны подсети и какието вланы , то на
>другой порт уже теже вланы и подсети задать нельзя должны быть
>разными вроде так. То есть маршрутизатор в ланном случае дает возможность
>свободного  размещения вланов за ним то есть на коммутаторах.
Нашёл ПДФ на циско  давай почту , там всё ясно описано. с примером и конфигурациями.

"настройка вланов на циске и каталисте"
Отправлено weris , 29-Сен-06 07:37

>Нашёл ПДФ на циско давай почту , там всё ясно описано.
>с примером и конфигурациями.
можно и мне evgeniy_veris@mail.ru

"настройка вланов на циске и каталисте"
Отправлено fox81 , 24-Сен-06 10:16

fox@rosinv.ru

"настройка вланов на циске и каталисте"
Отправлено DDD , 29-Сен-06 08:55

И мне, если не затруднит... romero@newmail.ru

"настройка вланов на циске и каталисте"
Отправлено saska , 29-Сен-06 09:57

>И мне, если не затруднит... romero@newmail.ru

перешлите мне плиз sasha-home(at)yandex.ru
либо выложите куда-нить!
пасиб

"настройка вланов на циске и каталисте"
Отправлено Изгой , 29-Сен-06 15:52

>>И мне, если не затруднит... romero@newmail.ru
>
>
>перешлите мне плиз sasha-home(at)yandex.ru
>либо выложите куда-нить!
>пасиб
отправил всем -
cisco.com
intervlan3750_45002.pdf
ищем там , скачиваем.

"настройка вланов на циске и каталисте"
Отправлено dyn87 , 11-Дек-08 14:43

1)для чего ты сделал транк на 37 свичь ?? и собсна проблемы-то нет, просто настрой аксес контрол лист, в котором и буешь настраивать права и прочии штуки