Здравствуйте, помогите новичку.
Необходимо настроить комутатор cisco 3750,
что бы из разных виланов хосты могли обращаться к хосту "server",
и не могли бы общаться с другими хостами из других виланов.
Так же хост "admin" должен иметь доступ ко всем цискам и хостам.
Помогите с настройками циски. Предполагается что хосты из разных виланов находятся в разных подсетях. В системе несколько комутаторов cisco c3750 с гигабитными оптическими spf модулями.
Помогите, ОЧЕНЬ надо
с3750, vlan и межвланавая маршрутизация, помогите
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
piligrim
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2010-09-09 17:59:59
с3750, vlan и межвланавая маршрутизация, помогите
- Вложения
-
- как должно быть
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
lap
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: с3750, vlan и межвланавая маршрутизация, помогите
на IPшном интерфейсе вешать соответствующий аксес-лист, в котром прописаны все вышеизложенные правила. можно наверное соптимизировать, и нарисовать лист который пускает на сервер и к админу, а все остальное обрубает. так получится один аксеслист, который будет висеть для всех.
А кто кстати в схеме занимается марщрутизацией?
А кто кстати в схеме занимается марщрутизацией?
Не сломалось - не чини.
-
piligrim
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2010-09-09 17:59:59
Re: с3750, vlan и межвланавая маршрутизация, помогите
Маршрутизацией занимаются свичи на примитивном уровне, хотя особой маршрутизации в этом случае не требуется учитывая что все потоки идут исключительно от хостов к серверу. На интерфейсы не получается присвоить ip, только на vlan .
Подскажите пожалуйста какого вида будут acl листы, а то я не очень в них разбираюсь.
И может все таки есть альтернативы acl листам, потому как у меня 40 машин и 7 свичей, если каждой назначать acl лист - это долго и не рационально.
Я так понимаю у меня проблема в том что бы на один gi порт позволить доступ всем существующим vlan.
И еще вопрос, есть cisco с3750-24sf c 24ю портами mtrj и 2я spf. Так вот spf порты работают как часы, а mtrj вообще не откликаются ни на что!!!!.
. Перепробовал многое что бы увидеть хотя бы как моргнет, но фиг там был. Мож кто знает?
Подскажите пожалуйста какого вида будут acl листы, а то я не очень в них разбираюсь.
И может все таки есть альтернативы acl листам, потому как у меня 40 машин и 7 свичей, если каждой назначать acl лист - это долго и не рационально.
Я так понимаю у меня проблема в том что бы на один gi порт позволить доступ всем существующим vlan.
И еще вопрос, есть cisco с3750-24sf c 24ю портами mtrj и 2я spf. Так вот spf порты работают как часы, а mtrj вообще не откликаются ни на что!!!!.
. Перепробовал многое что бы увидеть хотя бы как моргнет, но фиг там был. Мож кто знает?-
lap
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: с3750, vlan и межвланавая маршрутизация, помогите
Если каждый влан будет терминироваться на одном вашем 3750, то дополнительно чтолибо маршрутизировать ненадо, достаточно interface vlanX c соответствующим для этого влана адресом.
Аксес лист будет один, вида
access-list 100 permit any host IP.SER.VE.RA
применять на интерфейс командой "ip access-group 100 in"
Насчет медных портов - посмотрите sh int status (есть вероятность что по <TAB> не будет дописываться), возможно они в состоянии disabled
Если disabled, то на физическом порту надо сказать no shut
Аксес лист будет один, вида
access-list 100 permit any host IP.SER.VE.RA
применять на интерфейс командой "ip access-group 100 in"
Насчет медных портов - посмотрите sh int status (есть вероятность что по <TAB> не будет дописываться), возможно они в состоянии disabled
Код: Выделить всё
#sh int status
Port Name Status Vlan Duplex Speed Type
Fa0/1 disabled 1 auto auto 10/100BaseTX
Fa0/2 connected trunk a-full a-100 10/100BaseTX
Fa0/3 connected trunk a-full a-100 10/100BaseTX
Fa0/4 connected trunk a-full a-100 10/100BaseTX
Fa0/5 disabled 30 auto auto 10/100BaseTX
Fa0/6 connected 100 a-full a-100 10/100BaseTX
Fa0/7 disabled 100 auto auto 10/100BaseTX
Fa0/8 notconnect 13 auto auto 10/100BaseTX
****
Не сломалось - не чини.
-
piligrim
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2010-09-09 17:59:59
Re: с3750, vlan и межвланавая маршрутизация, помогите
так и не могу ничего поделать
ip switcha 10.10.1.254
с него не могу пропинговать сервак висящий на 10 порту с ip 10.10.119.9
в чем может быть проблема?
подскажите
ip switcha 10.10.1.254
с него не могу пропинговать сервак висящий на 10 порту с ip 10.10.119.9
в чем может быть проблема?
подскажите
Код: Выделить всё
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log datetime
no service password-encryption
service sequence-numbers
!
hostname SW
mls qos map cos-dscp 0 8 16 26 32 46 48 56
mls qos srr-queue input bandwidth 90 10
mls qos srr-queue input threshold 1 8 16
mls qos srr-queue input threshold 2 34 66
mls qos srr-queue input buffers 67 33
mls qos srr-queue input cos-map queue 1 threshold 2 1
mls qos srr-queue input cos-map queue 1 threshold 3 0
mls qos srr-queue input cos-map queue 2 threshold 1 2
mls qos srr-queue input cos-map queue 2 threshold 2 4 6 7
mls qos srr-queue input cos-map queue 2 threshold 3 3 5
mls qos srr-queue input dscp-map queue 1 threshold 2 9 10 11 12 13 14 15
mls qos srr-queue input dscp-map queue 1 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue input dscp-map queue 1 threshold 3 32
mls qos srr-queue input dscp-map queue 2 threshold 1 16 17 18 19 20 21 22 23
mls qos srr-queue input dscp-map queue 2 threshold 2 33 34 35 36 37 38 39 48
mls qos srr-queue input dscp-map queue 2 threshold 2 49 50 51 52 53 54 55 56
mls qos srr-queue input dscp-map queue 2 threshold 2 57 58 59 60 61 62 63
mls qos srr-queue input dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue input dscp-map queue 2 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output cos-map queue 1 threshold 3 5
mls qos srr-queue output cos-map queue 2 threshold 3 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 2 4
mls qos srr-queue output cos-map queue 4 threshold 2 1
mls qos srr-queue output cos-map queue 4 threshold 3 0
mls qos srr-queue output dscp-map queue 1 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 3 threshold 3 32 33 34 35 36 37 38 39
mls qos srr-queue output dscp-map queue 4 threshold 1 8
mls qos srr-queue output dscp-map queue 4 threshold 2 9 10 11 12 13 14 15
mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7
mls qos queue-set output 1 threshold 1 138 138 92 138
mls qos queue-set output 1 threshold 2 138 138 92 400
mls qos queue-set output 1 threshold 3 36 77 100 318
mls qos queue-set output 1 threshold 4 20 50 67 400
mls qos queue-set output 2 threshold 1 149 149 100 149
mls qos queue-set output 2 threshold 2 118 118 100 235
mls qos queue-set output 2 threshold 3 41 68 100 272
mls qos queue-set output 2 threshold 4 42 72 100 242
mls qos queue-set output 1 buffers 10 10 26 54
mls qos queue-set output 2 buffers 16 6 17 61
mls qos
!
!
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause sfp-config-mismatch
errdisable recovery cause gbic-invalid
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause storm-control
errdisable recovery cause inline-power
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
errdisable recovery interval 30
port-channel load-balance src-dst-mac
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface GigabitEthernet1/0/1
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/2
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/3
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/4
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/5
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/6
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/7
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/8
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/9
switchport trunk encapsulation dot1q
switchport mode access
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
macro description cisco-desktop
flowcontrol receive desired
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/10
switchport mode access
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/11
switchport trunk encapsulation dot1q
switchport mode trunk
switchport port-security mac-address sticky
srr-queue bandwidth share 10 10 60 20
srr-queue bandwidth shape 10 0 0 0
queue-set 2
mls qos trust cos
macro description cisco-switch
auto qos voip trust
spanning-tree link-type point-to-point
!
interface GigabitEthernet1/0/12
switchport trunk encapsulation dot1q
switchport mode trunk
switchport port-security mac-address sticky
srr-queue bandwidth share 10 10 60 20
srr-queue bandwidth shape 10 0 0 0
queue-set 2
mls qos trust cos
macro description cisco-switch
auto qos voip trust
spanning-tree link-type point-to-point
!
interface Vlan1
ip address 10.10.1.254 255.255.0.0
!
ip classless
ip http server
!
!
!
control-plane
!
!
!
end
-
piligrim
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2010-09-09 17:59:59
Re: с3750, vlan и межвланавая маршрутизация, помогите
в качестве альтернативного решения я серваку задавал несколько айпишников, но когда на порт разрешаешь доступ dynamic access порт переходит в состоянии ошибки и никак его оттуда не вывести, он становится оранжевым, но при этом состояние не errdisable. исправляется исключительно установкой доступа на интерфейс(порт) static access. В чем здесь может быть проблема?
Люди кто знает подскажите мне работу сдавать в понедельник=(
Люди кто знает подскажите мне работу сдавать в понедельник=(
-
piligrim
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2010-09-09 17:59:59
Re: с3750, vlan и межвланавая маршрутизация, помогите
Все мои проблемы сводятся к тому что например на 1 порту висит хост с ip 10.10.1.1, на втором хост с ip 10.10.2.1 и сервер 10.10.199.9.
как мне настроить проброс пакетов с 2й и 1й подсети в 119ую? или как их объединить в одну мего сеть для назначения им одного вилана(например vlan1), тогда можно было бы ситуацию разрулить acl листами.
как мне настроить проброс пакетов с 2й и 1й подсети в 119ую? или как их объединить в одну мего сеть для назначения им одного вилана(например vlan1), тогда можно было бы ситуацию разрулить acl листами.
-
lap
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: с3750, vlan и межвланавая маршрутизация, помогите
Если ты хочешь оставить разбиение на сети, то надо чтоб каждая сеть жила в своем влане. Для доступа из одной сети в другую, надо будет настроить маршрутизацию. Если непосредственно роутингом будет заниматься один девайс, то на нем создаете все необходимые interface vlanX и если необходим доступ куданибудь еще, то на свиче прописать маршрут по умолчанию в нужную сторону.
чтонибудь наподобии этого:
если в порт свича включается пользователь, порт настраивать как
Если в другой свич, который умеет вланы:
на всякий случай еще сказать в конфиге ip routing
чтонибудь наподобии этого:
Код: Выделить всё
#sh ip int | i line protocol|Internet address
Vlan1 is administratively down, line protocol is down
Vlan2 is up, line protocol is up
Internet address is 192.168.0.129/28
Vlan3 is up, line protocol is up
Internet address is 192.168.0.145/28
Vlan5 is up, line protocol is up
Internet address is 192.168.0.97/28
Vlan6 is up, line protocol is up
Internet address is 192.168.0.113/28
Vlan8 is up, line protocol is up
Internet address is 192.168.0.225/28
Vlan10 is up, line protocol is up
Internet address is 192.168.0.193/29
Vlan96 is up, line protocol is up
Internet address is 192.168.1.109/30
Vlan100 is up, line protocol is up
Internet address is 192.168.0.40/26
Код: Выделить всё
interface GigabitEthernet0/8
switchport access vlan X
switchport mode access
Код: Выделить всё
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
Не сломалось - не чини.
-
piligrim
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2010-09-09 17:59:59
Re: с3750, vlan и межвланавая маршрутизация, помогите
единственный пока вариант как у меня заработало:
я вывел в вилан1 общую сеть с маской 255.255.0.0, затем применил для всех портов с хостами ацл листы для доступа только на сервер.
Пока работает, хотя этот вариант мне не нравится. все выше сказанное тобой я проделал, что видно из конфига. проблема встает когда все виланы сводятся в один свитч, но при этом между подсетями нет навигации. то есть на сервер из одной сети нет доступа из другой сети.
я вывел в вилан1 общую сеть с маской 255.255.0.0, затем применил для всех портов с хостами ацл листы для доступа только на сервер.
Пока работает, хотя этот вариант мне не нравится. все выше сказанное тобой я проделал, что видно из конфига. проблема встает когда все виланы сводятся в один свитч, но при этом между подсетями нет навигации. то есть на сервер из одной сети нет доступа из другой сети.
-
lap
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: с3750, vlan и межвланавая маршрутизация, помогите
а сервер и писюки знают куда надо пакетики кидать?
Не сломалось - не чини.
-
lap
- лейтенант
- Сообщения: 608
- Зарегистрирован: 2010-08-13 23:39:29
- Откуда: Moscow
- Контактная информация:
Re: с3750, vlan и межвланавая маршрутизация, помогите
пропала кнопочка править, пишу дополнительно %)
то-есть очень грубо говоря на основании моего примера, у девайсов во всех вланах дефолтом должен стоять адрес на интерфейс влане. если сервер является шлюзом в интернет например, то у него должен быть дефолтный маршрут в сторону интернета, и маршрут на сети писюков через адрес на свиче.
У свича дефолт должен быть прописан в сторону сервера. как-то так...
то-есть очень грубо говоря на основании моего примера, у девайсов во всех вланах дефолтом должен стоять адрес на интерфейс влане. если сервер является шлюзом в интернет например, то у него должен быть дефолтный маршрут в сторону интернета, и маршрут на сети писюков через адрес на свиче.
У свича дефолт должен быть прописан в сторону сервера. как-то так...
Не сломалось - не чини.
-
piligrim
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2010-09-09 17:59:59
Re: с3750, vlan и межвланавая маршрутизация, помогите
попробую сделать, сеть является замкнутой и сервак является целью любого хоста, за исключением админа. шлюзом пробовал но на орувне одного свича, при возможности проверю.
-
Leader
- проходил мимо
Re: с3750, vlan и межвланавая маршрутизация, помогите
1. интерфейсы на свичах в в соответсвующие ВЛаны компов.
2. ВЛан-интерфейсам присвоить адреса из диаппазона своих ВЛанов.
3. На каждый ВЛан-интерфейс повесить Аксес-лист (как выше) куда-кого пускать...
4. Серверу указать маршрут по-умолчания (на свич)...
2. ВЛан-интерфейсам присвоить адреса из диаппазона своих ВЛанов.
3. На каждый ВЛан-интерфейс повесить Аксес-лист (как выше) куда-кого пускать...
4. Серверу указать маршрут по-умолчания (на свич)...