Страница 1 из 1
с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-10 7:05:41
piligrim
Здравствуйте, помогите новичку.
Необходимо настроить комутатор cisco 3750,
что бы из разных виланов хосты могли обращаться к хосту "server",
и не могли бы общаться с другими хостами из других виланов.
Так же хост "admin" должен иметь доступ ко всем цискам и хостам.
Помогите с настройками циски. Предполагается что хосты из разных виланов находятся в разных подсетях. В системе несколько комутаторов cisco c3750 с гигабитными оптическими spf модулями.
Помогите, ОЧЕНЬ надо
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-10 14:06:48
lap
на IPшном интерфейсе вешать соответствующий аксес-лист, в котром прописаны все вышеизложенные правила. можно наверное соптимизировать, и нарисовать лист который пускает на сервер и к админу, а все остальное обрубает. так получится один аксеслист, который будет висеть для всех.
А кто кстати в схеме занимается марщрутизацией?
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-11 20:28:10
piligrim
Маршрутизацией занимаются свичи на примитивном уровне, хотя особой маршрутизации в этом случае не требуется учитывая что все потоки идут исключительно от хостов к серверу. На интерфейсы не получается присвоить ip, только на vlan .
Подскажите пожалуйста какого вида будут acl листы, а то я не очень в них разбираюсь.
И может все таки есть альтернативы acl листам, потому как у меня 40 машин и 7 свичей, если каждой назначать acl лист - это долго и не рационально.
Я так понимаю у меня проблема в том что бы на один gi порт позволить доступ всем существующим vlan.
И еще вопрос, есть cisco с3750-24sf c 24ю портами mtrj и 2я spf. Так вот spf порты работают как часы, а mtrj вообще не откликаются ни на что!!!!.
. Перепробовал многое что бы увидеть хотя бы как моргнет, но фиг там был. Мож кто знает?
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-14 16:39:36
lap
Если каждый влан будет терминироваться на одном вашем 3750, то дополнительно чтолибо маршрутизировать ненадо, достаточно interface vlanX c соответствующим для этого влана адресом.
Аксес лист будет один, вида
access-list 100 permit any host IP.SER.VE.RA
применять на интерфейс командой "ip access-group 100 in"
Насчет медных портов - посмотрите sh int status (есть вероятность что по <TAB> не будет дописываться), возможно они в состоянии disabled
Код: Выделить всё
#sh int status
Port Name Status Vlan Duplex Speed Type
Fa0/1 disabled 1 auto auto 10/100BaseTX
Fa0/2 connected trunk a-full a-100 10/100BaseTX
Fa0/3 connected trunk a-full a-100 10/100BaseTX
Fa0/4 connected trunk a-full a-100 10/100BaseTX
Fa0/5 disabled 30 auto auto 10/100BaseTX
Fa0/6 connected 100 a-full a-100 10/100BaseTX
Fa0/7 disabled 100 auto auto 10/100BaseTX
Fa0/8 notconnect 13 auto auto 10/100BaseTX
****
Если disabled, то на физическом порту надо сказать no shut
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-15 11:17:09
piligrim
так и не могу ничего поделать
ip switcha 10.10.1.254
с него не могу пропинговать сервак висящий на 10 порту с ip 10.10.119.9
в чем может быть проблема?
подскажите
Код: Выделить всё
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log datetime
no service password-encryption
service sequence-numbers
!
hostname SW
mls qos map cos-dscp 0 8 16 26 32 46 48 56
mls qos srr-queue input bandwidth 90 10
mls qos srr-queue input threshold 1 8 16
mls qos srr-queue input threshold 2 34 66
mls qos srr-queue input buffers 67 33
mls qos srr-queue input cos-map queue 1 threshold 2 1
mls qos srr-queue input cos-map queue 1 threshold 3 0
mls qos srr-queue input cos-map queue 2 threshold 1 2
mls qos srr-queue input cos-map queue 2 threshold 2 4 6 7
mls qos srr-queue input cos-map queue 2 threshold 3 3 5
mls qos srr-queue input dscp-map queue 1 threshold 2 9 10 11 12 13 14 15
mls qos srr-queue input dscp-map queue 1 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue input dscp-map queue 1 threshold 3 32
mls qos srr-queue input dscp-map queue 2 threshold 1 16 17 18 19 20 21 22 23
mls qos srr-queue input dscp-map queue 2 threshold 2 33 34 35 36 37 38 39 48
mls qos srr-queue input dscp-map queue 2 threshold 2 49 50 51 52 53 54 55 56
mls qos srr-queue input dscp-map queue 2 threshold 2 57 58 59 60 61 62 63
mls qos srr-queue input dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue input dscp-map queue 2 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output cos-map queue 1 threshold 3 5
mls qos srr-queue output cos-map queue 2 threshold 3 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 2 4
mls qos srr-queue output cos-map queue 4 threshold 2 1
mls qos srr-queue output cos-map queue 4 threshold 3 0
mls qos srr-queue output dscp-map queue 1 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 3 threshold 3 32 33 34 35 36 37 38 39
mls qos srr-queue output dscp-map queue 4 threshold 1 8
mls qos srr-queue output dscp-map queue 4 threshold 2 9 10 11 12 13 14 15
mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7
mls qos queue-set output 1 threshold 1 138 138 92 138
mls qos queue-set output 1 threshold 2 138 138 92 400
mls qos queue-set output 1 threshold 3 36 77 100 318
mls qos queue-set output 1 threshold 4 20 50 67 400
mls qos queue-set output 2 threshold 1 149 149 100 149
mls qos queue-set output 2 threshold 2 118 118 100 235
mls qos queue-set output 2 threshold 3 41 68 100 272
mls qos queue-set output 2 threshold 4 42 72 100 242
mls qos queue-set output 1 buffers 10 10 26 54
mls qos queue-set output 2 buffers 16 6 17 61
mls qos
!
!
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause sfp-config-mismatch
errdisable recovery cause gbic-invalid
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause storm-control
errdisable recovery cause inline-power
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
errdisable recovery interval 30
port-channel load-balance src-dst-mac
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface GigabitEthernet1/0/1
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/2
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/3
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/4
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/5
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/6
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/7
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/8
switchport mode access
switchport port-security
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
switchport port-security mac-address sticky
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/9
switchport trunk encapsulation dot1q
switchport mode access
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
macro description cisco-desktop
flowcontrol receive desired
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/10
switchport mode access
macro description cisco-desktop
spanning-tree portfast
spanning-tree bpduguard enable
!
interface GigabitEthernet1/0/11
switchport trunk encapsulation dot1q
switchport mode trunk
switchport port-security mac-address sticky
srr-queue bandwidth share 10 10 60 20
srr-queue bandwidth shape 10 0 0 0
queue-set 2
mls qos trust cos
macro description cisco-switch
auto qos voip trust
spanning-tree link-type point-to-point
!
interface GigabitEthernet1/0/12
switchport trunk encapsulation dot1q
switchport mode trunk
switchport port-security mac-address sticky
srr-queue bandwidth share 10 10 60 20
srr-queue bandwidth shape 10 0 0 0
queue-set 2
mls qos trust cos
macro description cisco-switch
auto qos voip trust
spanning-tree link-type point-to-point
!
interface Vlan1
ip address 10.10.1.254 255.255.0.0
!
ip classless
ip http server
!
!
!
control-plane
!
!
!
end
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-15 12:19:53
piligrim
в качестве альтернативного решения я серваку задавал несколько айпишников, но когда на порт разрешаешь доступ dynamic access порт переходит в состоянии ошибки и никак его оттуда не вывести, он становится оранжевым, но при этом состояние не errdisable. исправляется исключительно установкой доступа на интерфейс(порт) static access. В чем здесь может быть проблема?
Люди кто знает подскажите мне работу сдавать в понедельник=(
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-15 12:56:14
piligrim
Все мои проблемы сводятся к тому что например на 1 порту висит хост с ip 10.10.1.1, на втором хост с ip 10.10.2.1 и сервер 10.10.199.9.
как мне настроить проброс пакетов с 2й и 1й подсети в 119ую? или как их объединить в одну мего сеть для назначения им одного вилана(например vlan1), тогда можно было бы ситуацию разрулить acl листами.
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-15 15:40:25
lap
Если ты хочешь оставить разбиение на сети, то надо чтоб каждая сеть жила в своем влане. Для доступа из одной сети в другую, надо будет настроить маршрутизацию. Если непосредственно роутингом будет заниматься один девайс, то на нем создаете все необходимые interface vlanX и если необходим доступ куданибудь еще, то на свиче прописать маршрут по умолчанию в нужную сторону.
чтонибудь наподобии этого:
Код: Выделить всё
#sh ip int | i line protocol|Internet address
Vlan1 is administratively down, line protocol is down
Vlan2 is up, line protocol is up
Internet address is 192.168.0.129/28
Vlan3 is up, line protocol is up
Internet address is 192.168.0.145/28
Vlan5 is up, line protocol is up
Internet address is 192.168.0.97/28
Vlan6 is up, line protocol is up
Internet address is 192.168.0.113/28
Vlan8 is up, line protocol is up
Internet address is 192.168.0.225/28
Vlan10 is up, line protocol is up
Internet address is 192.168.0.193/29
Vlan96 is up, line protocol is up
Internet address is 192.168.1.109/30
Vlan100 is up, line protocol is up
Internet address is 192.168.0.40/26
если в порт свича включается пользователь, порт настраивать как
Код: Выделить всё
interface GigabitEthernet0/8
switchport access vlan X
switchport mode access
Если в другой свич, который умеет вланы:
Код: Выделить всё
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport mode trunk
на всякий случай еще сказать в конфиге ip routing
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-15 21:47:01
piligrim
единственный пока вариант как у меня заработало:
я вывел в вилан1 общую сеть с маской 255.255.0.0, затем применил для всех портов с хостами ацл листы для доступа только на сервер.
Пока работает, хотя этот вариант мне не нравится. все выше сказанное тобой я проделал, что видно из конфига. проблема встает когда все виланы сводятся в один свитч, но при этом между подсетями нет навигации. то есть на сервер из одной сети нет доступа из другой сети.
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-15 22:31:11
lap
а сервер и писюки знают куда надо пакетики кидать?
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-15 22:38:20
lap
пропала кнопочка править, пишу дополнительно %)
то-есть очень грубо говоря на основании моего примера, у девайсов во всех вланах дефолтом должен стоять адрес на интерфейс влане. если сервер является шлюзом в интернет например, то у него должен быть дефолтный маршрут в сторону интернета, и маршрут на сети писюков через адрес на свиче.
У свича дефолт должен быть прописан в сторону сервера. как-то так...
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-09-15 23:58:58
piligrim
попробую сделать, сеть является замкнутой и сервак является целью любого хоста, за исключением админа. шлюзом пробовал но на орувне одного свича, при возможности проверю.
Re: с3750, vlan и межвланавая маршрутизация, помогите
Добавлено: 2010-10-21 11:03:10
Leader
1. интерфейсы на свичах в в соответсвующие ВЛаны компов.
2. ВЛан-интерфейсам присвоить адреса из диаппазона своих ВЛанов.
3. На каждый ВЛан-интерфейс повесить Аксес-лист (как выше) куда-кого пускать...
4. Серверу указать маршрут по-умолчания (на свич)...