forum.lissyara.su

Добавлено: **2009-03-07 22:14:30**

добрый день....что-то не нашлась моя старая учётка..и пришлось региться по новой. хм...

вопросец появился по поводу Вланов.

фря 7.1
на компе 3 сетевухи
1 - инет
2 - сегмент клиентов (сеть нарублена масками на вланы) и на этот интерфейс записано много шлюзов этих вланов.
3 - сегмент самой компании

собственно вопрос такой, как запретить ходить пользователям из одного влана на другой ?...а то они через шлюз могут лезть указав нужный IP из другого влана.

часть rc.conf

Код: Выделить всё

defaultrouter="xx.xxx.xx.xxx"
ifconfig_xl0="inet xx.xxx.xx.xxx  netmask 255.255.255.240"
ifconfig_xl1="inet 192.168.2.1  netmask 255.255.255.0"
ifconfig_xl2="inet 192.168.10.1  netmask 255.255.255.240"
ifconfig_xl2_alias0="inet 192.168.10.17 netmask 255.255.255.240"
ifconfig_xl2_alias1="inet 192.168.10.33  netmask 255.255.255.240"
и так далее...
i

Добавлено: **2009-03-07 22:28:47**

а что в качестве свичей стоит ?
кто вланы для пользователей разгребает?
скорее всего там нужно смотеть что можно сделать

Добавлено: **2009-03-07 22:49:44**

paradox писал(а):а что в качестве свичей стоит ?
кто вланы для пользователей разгребает?
скорее всего там нужно смотеть что можно сделать

свичи обычные неуправляемые...гигабитные длинки.

Добавлено: **2009-03-07 22:58:06**

что то мало вериться что свитчи умеющие vlan - не упраляемые.....

Добавлено: **2009-03-07 23:00:43**

penni писал(а):собственно вопрос такой, как запретить ходить пользователям из одного влана на другой ?...а то они через шлюз могут лезть указав нужный IP из другого влана.

А где собственно у Тебя VLAN'ы ?

Открой на FireWall'е доступ на необходимые адреса, если такие есть, а на все остальные локальные сети закрой.

Добавлено: **2009-03-07 23:02:42**

я уже боюсь дальнейших вопросов..

а разве нельзя сделать так, чтобы каждый влан приходя на сетевуху шёл на инетовский интерфейс и обратно..и не гулял на другие вланы при желании?

может я не явно указал как и что..

есть 2 лиента в одной физической сети...
я разрубил маской для них 2 влана

тоесть шлюз в этой сети 192.168.10.17 netmask 255.255.255.240
ip клиентов 18,19,20 и далее

и второй шлюз (сетевуха физически на все шлюзы одна) 192.168.10.33 netmask 255.255.255.240
и ip клиентов 34,35,36....

так вот если из первой сети можно пинговать и лезть на компы второй сети...через комп с шлюзами...

если бы небыло шлюзов, я так понимаю, что они бы друг друга не видели, даже находясь физически в одной сети

так что...выходит то что я нарубил маской не называется вланом? ))

Добавлено: **2009-03-07 23:03:49**

penni писал(а):свичи обычные неуправляемые...гигабитные длинки.

Не путаешь VLAN'ы и ALIAS'ы ?

Добавлено: **2009-03-07 23:05:39**

Прикольные у вас VLAN'ы...

По сути, при такой устройстве сети

Код: Выделить всё

ifconfig_xl2="inet 192.168.10.1  netmask 255.255.255.240"255.255.255.
ifconfig_xl2_alias0="inet 192.168.10.17 netmask 255.255.255.240"
ifconfig_xl2_alias1="inet 192.168.10.33  netmask 255.255.255.240"

Клиентам для того чтобы "ходить в чужой влан" надо только поменять у себя в настройках TCP/IP маску на 255.255.255.0 или взять себе IP из "соседнего влана".

То что вы называете вланами кажется правильно называется мультисети (несколько независимых IP субнетов в единой области широковещания). Фигня это а не вланы.
Если есть желание ограничить чтобы через рутер из сети 192.168.10.17 не могли попасть в сеть 192.168.10.33 то на фаерволе можно прописать что-то типа

Код: Выделить всё

ipfw add deny all from 192.168.10.16/28 to 192.168.10.33/28
ipfw add deny all from 192.168.10.33/28 to 192.168.10.16/28

Добавлено: **2009-03-07 23:07:05**

тфьу!
я думал у вас реально vlan
а там токо маски

Добавлено: **2009-03-07 23:14:26**

дело понятное что надо циски закупать...а пока я хоть так)

всем спасибо за участие

Добавлено: **2009-03-07 23:16:22**

а причем тут циски
vlan умеют и простые железки
смотреть надо
что у вас есть из того что можно купить

Добавлено: **2009-03-07 23:16:44**

VLANы есть не только в цысках - в любом полу-умном(полу-безумном) китайском d-link они уже есть. Вы мануал почитайте - может и в вашем тоже есть?

Добавлено: **2009-03-08 21:04:16**

сделайте тегированные вланы и не взрывайте мозг.

Добавлено: **2009-03-09 14:49:59**

zingel писал(а):сделайте тегированные вланы и не взрывайте мозг.

что значит тегированные ?

Добавлено: **2009-03-09 15:06:18**

Алекс писал(а):что значит тегированные ?

zingel имеет в виду правильные вланы 802.1q

Добавлено: **2009-03-09 15:28:30**

http://en.wikipedia.org/wiki/VLAN

Добавлено: **2009-03-09 21:57:00**

Простите, а как вы сетью рулите, если VLAN и VLSM путаете? нельзя так юзеров делить! а vlan та же фря делать умеет: если просто, то ifconfig eth0.111 create и создать подинтерфейс в 111 влане? как циска. тока 802.1q должны и свитчи понимать. транк порт - в магистраль - акцесс к юзеру. А через шлюз и должно все ходить, если нет людям давать, а иначе как они общацца будут. Тока с виланом траф через билл подет.

Добавлено: **2009-03-09 23:16:49**

eth0.111 - это линупс

Код: Выделить всё

vconfig add eth0 111

Добавлено: **2009-03-10 12:08:41**

eth0 - для прмера, хоть rl0.X в 7 и 6 ветках работает именно как я писал выше. Все через ifconfig, так что не надо.

Добавлено: **2009-03-10 12:22:14**

Код: Выделить всё

>sudo ifconfig em1.111
em1.111: flags=8842<BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether 00:1b:fc:09:99:0e
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        vlan: 111 parent interface: em1

а я всё с vlanX мучаюсь

forum.lissyara.su

Vlan

Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan

Re: Vlan