Roman Ivanov Posted February 17, 2005 Posted February 17, 2005 С учетом роста популярности данных моделей, этот тред для них. В ЭТОМ, ПЕРВОМ посту будет краткое info и FAQ по ним. Цели треда - вопросы настройки. Тут же в планах сделать test IGMP snooping и сравнить результаты. NAG, если возможно - дай права на редактирование данного топика. Флейм стирать. IMHO - полезный topic будет в результате. #### Info. Рассматривать 2950 имеет смысл как два разных свитча - с прошивкой "Стандарт" SI и "Расширенная" EI. По ЖЕЛЕЗНЫМ (количество RAM/flash) причинам SI НЕЛЬЗЯ поменять на EI. Свитчи 2950-12,2950-24 (только 10/100TX порты) 2950SX-48, 2950SX-24 (10/100TX порты+встроенный SX Gigiabit x2) 2950T-48 (10/100TX порты+встроенный 1000T x2) Имеют прошивку SI. 2950T-24 (10/100TX порты+1000Tx2) и все 2950G-XX (10/100TX порты+GBIC x2) имеют прошивку EI. Особенно внимательно с 2950T: 24 порта версия - EI 48 портов версия -SI Все обсуждения фич имеют смысл ТОЛЬКО при указании прошивки (SI/EI). ### поддержка tagged VLAN: SI: номера до 1000, 64 VLAN на одном свитче EI: номера до 4096, 250 VLAN на одном свитче При использовании VTP вместе с VLAN, помните, что он не работает с номерами более 1000 (EI) ### поддержка фич DHCP: SI и EI умеют: 1) блокировать dhcp в определенном направлении (dhcp snooping). Это дает возможность оградить сеть от dhcpd сервера на клиентской машине. 2) Option 82 insert. Мало востребованная (а зря) фича. При использовании ISC dhcpd v.3.x позволяет выдавать IP на основе MAC адреса СВИТЧА и номера порта, откуда идет запрос. FAQ * Я сделал правило (acl) на запрет всех source IP кроме клиентского, но dhcp для него перестал работать. + Для корректной работы dhcp дайте доступ для src host ip 0.0.0.0. Вставить ник Quote
Дятел Posted February 17, 2005 Posted February 17, 2005 Сразу вопрос, который я задавал в другом флейме, а ответа не последовало. Я знаю, что Roman Ivanov не использует данную технологию, но тем не менее.... Подскажите кол-во VLAN, с которым могут работать эти железяки. В 3550 есть в характеристиках - 1000, а тут - не нашёл. ((( Вставить ник Quote
Roman Ivanov Posted February 17, 2005 Author Posted February 17, 2005 Я знаю, что Roman Ivanov не использует данную технологию, но тем не менее....Подскажите кол-во VLAN, с которым могут работать эти железяки. В 3550 есть в характеристиках - 1000, а тут - не нашёл. ((( VLAN ? использую. http://www.cisco.com/en/US/products/hw/swi...00800b3089.html http://www.cisco.com/en/US/products/hw/swi...00802c305f.html В SI - номера VLAN до 1000 количество - 64 В EI - номера VLAN до 4096 количество - 250 Если есть VTP, то: VTP only learns normal-range VLANs, with VLAN IDs 1 to 1005; VLAN IDs greater than 1005 are extended-range VLANs and are not stored in the VLAN database. The switch must be in VTP transparent mode when you create VLAN IDs from 1006 to 4094. Вставить ник Quote
Дятел Posted February 17, 2005 Posted February 17, 2005 я правильно понял, что EI может работать с 250 и ЛЮБОЕ кол-во с id>1005 прозрачно пропускать? Вставить ник Quote
Roman Ivanov Posted February 17, 2005 Author Posted February 17, 2005 я правильно понял, что EI может работать с 250 и ЛЮБОЕ кол-во с id>1005 прозрачно пропускать? не совсем. id>1005 проблемно только для VTP. Он может работать с 250 VLAN и номером до 4095 без VTP (EI). VTP не так безопесн, лично я его не использую. Вставить ник Quote
Дятел Posted February 17, 2005 Posted February 17, 2005 запутался нафик. Пойдем от задачи. Сеть в линию: узелА-----------------------узелВ---------------------------------узелС-----------узелД |_____________________|_________________________|____________| 3550_________________???_______________________???_________3550 |_____________________|_________________________|____________| users________________users_____________________users________users VLAN-метки снимаются в двух крайних узлах. Какие свичи ставить в узлах В и С, если кол-во VLAN в каждом из них больше 150? 2950 если да, то в какой конфигурации? GVRP у циски поддерживается только на очень старших моделях...почему-то... Вставить ник Quote
Roman Ivanov Posted February 17, 2005 Author Posted February 17, 2005 запутался нафик. Пойдем от задачи.Сеть в линию: узелА-----------------------узелВ---------------------------------узелС-----------узелД |_____________________|_________________________|____________| 3550_________________???_______________________???_________3550 |_____________________|_________________________|____________| users________________users_____________________users________users VLAN-метки снимаются в двух крайних узлах. Какие свичи ставить в узлах В и С, если кол-во VLAN в каждом из них больше 150? 2950 если да, то в какой конфигурации? GVRP у циски поддерживается только на очень старших моделях...почему-то... Более 150... Тут или напрямую 3550 соеденить + VLAN routing + в центре разрезать - самое то. А 2950 на 150x2 = 300 VLAN - никак. Вставить ник Quote
sirmax Posted February 17, 2005 Posted February 17, 2005 Я сделал правило (acl) на запрет всех source IP кроме клиентского, но dhcp для него перестал работать. acl для fa0/XX работают только для EI? Вставить ник Quote
Helios Posted February 17, 2005 Posted February 17, 2005 А какой самый лучший и стабильный EI для 2950? Скачал вот ослом: C2950-I6q4l2-Tar 121-20 Ea1a.tar 6174720 c2950-i6q4l2-tar.121-22.EA1.tar 6553600 Вставить ник Quote
Roman Ivanov Posted February 17, 2005 Author Posted February 17, 2005 А какой самый лучший и стабильный EI для 2950? У меня IOS C2950 Software (C2950-I6Q4L2-M), Version 12.1(22)EA1, RELEASE SOFTWARE (fc1) Полет - стабильный. Вставить ник Quote
f13 Posted February 17, 2005 Posted February 17, 2005 VTP не так безопесн, лично я его не использую. в чем не безопасен? Вставить ник Quote
Guest Posted February 17, 2005 Posted February 17, 2005 f13, если клиенты не сидят в первом влане, то от них для VTP опасности никакой. Но вот воткнув в работающий VTP-домен новый коммутатор, можно умудрится пофигачить все имеющиеся вланы. Да и ручкопрописывание как правило дает более предсказуемый результат, если у вас немного свитчей. Вставить ник Quote
Roman Ivanov Posted February 17, 2005 Author Posted February 17, 2005 VTP не так безопесн, лично я его не использую. в чем не безопасен? Все что авто - небезопасно. Банально - злоумышленник получил доступ к одному из свитчей с включенным VTP, VLAN1. Пол-сети может положить ;) Вставить ник Quote
ivan77 Posted March 24, 2005 Posted March 24, 2005 А как, собственно, вынести административный трафик из VLAN 1? Ведь вроде IP назначается интерфейсу VLAN 1, а не какому-нибудь SС0… А можно вообще отключить VLAN 1? (вроде CISCO хотела сделать такую фичу) Вставить ник Quote
Roman Ivanov Posted March 24, 2005 Author Posted March 24, 2005 А как, собственно, вынести административный трафик из VLAN 1? Ведь вроде IP назначается интерфейсу VLAN 1, а не какому-нибудь SС0… А можно вообще отключить VLAN 1? (вроде CISCO хотела сделать такую фичу) Поменять managment VLAN с первого на другой не сложно. Тогда IP в VLAN1 НЕ БУДЕТ. Вот отключить первый - все равно нельзя. Вставить ник Quote
Технократ Posted March 24, 2005 Posted March 24, 2005 Вот разъясните мне, пробросит ли каталист транзитом через 2 транка фрейм с vlan, который в нем не заведен. VTP ест-но disable. Вставить ник Quote
Дятел Posted March 24, 2005 Posted March 24, 2005 Option 82 insert. Мало востребованная (а зря) фича. При использовании ISC dhcpd v.3.x позволяет выдавать IP на основе MAC адреса СВИТЧА и номера порта, откуда идет запрос. А встроенный в циски DHCP-сервер для этих целей не подходит? Судя по описанию, начиная с 12.3 должно работать...но у меня не работает.. ((( Вставить ник Quote
f13 Posted March 25, 2005 Posted March 25, 2005 Вот разъясните мне, пробросит ли каталист транзитом через 2 транка фрейм с vlan, который в нем не заведен. VTP ест-но disable. yes Вставить ник Quote
f13 Posted March 25, 2005 Posted March 25, 2005 А как, собственно, вынести административный трафик из VLAN 1? Ведь вроде IP назначается интерфейсу VLAN 1, а не какому-нибудь SС0… А можно вообще отключить VLAN 1? (вроде CISCO хотела сделать такую фичу) Поменять managment VLAN с первого на другой не сложно. Тогда IP в VLAN1 НЕ БУДЕТ. Вот отключить первый - все равно нельзя. подымай ip на int vlan N, где N будет номером адм. влан Вставить ник Quote
f13 Posted March 25, 2005 Posted March 25, 2005 может мне кто поможет :) 1. как отключит stp на клиентах? 2. кто нибудь пробовал private vlan? Вставить ник Quote
Guest Posted March 25, 2005 Posted March 25, 2005 f13, два вариванта: 1. отключить stp на всем вилане, в котором сидят юзеры 2. поставить bpdufilter на клиентских портах Вставить ник Quote
Guest Posted March 25, 2005 Posted March 25, 2005 f13, режет bpdu на портах в обе стороны. Вставить ник Quote
Технократ Posted March 25, 2005 Posted March 25, 2005 Nailеr, а смысл bpduguard какой? Насколько я помню установка bpdu guard вызовет down (или иное настраиваемое событие), если порт получит in BPDU. Своего рода защита. Вот разъясните мне, пробросит ли каталист транзитом через 2 транка фрейм с vlan, который в нем не заведен. VTP ест-но disable. yes Получается, что если у меня на каждом каталисте в цепочке будет меньше 64 Vlan, то общее количество поддерживаемых Vlan будет 64 * число каталистов 2950. Правда как с pruning быть? Вставить ник Quote
Roman Ivanov Posted March 25, 2005 Author Posted March 25, 2005 > 2. кто нибудь пробовал private vlan? Точнее Port protected. Да, работает. private vlan - это уже c4500 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.