desseye Опубликовано 13 ноября, 2022 Здравствуйте, уважаемые! В связи с увеличение компьютерного парка на нашем предприятии, приобрели коммутаторы (2 и 3 уровень). На данный момент имеется UserGate, который является прокси-сервером и DNS-сервером. К нему подключены обычные хабы. В вопросах VLAN я новичок, может что посоветуете. Настроил коммутатор L3 и два коммутатора L2. Компьютеры в VLAN-ах дру друга видят. А как можно подключить компьютеры которые в VLAN к интернету и к DNS-серверу? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Urs_ak Опубликовано 13 ноября, 2022 SNR S2995G должен быть "Шлюзом по умолчанию" для компьютеров которые в VLAN 200,300,400 Для этого надо на нём настругать IP интерфейсы для каждого из этих VLAN и ещё VLAN для линка между Usergate и 2995 int vlan 200 ip addr <> И на S2995G статический маршрут "по умолчанию" создать, который говорит что все остальные сети доступны через IP UserGate ip route 0.0.0.0/0 <ip UserGate> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 13 ноября, 2022 В 13.11.2022 в 23:12, Urs_ak сказал: SNR S2995G должен быть "Шлюзом по умолчанию" для компьютеров которые в VLAN 200,300,400 Для этого надо на нём настругать IP интерфейсы для каждого из этих VLAN и ещё VLAN для линка между Usergate и 2995 int vlan 200 ip addr <> Создал интерфейсы для пару VLANов для теста, назначил адреса, на компах прописал шлюзы интерфейсов...компы пингуются между VLAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 ноября, 2022 На UserGate тоже надо будет прописать маршруты до сетей в VLAN, c ip SNR S2995G на интерфейсе между UserGate и S2995 - 6.3. Настройка статической маршрутизации | UserGate Support & Service Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 13 ноября, 2022 В 13.11.2022 в 23:12, Urs_ak сказал: И на S2995G статический маршрут "по умолчанию" создать, который говорит что все остальные сети доступны через IP UserGate ip route 0.0.0.0/0 <ip UserGate> Допустим, у S2995G ip 192.168.100.254 (vlan1) на 1 порту создаю порт доступа и связываю его с вланом на usergate? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 13 ноября, 2022 В 13.11.2022 в 23:51, jffulcrum сказал: На UserGate тоже надо будет прописать маршруты до сетей в VLAN, c ip SNR S2995G на интерфейсе между UserGate и S2995 - 6.3. Настройка статической маршрутизации | UserGate Support & Service А вот это раздел...я похоже мимо пропустил...спасибо, будем тестить... В 13.11.2022 в 23:12, Urs_ak сказал: И на S2995G статический маршрут "по умолчанию" создать, который говорит что все остальные сети доступны через IP UserGate ip route 0.0.0.0/0 <ip UserGate> а в этом случае, маршрутизация будет на L3, или уйдет в сторону UserGate? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 14 ноября, 2022 В 13.11.2022 в 23:54, desseye сказал: В 13.11.2022 в 23:12, Urs_ak сказал: И на S2995G статический маршрут "по умолчанию" создать, который говорит что все остальные сети доступны через IP UserGate ip route 0.0.0.0/0 <ip UserGate> Допустим, у S2995G ip 192.168.100.254 (vlan1) на 1 порту создаю порт доступа и связываю его с вланом на usergate? Правильно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kozubsky Vladimir Опубликовано 17 ноября, 2022 Добрый день, @desseye. Да, все верно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 17 ноября, 2022 В 17.11.2022 в 13:17, Kozubsky Vladimir сказал: Добрый день, @desseye. Да, все верно. Usergate мне нужен только для инета и ДНС. В этом случае, маршрутизация между vlan у меня будет происходить только на L3? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kozubsky Vladimir Опубликовано 17 ноября, 2022 @desseye, да. Межвлановая маршрутизация будет через L3 интерфейсы на S2995G, при условии того, что он будет являться "шлюзом по умолчанию" для этих устройств. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 20 ноября, 2022 В 14.11.2022 в 00:05, desseye сказал: В 13.11.2022 в 23:51, jffulcrum сказал: На UserGate тоже надо будет прописать маршруты до сетей в VLAN, c ip SNR S2995G на интерфейсе между UserGate и S2995 - 6.3. Настройка статической маршрутизации | UserGate Support & Service Если идти по этому пути, как дать ip коммутатору L3. Например, у меня vlan1 на L3 ip - 192.168.253.101, получается делаю связку через этот ip? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kozubsky Vladimir Опубликовано 21 ноября, 2022 Добрый день, @desseye. Вам нужно использовать IP на интерфейсе, который будет между UserGate и S2995 , если это VLAN1 - то верно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 28 ноября, 2022 Добрый вечер! Никак не могу понять в чем проблема.... Решил сделать связку L3 c UserGate, на L3 создал access-соединение VLAN77 (ip-192.168.77.1), а у UG на свободном порту дал ip-192.168.77.1. Связку делал по совету jffulcrum На UG настроил правила и NAT, но компьютеры с VLAN не видят ни инет, ни компов которые за UG. А те компы которые за UG, не видят компов во VLAN Может кто-то увидит ошибку L2: SNR-S2982G-8T#sh run ! no service password-encryption ! hostname SNR-S2982G-8T sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! ! ! ssh-server enable ! ! ! ! ! ! ! ! ! ! ! vlan 1 ! vlan 250 name Video ! Interface Ethernet1/0/1 switchport access vlan 250 ! Interface Ethernet1/0/2 ! Interface Ethernet1/0/3 ! Interface Ethernet1/0/4 ! Interface Ethernet1/0/5 ! Interface Ethernet1/0/6 ! Interface Ethernet1/0/7 switchport mode trunk switchport trunk allowed vlan 250 ! Interface Ethernet1/0/8 ! Interface Ethernet1/0/9 ! Interface Ethernet1/0/10 ! interface Vlan1 ip address 192.168.253.21 255.255.255.0 ! ! no login ! captive-portal ! end L3: SNR-S2995G-48FX#sh run !! switch convert mode stand-alone !! ! no service password-encryption ! hostname SNR-S2995G-48FX sysLocation Building 57/2,Predelnaya st, Ekaterinburg, Russia sysContact support@nag.ru ! authentication logging enable ! username admin privilege 15 password 0 admin ! authentication line console login local ! ! ! ! ! ssh-server enable ! info-center source debug level 8 prefix on channel 0 info-center source debug level 8 prefix on channel 1 ! ! ! ! ! Interface Ethernet0 ! ! ! vlan 1 ! vlan 77 name Inet-DNS ! vlan 250 name Video ! Interface Ethernet1/0/1 ! Interface Ethernet1/0/2 ! Interface Ethernet1/0/3 ! Interface Ethernet1/0/4 ! Interface Ethernet1/0/5 ! Interface Ethernet1/0/6 switchport mode trunk switchport trunk allowed vlan 250 ! Interface Ethernet1/0/7 ! Interface Ethernet1/0/8 ! Interface Ethernet1/0/9 ! Interface Ethernet1/0/10 ! Interface Ethernet1/0/11 ! Interface Ethernet1/0/12 ! Interface Ethernet1/0/13 switchport access vlan 77 ! Interface Ethernet1/0/14 ! Interface Ethernet1/0/15 ! Interface Ethernet1/0/16 ! Interface Ethernet1/0/17 ! Interface Ethernet1/0/18 ! Interface Ethernet1/0/19 ! Interface Ethernet1/0/20 ! Interface Ethernet1/0/21 ! Interface Ethernet1/0/22 ! Interface Ethernet1/0/23 ! Interface Ethernet1/0/24 ! Interface Ethernet1/0/25 ! Interface Ethernet1/0/26 ! Interface Ethernet1/0/27 ! Interface Ethernet1/0/28 ! Interface Ethernet1/0/29 ! Interface Ethernet1/0/30 ! Interface Ethernet1/0/31 ! Interface Ethernet1/0/32 ! Interface Ethernet1/0/33 ! Interface Ethernet1/0/34 ! Interface Ethernet1/0/35 ! Interface Ethernet1/0/36 ! Interface Ethernet1/0/37 ! Interface Ethernet1/0/38 ! Interface Ethernet1/0/39 ! Interface Ethernet1/0/40 ! Interface Ethernet1/0/41 ! Interface Ethernet1/0/42 ! Interface Ethernet1/0/43 ! Interface Ethernet1/0/44 ! Interface Ethernet1/0/45 ! Interface Ethernet1/0/46 ! Interface Ethernet1/0/47 ! Interface Ethernet1/0/48 ! Interface Ethernet1/0/49 ! Interface Ethernet1/0/50 ! Interface Ethernet1/0/51 ! Interface Ethernet1/0/52 ! interface Vlan1 ip address 192.168.253.101 255.255.255.0 ! interface Vlan77 ip address 192.168.77.1 255.255.255.0 ! interface Vlan250 ip address 192.168.250.1 255.255.255.0 ! ip route 0.0.0.0/0 192.168.77.2 ! ! no login ! captive-portal ! end Роутинг на L3: SNR-S2995G-48FX#sh ip route Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default Gateway of last resort is 192.168.77.2 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 192.168.77.2, Vlan77 tag:0 C 127.0.0.0/8 is directly connected, Loopback tag:0 C 192.168.77.0/24 is directly connected, Vlan77 tag:0 C 192.168.250.0/24 is directly connected, Vlan250 tag:0 C 192.168.253.0/24 is directly connected, Vlan1 tag:0 Total routes are : 5 item(s) Роутинг на UG: Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP, T - Table, v - VNC, V - VNC-Direct, A - Babel, F - PBR, f - OpenFabric, > - selected route, * - FIB route, q - queued, r - rejected, b - backup t - trapped, o - offload failure VRF default: K>* 0.0.0.0/0 [0/0] via 192.168.1.1, port2, 02w1d23h K>* 192.168.0.0/24 [0/0] via 192.168.77.1, port3, 00:17:02 C>* 192.168.1.0/24 is directly connected, port2, 02w1d23h C>* 192.168.77.0/24 is directly connected, port3, 00:17:02 C>* 192.168.100.0/24 is directly connected, port0, 02w1d02h C>* 192.168.101.0/24 is directly connected, port1, 01w0d04h Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 29 ноября, 2022 ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 29 ноября, 2022 ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kozubsky Vladimir Опубликовано 30 ноября, 2022 Добрый день, @desseye.Давайте привиду пример межвлановой маршрутизации: Vlan 1 (SVI - 192.168.50.99 255.255.255.0), port 1 Vlan 6 (SVI 192.168.1.10 255.255.255.0), port 2 Подключаете в порт e1/0/1 тестовый ПК1, в порт e1/0/2 второй тестовый ПК2. Проверяете, что L3-интрефейсы Vlan1 и Vlan6 в состоянии up - 'sh ip int br'. На тестовом ПК1 прописываете IP-адрес 192.168.1.2/24 и шлюз 192.168.1.10. Запускаете пинг с ПК1 до 192.168.50.99 - все успешно работает. Конкретно в вашем случае, я вижу, что на UG у вас есть маршрут 192.168.0.0/24 [0/0] via 192.168.77.1, port3, 00:17:02, при этом таких подсетей я не вижу, возможно тут вы имели в виду подсеть 192.168.0.0/16? Например, устройства находятся в подсети 192.168.100.0/24, они не знают как добраться до ПК за 2995, а также не подходят под критерий другого статического маршрута, поэтому пакет будет отправлен на маршрут по умолчанию, в вашем случае это 0.0.0.0/0 [0/0] via 192.168.1.1, port2. В следствие чего устройства и не видят друг друга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 30 ноября, 2022 В 30.11.2022 в 10:56, Kozubsky Vladimir сказал: Добрый день, @desseye.Давайте привиду пример межвлановой маршрутизации: Vlan 1 (SVI - 192.168.50.99 255.255.255.0), port 1 Vlan 6 (SVI 192.168.1.10 255.255.255.0), port 2 Подключаете в порт e1/0/1 тестовый ПК1, в порт e1/0/2 второй тестовый ПК2. Проверяете, что L3-интрефейсы Vlan1 и Vlan6 в состоянии up - 'sh ip int br'. На тестовом ПК1 прописываете IP-адрес 192.168.1.2/24 и шлюз 192.168.1.10. Запускаете пинг с ПК1 до 192.168.50.99 - все успешно работает. Конкретно в вашем случае, я вижу, что на UG у вас есть маршрут 192.168.0.0/24 [0/0] via 192.168.77.1, port3, 00:17:02, при этом таких подсетей я не вижу, возможно тут вы имели в виду подсеть 192.168.0.0/16? Например, устройства находятся в подсети 192.168.100.0/24, они не знают как добраться до ПК за 2995, а также не подходят под критерий другого статического маршрута, поэтому пакет будет отправлен на маршрут по умолчанию, в вашем случае это 0.0.0.0/0 [0/0] via 192.168.1.1, port2. В следствие чего устройства и не видят друг друга. День добрый, пользователи которые напрямую подключены в UG находятся в 101 подсети.... Они не видят компов VLAN250... Если с компа 192.168.101.5 делаю трассировку на 192.168.250.6 он меня отправляет сначала на 192.168.101.2, потом на 192.168.1.1 и далее в инет даже пинг до VLAN250 (192.168.250.1) не идет до 192.168.77.1 пинг есть, а дальше нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 30 ноября, 2022 В 28.11.2022 в 20:47, desseye сказал: Роутинг на L3: SNR-S2995G-48FX#sh ip route Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default Gateway of last resort is 192.168.77.2 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 192.168.77.2, Vlan77 tag:0 C 127.0.0.0/8 is directly connected, Loopback tag:0 C 192.168.77.0/24 is directly connected, Vlan77 tag:0 C 192.168.250.0/24 is directly connected, Vlan250 tag:0 C 192.168.253.0/24 is directly connected, Vlan1 tag:0 Total routes are : 5 item Ну и где здесь сеть 192.168.101.0? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 30 ноября, 2022 получается для 101 подсети нужно создать vlan на L3? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 30 ноября, 2022 На UG есть правила, разрешающие хождение трафика между 192.168.101.0 и 192.168.77.0 и 250.0? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 30 ноября, 2022 В 30.11.2022 в 12:37, jffulcrum сказал: На UG есть правила, разрешающие хождение трафика между 192.168.101.0 и 192.168.77.0 и 250.0? Конечно есть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 30 ноября, 2022 не могу понять в чем дело.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 30 ноября, 2022 В 28.11.2022 в 20:47, desseye сказал: Роутинг на UG: Где там маршрут на 192.168.250.0/24 ??? Вот оно и летит в дефолт... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 30 ноября, 2022 получается надо на L3 создать vlan 192.168.101....? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desseye Опубликовано 30 ноября, 2022 (изменено) да уж..... Изменено 30 ноября, 2022 пользователем desseye Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
