drumrock Posted June 20, 2006 Posted June 20, 2006 Есть вышеуказанный свич (3Com SuperStack 3 3250). И есть три машины, подключенные к нему: порт 1) 192.168.0.1 (сервер) порт 2) 192.168.0.2 порт 3) 192.168.0.3 Задача сделать так, чтобы машины 2 и 3 видели сервер, но не могли увидеть друг друга. Вопрос: если к порту 2 приделать ACL, в котором разрешены только айпи-адреса 192.168.0.1 и 192.168.0.2, а к порту 3 ACL, которому разрешены только айпи-адреса 192.168.0.1 и 192.168.0.3 - решит ли это проблему? Не нашёл внятного описания того, действует ли ACL для айпи-адресов, которые пришли "из свича". Если не решит, то что решит? Вставить ник Quote
Korj Posted June 20, 2006 Posted June 20, 2006 acl действуют только в маршрутизации. порт 1 - vlan 10 ip 192.168.1.1 порт 2 - vlan 11 ip 192.168.2.1 порт 3 - vlan 12 ip 192.168.3.1 acl на порты 2,3 только 192.168.1.0/255.255.255.0 Вставить ник Quote
drumrock Posted June 20, 2006 Author Posted June 20, 2006 А зачем создавать VLAN из одного айпи-адреса? То есть, в этом VLAN ничего не должно быть, кроме одного этого айпи? А при таком раскладе сможет клиент на порту 2 выставить себе айпи порта один, допустим, и полезть на порт 3? Вставить ник Quote
Korj Posted June 20, 2006 Posted June 20, 2006 VLAN - по определению, изолированная подгруппа-подсеть. Нужно порт один от другого изолировать - в разные их VLAN-ы, а уж сколько на том порту будет устройств (не изолированных) - коммутатору в данном случае всё равно. В серверном VLAN - сервера, в клиентских - клиенты - одни или целыми отделами. 3com для корпоративных целей технику делает. Т.е. на предприятии будет на портах 1,3 и 4, скажем - отдел кадров (VLAN11); 2, 5, 7 - ПФО (VLAN12); 6, 8 - директор с секретарём(VLAN13); 25, 26 - серверы или uplink (VLAN10). Каждому отделу по VLAN и по IP subnet. Серверам - тоже. В каждом ip subnet/VLAN по алиасу для маршрутизации (скажем 192.168.*.254). Маска на алиасах та, что у подсети, т.е. например 255.255.255.0. Никого кто не подподает под маску коммутатор на этом интерфейсе не увидит - меняй на что хочешь. Каждый алиас виден только в одном VLAN. По умолчанию маршрутизируются все со всеми. Для того, чтоб клиенты друг друга не видели, всем клиентским портам достаточно задать правило allow 192.168.1.0/255.255.255.0 (серверная подсеть). Если юзать коммутатор в качестве эджа в метрополитэн сети, то "отдел" равен одному порту - если маршрутить эти VLAN на месте, то проблемы это не создаст - их номера могут совпадать у различных коммутаторов (да и не на месте 4096 поди забей...). ip подсеть можно делать минимальной - 255.255.255.252 или 248 - на случай, если у клиента второй компьютер сюда же будет подключен в XXII веке... :) Вставить ник Quote
drumrock Posted June 21, 2006 Author Posted June 21, 2006 А алиас в данном случае - это что? И как выставляется/назначается? Вставить ник Quote
Korj Posted June 21, 2006 Posted June 21, 2006 drumrock, Теперь это просто называется "интерфейс". "prot ip interf" в CLI(telnet). Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.