Jump to content

VLAN+ACL на 3COM 4226 + 3COM 4500

nOPTHOu
 Share

Recommended Posts

nOPTHOu

nOPTHOu

Posted
Posted (edited)

Есть сетка построенная на 4226, есть желание побить сеть на сегменты при помощи VLAN, смогу ли я настроить роутинг и ACL используя 4500?

 

А также есть ли возможность настроить фильтрацию по портам между виланами, с учетом того, что подсеть в виланах одна и та-же?

 

Заранее спасибо.

 

И еще, поставщик предлагает 3CR17561-91-ME, что значат буковки в конце?

Edited by nOPTHOu
Korj

Korj

Posted
Posted
Есть сетка построенная на 4226, есть желание побить сеть на сегменты при помощи VLAN, смогу ли я настроить роутинг и ACL используя 4500?

А также есть ли возможность настроить фильтрацию по портам между виланами, с учетом того, что подсеть в виланах одна и та-же?

 

Заранее спасибо.

 

И еще, поставщик предлагает 3CR17561-91-ME, что значат буковки в конце?

В нашей стране всё никак сертификат на него не выдадут, всё "через 2 недели", потому говорю всё на основе знакомства с практически всеми остальными моделями 3com и документацией от 4500:

Побить на сегменты и настроить роутинг однозначно сможете. Это можно было даже на 3226. То, что на сайте:

Layer 3: Hardware-based routing, static routes: 12 in addition to the default address, dynamic / static ARP entries : 1990 / 10, IP interfaces: 4, RIP, v1 and v2: 2K via default route plus 10 locally learned routes, IGMP v1 and v2 snooping, DHCP Relay: 2 KB max

я отношу на совесть китайца-вебмастера - видимо имеется в виду 4 per VLAN, как вцелом и у остальных 3com-ов. Тем более в документации на стр.78: You can configure an IP address for every VLAN interface of the Switch.

 

Второй вопрос непонятен - если IP-подсеть в VLAN-ах одна и та же, настроить Вы не сможете не фильтрацию, а маршрутизацию между VLAN-ами, соответственно связи между ними не будет вообще. Если имеется в виду фильтрация пакетов между портами одного VLAN по ip-порту, то, судя по документации, такое возможно.

nOPTHOu

nOPTHOu

Posted
  • Author
Posted
Второй вопрос непонятен - если IP-подсеть в VLAN-ах одна и та же, настроить Вы не сможете не фильтрацию, а маршрутизацию между VLAN-ами, соответственно связи между ними не будет вообще. Если имеется в виду фильтрация пакетов между портами одного VLAN по ip-порту, то, судя по документации, такое возможно.

Сейчас все порты комм. в одной сети, но хотелось бы вынести определенные порты комм. в отдельный VLAN но без смены адресации на компьютерах, и соответственно настроить доступ в этот VLAN по определенным ip-портам определенных хостов.

 

И еще вопрос. Есть какая-нить документация в печатном виде по 3COM. А то печатать самому ~400 листов что-то не особо хочется.

Korj

Korj

Posted
Posted
Сейчас все порты комм. в одной сети, но хотелось бы вынести определенные порты комм. в отдельный VLAN но без смены адресации на компьютерах, и соответственно настроить доступ в этот VLAN по определенным ip-портам определенных хостов.
Из одного VLAN в другой можно попасть только через маршрутизатор. Маршрутизировать можно только разные IP-подсети.

Судя по документации 4500 можно настроить ACL-и на конкретную группу портов не вынося их в отдельный VLAN, опять же судя по документации ACL-и могут быть вплоть до L4. Но лично я считаю такое решение совершенно неграмотным и секьюрности не добавляющим ни капли, лишь ложного чувства защищённости админу.

Далее, не вижу ни малейшей проблемы в смене IP. В грамотно настроенной сети от IP-адреса вообще ничего зависеть не должно.

И еще вопрос. Есть какая-нить документация в печатном виде по 3COM. А то печатать самому ~400 листов что-то не особо хочется.
Getting Started Guide Вам придёт в комплекте с коммутатором, на большее в наше время (при копеечных ценах) не разоряются - на компакте всё и на сайте, нужной информации там минимум, всё вполне реально прочесть с экрана.
  • 2 weeks later...
nOPTHOu

nOPTHOu

Posted
  • Author
Posted

получил, но не могу дать ума ей)))))

 

Создал 2 VLAN'a:

VLAN1:192.168.0.101/24

VLAN2:192.168.1.1/24

 

C:\WINDOWS>tracert 192.168.1.1 -d

 

Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30

 

1 <1 мс <1 мс <1 мс 192.168.0.1

2 192.168.0.101 сообщает: Заданный узел недоступен.

 

Трассировка завершена.

 

 

как настроить теперь маршрутизацию между VLAN'ами?

или я чего-то не понимаю?

Korj

Korj

Posted
Posted

Там ОС какая - 3com-овская старая или хуавэй? В 3комовской всё должно работать сразу (ну пробегитесь ещё раз по всем настройкам) - в хуавэевской - чёрт ногу сломит - не подскажу - пока только разбираюсь с этой гадостью...

nOPTHOu

nOPTHOu

Posted
  • Author
Posted (edited)

Software Version: 3.01.00s56p01

 

и что еще интересно:

 

[mainswitch]ping 192.168.1.1

PING 192.168.1.1: 56 data bytes, press CTRL_C to break

Request time out

Request time out

Request time out

Request time out

Request time out

 

--- 192.168.1.1 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss

Edited by nOPTHOu
nOPTHOu

nOPTHOu

Posted
  • Author
Posted

Вопрос снят:

 

By default, when all Ethernet ports are in DOWN status in VLAN interface, the

VLAN interface is in DOWN status and is disabled. When there is one or more

Ethernet ports in VLAN interface are in UP status, the VLAN interface is UP

nOPTHOu

nOPTHOu

Posted
  • Author
Posted

также, помогло объявление одного из портов транковым, теперь все VLAN'ы видны, даже без шнурков в портах

  • 1 year later...
artstud

artstud

Posted
Posted (edited)

А все-таки у него хватит ума прокрутить маршрутизацию между ВЛАНами внутри свитча и если да то как это сделать?

я так понял что у него на это мозгов не хватает...

и 2nOPTHOu по сообщению №9 - а откуда был взят этот абзац? в документации я этого не нашел.

 

Edited by artstud

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.