VLAN до дома / киска

[TSM]

Здравствуй, многоуважаемый All!

 

Столкнулся с некоторой проблемой.

 

Есть два свитча L2 и Cisco 4948, на L2 приходит оптика с домов и далее идет на L3 киску.

 

Что хочется сделать:

1) Каждый дом в свой влан чтобы они не мешали друг другу и если кто-то будет "озорничать" в доме например с DHCP чтобы падало только в пределах дома

2) Терминировать "домовые" вланы на киске, с учетом того что тут не L3 а L2 ( дабы не сувать каждый дом в подсеть отдельную )

3) Фильтрануть DHCP запросы таким образом, чтобы они пролетали только с/на сервер.

 

Если с №1 впринципе нет вопросов - Tag Based, кажды порт в отделный влан, аплинк порт - 802.1q trunk

то вот с №2 некоторые проблемы ... Я знаю как сделать маршрутизацию между VLAN, но вот как сделать чтобы пакеты просто коммутировались, т.е. VLAN1+VLAN2+VLAN3+VLANxx = один L2 домен ? Или может быть я вообще неверно мыслю и это делается как-то по-другому?

 

[ugluck]

гуглить по словам port protected

[TSM]

 Protected ports do not forward any traffic to protected ports on the same switch. This means that all traffic passing between protected ports—unicast, broadcast, and multicast—must be forwarded through a Layer 3 device.

 

PP не форвардит трафик на другие порты в этом же свитче, весь трафик на этом порте должен будет пройти только через L3. Я так понимаю это примерно тоже что и port isolation.

 

А мне нужно наоборот - у меня один порт с 10-ком ( допустим ) вланов, и мне какраз и надо чтобы L2 форвардился на другие вланы через фильтр.

 

т.е. прилетел пакет L2 c домовой магистрали, залетел на порт L2 свитча, промаркировался допустим VID=100 и пошел через один аплинк порт на циску, где пофильтровался на предмет DHCP и полетел на этот же аплинк порт обратно на L2 свитч, но уже с VID=200 и там вышел через другой порт в другой дом.

[chiv_allexey]

А разве фильтровать и блочить DHCP нельзя средствами того-же DES-3526? Если я ничего не перекурил то это реально =)

[ingress]

влан на дом + большая сеть на всех + ip unnumbered + proxy-arp

[TSM]

А разве фильтровать и блочить DHCP нельзя средствами того-же DES-3526? Если я ничего не перекурил то это реально =)

Можно, но свитч Ruby - выбрали из расчета что у него много SFP портов и к сожалению он не поддерживает обрезку DHCP, зато хорошо поддерживает VLAN :) Он у нас совсем-совсем L2

 

ip unnumbered + proxy-arp

Сейчас почитаю про ip unnumbered, дело в том, что я с циской пока довольно-таки "на вы" :) недавно только закупили

 

[TSM]

Я все правильно понимаю? Ip unnumbered интерфейс работает на ptp линках онли? Влан разве является ptp ?

remember that the ip unnumbered command works on point-to-point interfaces only.

[TSM]

Кажется это была оччень старая дока ... Вообщем изучаю вопрос, спасибо, ingress! Буду думать ...

[TSM]

Всеравно не понимаю как это сделать ...

 

Может быть как-то создать виртуальный интерфейс ( саб? ) типа

 

interface Loopback0.100

ip unnumbered x.x.x.x

vlan 100,200,300,400, ....

proxy-arp

 

Но разве ip unnumbered работает на лупбеке?

 

Подскажите примерчик, у кого может есть? ...

[mschedrin]

На каждый интерфейс где терминируется vlan надо прописать строчку:

ip unnumbered loopback 1 (ну или кого вам нужно)

ip proxy-arp

[ingress]

Подскажите примерчик, у кого может есть? ...

вот здесь писал подробно:

 

http://forum.nag.ru/forum/index.php?showto...20&start=20

 

обратите внимание на версию софта, под 4948 такого может не быть.

[TSM]

обратите внимание на версию софта, под 4948 такого может не быть.

№ip unnumbered loopback1

Point-to-point (non-multi-access) interfaces only

 

:(( А в каком софте есть возможность unnumbered вешать на не ptp ?

 

У меня

Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICES-M), Version 12.2(31)SG1, RELEASE SOFTWARE (fc4)

 

Можно ли вообще заливать что-то другое в нее?

[UglyAdmin]

Фичнавигатор в помощь: http://www.cisco.com/go/fn/

 

Однако для таких железок он часто врёт, лучше по релизнотам смотреть: что добавили, что пофиксили...

 

Относительно Unnumbered:

http://www.cisco.com/en/US/docs/switches/l...s/unnumber.html

[TSM]

Спасибо огромное!

Нашел вроде кучу прошивок, но в связи с этим появились вопросы:

 

1) если я прошью другую прошивку, enterprise не залочится как-нить ? Как вообще идет разделение enterprise/не enterprise? Просто тупо меняется прошивка или же там как-то в самом свитче жестко зашито что "этот будет поддерживать enterprise прошивки" ?

2) Чем отличаются SG1 от SG, SGA1-SGA4 ? Я не смог найти для них release-notes, для других букв есть, а для эти именно нет ((

3) В фичнавигаторе написано что для 4948 ( CAT-4500 ) последняя 12.2(40)-SG, а 12.4 - в него никак?

[TSM]

Скачал cat4500-entservicesk9-mz.122-46.SG.bin попробую завтра залить :) Интересно, заработает ли.

 

Был удивлен найдя Loading linux ... в прошивке .. мда, линух везде :-D

[UglyAdmin]

2) Чем отличаются SG1 от SG, SGA1-SGA4 ? Я не смог найти для них release-notes, для других букв есть, а для эти именно нет ((

Сайт циски теряет иногда разные документы, это да.

3) В фичнавигаторе написано что для 4948 ( CAT-4500 ) последняя 12.2(40)-SG, а 12.4 - в него никак?

12.4 - это для софтовых роутеров, там проще. Для всех железных - свои отдельные ветки.

Для 4948 идёт ветка 12.2SG

[TSM]

12.4 - это для софтовых роутеров, там проще. Для всех железных - свои отдельные ветки.

Для 4948 идёт ветка 12.2SG

Теперь понял. SGx - где x это типа PatchLevel. Есть еще какие-то у них там SGA я так понял что это что-то для VoIP и прочего, мне це не надо пока :) Вообще пришью - попробую решения приведенные здесь.

 

[TSM]

Обновил, все успешно стало, действительно появились unnumbered, но ...

 

Сделал порт

 

!

interface GigabitEthernet1/40

switchport access vlan 601

switchport mode access

!

interface Vlan601

ip unnumbered Loopback0

!

interface Loopback0

ip address 192.168.9.1 255.255.255.0

!

 

 

Втыкаю 192.168.9.100 в 40 порт - ничего не видать, делаю

ip route 192.168.9.100 255.255.255.255 vlan 601

 

все появляется, даже маршрутизируется ...

 

Всвязи с этим вопрос - на каждого клиента добавлять route? Не могу так (( Можно как-то прописать на все такие вланы разом ? ip route 192.168.9.0 255.255.255.0 не помогает, видимо приоритет у лупбека ...

Edited December 13, 2008 by TSM

[ingress]

при схеме с DHCP и циской в качестве релея(или сервера) маршруты сами будут создаваться

 

ME3400G#sh ip dhcp binding

IP address Client-ID/ Lease expiration Type

Hardware address

192.168.xxx.156 0100.0461.5cxx.xx Dec 14 2008 09:06 AM Automatic

2kvartal-ME3400G#sh ip route 192.168.xxx.156

Routing entry for 192.168.xxx.156/32

Known via "static", distance 1, metric 0 (connected)

Redistributing via ospf 1

Advertised by ospf 1 subnets

Routing Descriptor Blocks:

* directly connected, via Vlan312

Route metric is 0, traffic share count is 1

 

ME3400G#

Edited December 13, 2008 by ingress