TSM Опубликовано 10 декабря, 2008 · Жалоба Здравствуй, многоуважаемый All! Столкнулся с некоторой проблемой. Есть два свитча L2 и Cisco 4948, на L2 приходит оптика с домов и далее идет на L3 киску. Что хочется сделать: 1) Каждый дом в свой влан чтобы они не мешали друг другу и если кто-то будет "озорничать" в доме например с DHCP чтобы падало только в пределах дома 2) Терминировать "домовые" вланы на киске, с учетом того что тут не L3 а L2 ( дабы не сувать каждый дом в подсеть отдельную ) 3) Фильтрануть DHCP запросы таким образом, чтобы они пролетали только с/на сервер. Если с №1 впринципе нет вопросов - Tag Based, кажды порт в отделный влан, аплинк порт - 802.1q trunk то вот с №2 некоторые проблемы ... Я знаю как сделать маршрутизацию между VLAN, но вот как сделать чтобы пакеты просто коммутировались, т.е. VLAN1+VLAN2+VLAN3+VLANxx = один L2 домен ? Или может быть я вообще неверно мыслю и это делается как-то по-другому? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 10 декабря, 2008 · Жалоба гуглить по словам port protected Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 10 декабря, 2008 · Жалоба Protected ports do not forward any traffic to protected ports on the same switch. This means that all traffic passing between protected ports—unicast, broadcast, and multicast—must be forwarded through a Layer 3 device. PP не форвардит трафик на другие порты в этом же свитче, весь трафик на этом порте должен будет пройти только через L3. Я так понимаю это примерно тоже что и port isolation. А мне нужно наоборот - у меня один порт с 10-ком ( допустим ) вланов, и мне какраз и надо чтобы L2 форвардился на другие вланы через фильтр. т.е. прилетел пакет L2 c домовой магистрали, залетел на порт L2 свитча, промаркировался допустим VID=100 и пошел через один аплинк порт на циску, где пофильтровался на предмет DHCP и полетел на этот же аплинк порт обратно на L2 свитч, но уже с VID=200 и там вышел через другой порт в другой дом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chiv_allexey Опубликовано 10 декабря, 2008 · Жалоба А разве фильтровать и блочить DHCP нельзя средствами того-же DES-3526? Если я ничего не перекурил то это реально =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 10 декабря, 2008 · Жалоба влан на дом + большая сеть на всех + ip unnumbered + proxy-arp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 10 декабря, 2008 · Жалоба А разве фильтровать и блочить DHCP нельзя средствами того-же DES-3526? Если я ничего не перекурил то это реально =) Можно, но свитч Ruby - выбрали из расчета что у него много SFP портов и к сожалению он не поддерживает обрезку DHCP, зато хорошо поддерживает VLAN :) Он у нас совсем-совсем L2 ip unnumbered + proxy-arpСейчас почитаю про ip unnumbered, дело в том, что я с циской пока довольно-таки "на вы" :) недавно только закупили Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 10 декабря, 2008 · Жалоба Я все правильно понимаю? Ip unnumbered интерфейс работает на ptp линках онли? Влан разве является ptp ? remember that the ip unnumbered command works on point-to-point interfaces only. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 10 декабря, 2008 · Жалоба Кажется это была оччень старая дока ... Вообщем изучаю вопрос, спасибо, ingress! Буду думать ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 11 декабря, 2008 · Жалоба Всеравно не понимаю как это сделать ... Может быть как-то создать виртуальный интерфейс ( саб? ) типа interface Loopback0.100 ip unnumbered x.x.x.x vlan 100,200,300,400, .... proxy-arp Но разве ip unnumbered работает на лупбеке? Подскажите примерчик, у кого может есть? ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 11 декабря, 2008 · Жалоба На каждый интерфейс где терминируется vlan надо прописать строчку: ip unnumbered loopback 1 (ну или кого вам нужно) ip proxy-arp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 11 декабря, 2008 · Жалоба Подскажите примерчик, у кого может есть? ... вот здесь писал подробно: http://forum.nag.ru/forum/index.php?showto...20&start=20 обратите внимание на версию софта, под 4948 такого может не быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 11 декабря, 2008 · Жалоба обратите внимание на версию софта, под 4948 такого может не быть. №ip unnumbered loopback1 Point-to-point (non-multi-access) interfaces only :(( А в каком софте есть возможность unnumbered вешать на не ptp ? У меня Cisco IOS Software, Catalyst 4500 L3 Switch Software (cat4500-ENTSERVICES-M), Version 12.2(31)SG1, RELEASE SOFTWARE (fc4) Можно ли вообще заливать что-то другое в нее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 11 декабря, 2008 · Жалоба Фичнавигатор в помощь: http://www.cisco.com/go/fn/ Однако для таких железок он часто врёт, лучше по релизнотам смотреть: что добавили, что пофиксили... Относительно Unnumbered: http://www.cisco.com/en/US/docs/switches/l...s/unnumber.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 12 декабря, 2008 · Жалоба Спасибо огромное! Нашел вроде кучу прошивок, но в связи с этим появились вопросы: 1) если я прошью другую прошивку, enterprise не залочится как-нить ? Как вообще идет разделение enterprise/не enterprise? Просто тупо меняется прошивка или же там как-то в самом свитче жестко зашито что "этот будет поддерживать enterprise прошивки" ? 2) Чем отличаются SG1 от SG, SGA1-SGA4 ? Я не смог найти для них release-notes, для других букв есть, а для эти именно нет (( 3) В фичнавигаторе написано что для 4948 ( CAT-4500 ) последняя 12.2(40)-SG, а 12.4 - в него никак? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 12 декабря, 2008 · Жалоба Скачал cat4500-entservicesk9-mz.122-46.SG.bin попробую завтра залить :) Интересно, заработает ли. Был удивлен найдя Loading linux ... в прошивке .. мда, линух везде :-D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 12 декабря, 2008 · Жалоба 2) Чем отличаются SG1 от SG, SGA1-SGA4 ? Я не смог найти для них release-notes, для других букв есть, а для эти именно нет ((Сайт циски теряет иногда разные документы, это да.3) В фичнавигаторе написано что для 4948 ( CAT-4500 ) последняя 12.2(40)-SG, а 12.4 - в него никак?12.4 - это для софтовых роутеров, там проще. Для всех железных - свои отдельные ветки.Для 4948 идёт ветка 12.2SG Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 12 декабря, 2008 · Жалоба 12.4 - это для софтовых роутеров, там проще. Для всех железных - свои отдельные ветки.Для 4948 идёт ветка 12.2SG Теперь понял. SGx - где x это типа PatchLevel. Есть еще какие-то у них там SGA я так понял что это что-то для VoIP и прочего, мне це не надо пока :) Вообще пришью - попробую решения приведенные здесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TSM Опубликовано 13 декабря, 2008 (изменено) · Жалоба Обновил, все успешно стало, действительно появились unnumbered, но ... Сделал порт ! interface GigabitEthernet1/40 switchport access vlan 601 switchport mode access ! interface Vlan601 ip unnumbered Loopback0 ! interface Loopback0 ip address 192.168.9.1 255.255.255.0 ! Втыкаю 192.168.9.100 в 40 порт - ничего не видать, делаю ip route 192.168.9.100 255.255.255.255 vlan 601 все появляется, даже маршрутизируется ... Всвязи с этим вопрос - на каждого клиента добавлять route? Не могу так (( Можно как-то прописать на все такие вланы разом ? ip route 192.168.9.0 255.255.255.0 не помогает, видимо приоритет у лупбека ... Изменено 13 декабря, 2008 пользователем TSM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 13 декабря, 2008 (изменено) · Жалоба при схеме с DHCP и циской в качестве релея(или сервера) маршруты сами будут создаваться ME3400G#sh ip dhcp binding IP address Client-ID/ Lease expiration Type Hardware address 192.168.xxx.156 0100.0461.5cxx.xx Dec 14 2008 09:06 AM Automatic 2kvartal-ME3400G#sh ip route 192.168.xxx.156 Routing entry for 192.168.xxx.156/32 Known via "static", distance 1, metric 0 (connected) Redistributing via ospf 1 Advertised by ospf 1 subnets Routing Descriptor Blocks: * directly connected, via Vlan312 Route metric is 0, traffic share count is 1 ME3400G# Изменено 13 декабря, 2008 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...