Jump to content
Калькуляторы

маршрутизация вланов на л3 свиче

Имеется 3com 3226. На нем есть 5 вланов:

id1 - 172.16.0.0/24 (тут находится шлюз a)

id2 - 172.17.0.0/24 (тут находится шлюз b)

id3 - 172.18.0.0/24

id4 - 172.19.0.0/24

id5 - 192.168.0.0/24

Есть 2 выхода в интернет через 2 разных шлюза (a и b). Нужно для vlan id5 дать доступ в интернет через шлюз b, всем остальным вланам дать доступ к обоим шлюзам (по выбору). Возможно ли это сделать? Смущает то что default gateway на коммутаторе можно поставить только один, и 0.0.0.0/0 будет всегда идти через него?

Буду благодарен за помощь.

Edited by MAD

Share this post


Link to post
Share on other sites

Не знаком с функционалом и системой команд 3Com.

Обратитесь к документации и найдите в ней Policy Based Routing (PBR) или маршрутизация по источнику.

В циско это реализовывается с использованием роут-мапов, во FreeBSD - ipfw fwd.

Как-то так.

 

---

Удачи.

Edited by yakuzzza

Share this post


Link to post
Share on other sites

Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?

Share this post


Link to post
Share on other sites
Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?
Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),

сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями.

При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах.

 

Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation.

Share this post


Link to post
Share on other sites
Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?
Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),

сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями.

При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах.

 

Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation.

Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют?

Share this post


Link to post
Share on other sites
Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют?
Уже написано выше:

- 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов),

- тегированный канал подаёте на сервер доступа в Интернет,

- ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере,

- файрволлом на сервере запрещаете маршрутизацию между клиентскими подсетями.

 

Сервер может быть как на базе обычного компьютера, так и микротиковская коробка за $100.

 

Как разжевать подробнее - уже даже и не знаю...

Share this post


Link to post
Share on other sites
- 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов),
т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?
- тегированный канал подаёте на сервер доступа в Интернет,

- ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере,

На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы?

Share this post


Link to post
Share on other sites
т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?
Клиент, естественно, должен быть включен в нетегированный потр, иначе он ничего не увидит.
На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы?
Да, должы подддерживаться.

В Linux и FreeBSD поддддерживаються.

Share this post


Link to post
Share on other sites

Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать?

Share this post


Link to post
Share on other sites
Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать?
L3 бывают разные, а этот, похоже, слишком примитивный и устаревший.

Он не знает даже про OSPF, а Вы хотите PBR/VRF, которые даже в современных L3 есть далеко не везде.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this