Jump to content

маршрутизация вланов на л3 свиче

MAD
 Share

Recommended Posts

MAD

MAD

Posted
Posted (edited)

Имеется 3com 3226. На нем есть 5 вланов:

id1 - 172.16.0.0/24 (тут находится шлюз a)

id2 - 172.17.0.0/24 (тут находится шлюз b)

id3 - 172.18.0.0/24

id4 - 172.19.0.0/24

id5 - 192.168.0.0/24

Есть 2 выхода в интернет через 2 разных шлюза (a и b). Нужно для vlan id5 дать доступ в интернет через шлюз b, всем остальным вланам дать доступ к обоим шлюзам (по выбору). Возможно ли это сделать? Смущает то что default gateway на коммутаторе можно поставить только один, и 0.0.0.0/0 будет всегда идти через него?

Буду благодарен за помощь.

Edited by MAD
yakuzzza

yakuzzza

Posted
Posted (edited)

Не знаком с функционалом и системой команд 3Com.

Обратитесь к документации и найдите в ней Policy Based Routing (PBR) или маршрутизация по источнику.

В циско это реализовывается с использованием роут-мапов, во FreeBSD - ipfw fwd.

Как-то так.

 

---

Удачи.

Edited by yakuzzza
MAD

MAD

Posted
  • Author
Posted

Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?

Ilya Evseev

Ilya Evseev

Posted
Posted
Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?
Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),

сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями.

При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах.

 

Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation.

MAD

MAD

Posted
  • Author
Posted
Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?
Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),

сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями.

При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах.

 

Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation.

Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют?

Ilya Evseev

Ilya Evseev

Posted
Posted
Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют?
Уже написано выше:

- 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов),

- тегированный канал подаёте на сервер доступа в Интернет,

- ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере,

- файрволлом на сервере запрещаете маршрутизацию между клиентскими подсетями.

 

Сервер может быть как на базе обычного компьютера, так и микротиковская коробка за $100.

 

Как разжевать подробнее - уже даже и не знаю...

Andrei

Andrei

Posted
Posted
- 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов),
т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?
- тегированный канал подаёте на сервер доступа в Интернет,

- ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере,

На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы?
Ilya Evseev

Ilya Evseev

Posted
Posted
т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?
Клиент, естественно, должен быть включен в нетегированный потр, иначе он ничего не увидит.
На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы?
Да, должы подддерживаться.

В Linux и FreeBSD поддддерживаються.

MAD

MAD

Posted
  • Author
Posted

Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать?

Ilya Evseev

Ilya Evseev

Posted
Posted
Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать?
L3 бывают разные, а этот, похоже, слишком примитивный и устаревший.

Он не знает даже про OSPF, а Вы хотите PBR/VRF, которые даже в современных L3 есть далеко не везде.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.