Перейти к содержимому
Калькуляторы

маршрутизация вланов на л3 свиче

Имеется 3com 3226. На нем есть 5 вланов:

id1 - 172.16.0.0/24 (тут находится шлюз a)

id2 - 172.17.0.0/24 (тут находится шлюз b)

id3 - 172.18.0.0/24

id4 - 172.19.0.0/24

id5 - 192.168.0.0/24

Есть 2 выхода в интернет через 2 разных шлюза (a и b). Нужно для vlan id5 дать доступ в интернет через шлюз b, всем остальным вланам дать доступ к обоим шлюзам (по выбору). Возможно ли это сделать? Смущает то что default gateway на коммутаторе можно поставить только один, и 0.0.0.0/0 будет всегда идти через него?

Буду благодарен за помощь.

Изменено пользователем MAD

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не знаком с функционалом и системой команд 3Com.

Обратитесь к документации и найдите в ней Policy Based Routing (PBR) или маршрутизация по источнику.

В циско это реализовывается с использованием роут-мапов, во FreeBSD - ipfw fwd.

Как-то так.

 

---

Удачи.

Изменено пользователем yakuzzza

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Судя по http://www.3com.com/products/en_US/detail....sku=3CR17500-91

ничего он не умеет.

IMHO самое простое - использовать layer2 + гигабитный Mikrotik за $100.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?
Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),

сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями.

При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах.

 

Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?
Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),

сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями.

При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах.

 

Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation.

Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют?
Уже написано выше:

- 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов),

- тегированный канал подаёте на сервер доступа в Интернет,

- ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере,

- файрволлом на сервере запрещаете маршрутизацию между клиентскими подсетями.

 

Сервер может быть как на базе обычного компьютера, так и микротиковская коробка за $100.

 

Как разжевать подробнее - уже даже и не знаю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

- 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов),
т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?
- тегированный канал подаёте на сервер доступа в Интернет,

- ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере,

На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?
Клиент, естественно, должен быть включен в нетегированный потр, иначе он ничего не увидит.
На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы?
Да, должы подддерживаться.

В Linux и FreeBSD поддддерживаються.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать?
L3 бывают разные, а этот, похоже, слишком примитивный и устаревший.

Он не знает даже про OSPF, а Вы хотите PBR/VRF, которые даже в современных L3 есть далеко не везде.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.