MAD Опубликовано 4 июля, 2010 (изменено) · Жалоба Имеется 3com 3226. На нем есть 5 вланов: id1 - 172.16.0.0/24 (тут находится шлюз a) id2 - 172.17.0.0/24 (тут находится шлюз b) id3 - 172.18.0.0/24 id4 - 172.19.0.0/24 id5 - 192.168.0.0/24 Есть 2 выхода в интернет через 2 разных шлюза (a и b). Нужно для vlan id5 дать доступ в интернет через шлюз b, всем остальным вланам дать доступ к обоим шлюзам (по выбору). Возможно ли это сделать? Смущает то что default gateway на коммутаторе можно поставить только один, и 0.0.0.0/0 будет всегда идти через него? Буду благодарен за помощь. Изменено 4 июля, 2010 пользователем MAD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 4 июля, 2010 (изменено) · Жалоба Не знаком с функционалом и системой команд 3Com. Обратитесь к документации и найдите в ней Policy Based Routing (PBR) или маршрутизация по источнику. В циско это реализовывается с использованием роут-мапов, во FreeBSD - ipfw fwd. Как-то так. --- Удачи. Изменено 4 июля, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 4 июля, 2010 · Жалоба Судя по http://www.3com.com/products/en_US/detail....sku=3CR17500-91 ничего он не умеет. IMHO самое простое - использовать layer2 + гигабитный Mikrotik за $100. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MAD Опубликовано 8 июля, 2010 · Жалоба Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 8 июля, 2010 · Жалоба Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями. При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах. Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MAD Опубликовано 8 июля, 2010 · Жалоба Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями. При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах. Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation. Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 8 июля, 2010 · Жалоба Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют?Уже написано выше: - 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов), - тегированный канал подаёте на сервер доступа в Интернет, - ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере, - файрволлом на сервере запрещаете маршрутизацию между клиентскими подсетями. Сервер может быть как на базе обычного компьютера, так и микротиковская коробка за $100. Как разжевать подробнее - уже даже и не знаю... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 9 июля, 2010 · Жалоба - 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов),т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?- тегированный канал подаёте на сервер доступа в Интернет,- ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере, На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 9 июля, 2010 · Жалоба т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?Клиент, естественно, должен быть включен в нетегированный потр, иначе он ничего не увидит.На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы?Да, должы подддерживаться.В Linux и FreeBSD поддддерживаються. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MAD Опубликовано 9 июля, 2010 · Жалоба Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 9 июля, 2010 · Жалоба Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать?L3 бывают разные, а этот, похоже, слишком примитивный и устаревший.Он не знает даже про OSPF, а Вы хотите PBR/VRF, которые даже в современных L3 есть далеко не везде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...