MAD Posted July 4, 2010 (edited) · Report post Имеется 3com 3226. На нем есть 5 вланов: id1 - 172.16.0.0/24 (тут находится шлюз a) id2 - 172.17.0.0/24 (тут находится шлюз b) id3 - 172.18.0.0/24 id4 - 172.19.0.0/24 id5 - 192.168.0.0/24 Есть 2 выхода в интернет через 2 разных шлюза (a и b). Нужно для vlan id5 дать доступ в интернет через шлюз b, всем остальным вланам дать доступ к обоим шлюзам (по выбору). Возможно ли это сделать? Смущает то что default gateway на коммутаторе можно поставить только один, и 0.0.0.0/0 будет всегда идти через него? Буду благодарен за помощь. Edited July 4, 2010 by MAD Share this post Link to post Share on other sites
yakuzzza Posted July 4, 2010 (edited) · Report post Не знаком с функционалом и системой команд 3Com. Обратитесь к документации и найдите в ней Policy Based Routing (PBR) или маршрутизация по источнику. В циско это реализовывается с использованием роут-мапов, во FreeBSD - ipfw fwd. Как-то так. --- Удачи. Edited July 4, 2010 by yakuzzza Share this post Link to post Share on other sites
Ilya Evseev Posted July 4, 2010 · Report post Судя по http://www.3com.com/products/en_US/detail....sku=3CR17500-91 ничего он не умеет. IMHO самое простое - использовать layer2 + гигабитный Mikrotik за $100. Share this post Link to post Share on other sites
MAD Posted July 8, 2010 · Report post Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет? Share this post Link to post Share on other sites
Ilya Evseev Posted July 8, 2010 · Report post Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями. При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах. Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation. Share this post Link to post Share on other sites
MAD Posted July 8, 2010 · Report post Всем спасибо за ответы. А кто знает, можно ли на нем отключить маршрутизацию между вланами при этом что б все вланы видели интернет?Для этого надо просто подключить Интернет-шлюз во все VLAN'ы (например, через тегированный порт),сделать его шлюзом и запретить файрволлом маршрутизацию между внутренними подсетями. При этом коммутатор может быть либо layer2, а если layer3 - то без IP-интерфейсов в этих VLAN'ах. Можно вообще не делать несколько отдельных VLAN'ы, а сделать (в терминах D-Link) либо один asymmetric VLAN, либо VLAN с Traffic Segmentation. Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют? Share this post Link to post Share on other sites
Ilya Evseev Posted July 8, 2010 · Report post Да, но интересует как это сделать на 3226? Его стандартными средствами. Думал что это можно сделать с помощью ACL, но ACL задается только на л2 интерфейс, т.е на сколько я понимаю эти ацл для вланов не действуют?Уже написано выше: - 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов), - тегированный канал подаёте на сервер доступа в Интернет, - ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере, - файрволлом на сервере запрещаете маршрутизацию между клиентскими подсетями. Сервер может быть как на базе обычного компьютера, так и микротиковская коробка за $100. Как разжевать подробнее - уже даже и не знаю... Share this post Link to post Share on other sites
Andrei Posted July 9, 2010 · Report post - 3com настраиваете как layer2 (vlan'ы без ip-интерфейсов),т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?- тегированный канал подаёте на сервер доступа в Интернет,- ip-интерфейсы для подсетей (указываются у клиентов в качестве шлюза по умолчанию) настраиваете не на коммутаторе, а на сервере, На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы? Share this post Link to post Share on other sites
Ilya Evseev Posted July 9, 2010 · Report post т.е. влан будет port-based и состоять из нетегированного порта, куда включен клиент, и тегированного порта, куда включен сервер доступа в интернет? или оба потра должны быть тегированными?Клиент, естественно, должен быть включен в нетегированный потр, иначе он ничего не увидит.На сервер доступа в Интернет разумеется тоже должы подддерживаться тегированные вланы?Да, должы подддерживаться.В Linux и FreeBSD поддддерживаються. Share this post Link to post Share on other sites
MAD Posted July 9, 2010 · Report post Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать? Share this post Link to post Share on other sites
Ilya Evseev Posted July 9, 2010 · Report post Это все и так понятно, но не этого хотелось добиться. Нужно присвоить ip для вланов на самом свитче, и ограничить доступ между ними. На то он и л3 что б с этим справляться. Вот только как это сделать?L3 бывают разные, а этот, похоже, слишком примитивный и устаревший.Он не знает даже про OSPF, а Вы хотите PBR/VRF, которые даже в современных L3 есть далеко не везде. Share this post Link to post Share on other sites
