radids Опубликовано 9 января, 2011 · Жалоба Планируется создать сеть примерно такого характера как на рисунке. Теперь задачи которые передо мной встали: 1) Необходимо настроить один свич vtp сервером остальные клиентами. 2) Нужно настроить stp протокол воизбежание петель, и на случай если какой из каналов отвалится чтоб был найден альтернативный путь (по умолчанию stp включен но неплохо было-бы настроить его так чтоб он работал только на магистральных портах). 3) Некоторых пользователей необходимо привязать к портам по mac да так чтоб комп с другим маком с этого порта в инет попасть не мог. VTP server настроил следующим образом: # vlan database (vlan)# vlan 10 name MANAGMENT (Создаю вилланы vlan номер виллана, name имя вилана) (vlan)# vtp domain TEST (настройка имени) (vlan)# vtp password PASSWD (Настройка пароля) (vlan)# vtp server (Включил режим сервера) (vlan)# exit (Выходим) Остальные свичи настраиваю как VTP client # vlan database (vlan)# vtp client (Включил режим клиента) (vlan)# vtp domain TEST (настройка имени) (vlan)# vtp password PASSWD (Настройка пароля) (vlan)# exit (Выходим) Подскажите как было-бы лучше настроить все это, если у кого уже действует аналогичная сеть расскажите какие подводные камни меня ждут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 9 января, 2011 (изменено) · Жалоба 1. большущий камень кольцо stp используйте MSTP и вообще нету колец в сети меньше геморроя.. проверено... (классическая звезда рулит) Примеры настроек STP, RSTP, PVSTP, MSTP точно есть на этом форуме 2. vtp хорошо но повсеместное использование бессмысленно. вот есть у вас клиентский свитч зачем стобы он знал о существование всех всех вланах сети??? ему нужен только один (2-3 макс) влан в котором у него сидят клиенты и/или влан управления все. кста зная все вланы свитч будет пытатся изучить все маки во всех этих вланах.. что тоже есть не гуд.. таблица мак адресов она это не резиновая... 3. правила ACL на пропуск эзернет трафика.. точно мона сделать надо просто почитать доки циско.. я в них это видел.. зы на маленькой сети все это незаметно... Изменено 9 января, 2011 пользователем mukca Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radids Опубликовано 9 января, 2011 (изменено) · Жалоба 2. vtp хорошо но повсеместное использование бессмысленно.вот есть у вас клиентский свитч зачем стобы он знал о существование всех всех вланах сети??? ему нужен только один (2-3 макс) влан в котором у него сидят клиенты и/или влан управления все. кста зная все вланы свитч будет пытатся изучить все маки во всех этих вланах.. что тоже есть не гуд.. таблица мак адресов она это не резиновая... Ненужные виланы можно просто не пускать на свич например (switchport trunk allowed vlan 10,20). В vtp есть такой режим как vtp transparent в реали проверит пока возможности нет но на эмуляторе вилан создается только после того как на одном из интерфейсов поставит accecc vlan. Изменено 9 января, 2011 пользователем radids Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 января, 2011 · Жалоба Вопросы по курсу CCNA. Раз уж работаете с Cisco, то хотя бы почитайте материалы, а по хорошему пройдите полное обучение - подобные вопросы отпадут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radids Опубликовано 10 января, 2011 · Жалоба Вопросы по курсу CCNA. Раз уж работаете с Cisco, то хотя бы почитайте материалы, а по хорошему пройдите полное обучение - подобные вопросы отпадут. Спасибо крайне полезный совет:) Всегда его ждал, шас все брошу возьму заначку и на курсы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 января, 2011 · Жалоба Если серьезно - даже упрощенный вариант книги по ccna можно скачать с тех же торрентов (их там как грязи). Прочитать книгу целиком и полностью, даже при ограниченном свободном времени, можно за неделю. Вобще не понимаю, как можно приступать к работе с какой-либо технологией, не изучив предварительно хотя бы основной документации по ней. Это большая проблема нашего менталитета - инструкцию читают только после того как окончательно доломают... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bay Опубликовано 10 января, 2011 (изменено) · Жалоба А зачем при таком железе на доступе нужен PPPoE? Или 2950 - это не доступ? Изменено 10 января, 2011 пользователем bay Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radids Опубликовано 10 января, 2011 · Жалоба А зачем при таком железе на доступе нужен PPPoE?Или 2950 - это не доступ? Услуги PPPoE уже предоставляются, сеть которую буду делать просто будет примыкать к уже существующей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radids Опубликовано 10 января, 2011 · Жалоба Если серьезно - даже упрощенный вариант книги по ccna можно скачать с тех же торрентов (их там как грязи). Прочитать книгу целиком и полностью, даже при ограниченном свободном времени, можно за неделю. Вобще не понимаю, как можно приступать к работе с какой-либо технологией, не изучив предварительно хотя бы основной документации по ней. Это большая проблема нашего менталитета - инструкцию читают только после того как окончательно доломают... Читать гигантский справочник это конечно хорошо но в мануалах обычно мало пишут о реальных примерах сети. Там никто не выкладывает схему реально существующей сети с настроенным pvst, rstp, или того же mstp, не пишут и о проблемах которые у него были и о том как он решил. Ответ ищи в мануалах на втором месте после, а идика ты в гугл :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 января, 2011 (изменено) · Жалоба Вы не поверите... VTP и STP в CCNA разжевано так, что отпадает 99% возникающих по этим темам вопросов. Покрайней мере в рамках работы устройств одного вендора (тобишь в вашем случае). Но раз вот так совсем лень: на центральном коммутаторе задайте нормальный режим stp (просто ieee/pvst будет маловато - слишком долгое схождение - лучше сразу rapid-pvst или mstp, но последнее в вашем случае - лишнее). spanning-tree mode rapid-pvst далее задайте приоритет пониже для гуляющих там вланов, или же назначьте его рутом. spanning-tree vlan 1-1000 root prim далее на доступе выставляете: spanning-tree mode rapid-pvst spanning-tree portfast bpduguard default spanning-tree loopguard default на аплинк порты: spanning-tree guard none на порты доступа: spanning-tree portfast этого уже придостаточно для stp. для vtp на центральном коммутаторе задаем vtp mode server vtp domain название-домена (должно быть одинаковым на всех коммутаторах сегмента) vtp version 2 vtp prunning и задайте vtp password . на всех остальных: vtp mode client vtp domain название-домена vtp version 2 vtp prunning vtp password этого будет достаточно. trunk allowed вам не потребуется в этом случае - prunning вырезает с коммутатора пакеты вланов, которые на нем не задействуются. vtp mode transparent исключит железку из участия в vtp (будет тупо прозрачно пересылать пакеты, но не обрабатывать их) - поэтому вам он не нужен. с другой стороны, если вам нужны вланы с vid >1000 - от vtp прийдется отказаться (vtp mode transparent) /// привязка по макам: switchport port-security maximum 1 switchport port-security mac-address мак switchport port-security violation режим : protect / restrict / shutdown - по желанию. ну и не забудьте errdisable recovery cause security-violation - чтоб порт "оживал" по recovery интервалу. или же, если у вас там "динамично" все - через ip dhcp relay + ip dhcp snooping Изменено 10 января, 2011 пользователем darkagent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
radids Опубликовано 10 января, 2011 · Жалоба darkagent Гигантское спасибо очень интересно особенно (trunk allowed вам не потребуется в этом случае - prunning вырезает с коммутатора пакеты вланов, которые на нем не задействуются.) Надеюсь что есть еще желающие поделиться опытом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 января, 2011 · Жалоба VTP pruning makes more efficient use of trunk bandwidth by reducing unnecessary flooded traffic. Broadcast and unknown unicast frames on a VLAN are forwarded over a trunk link only if the switch on the receiving end of the trunk has ports in that VLAN. (CCNP Self-Study: CCNP BCMSN Exam Certification Guide, Third Edition) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...