[radids]

Планируется создать сеть примерно такого характера как на рисунке.

 

 

Теперь задачи которые передо мной встали:

 

1) Необходимо настроить один свич vtp сервером остальные клиентами.

 

2) Нужно настроить stp протокол воизбежание петель, и на случай если какой из каналов отвалится чтоб был найден альтернативный путь (по умолчанию stp включен но неплохо было-бы настроить его так чтоб он работал только на магистральных портах).

 

3) Некоторых пользователей необходимо привязать к портам по mac да так чтоб комп с другим маком с этого порта в инет попасть не мог.

 

 

VTP server настроил следующим образом:

 

# vlan database

(vlan)# vlan 10 name MANAGMENT (Создаю вилланы vlan номер виллана, name имя вилана)

(vlan)# vtp domain TEST (настройка имени)

(vlan)# vtp password PASSWD (Настройка пароля)

(vlan)# vtp server (Включил режим сервера)

(vlan)# exit (Выходим)

 

Остальные свичи настраиваю как VTP client

 

# vlan database

(vlan)# vtp client (Включил режим клиента)

(vlan)# vtp domain TEST (настройка имени)

(vlan)# vtp password PASSWD (Настройка пароля)

(vlan)# exit (Выходим)

 

Подскажите как было-бы лучше настроить все это, если у кого уже действует аналогичная сеть расскажите какие подводные камни меня ждут.

 

 

[mukca]

1. большущий камень

кольцо stp

используйте MSTP

и вообще нету колец в сети меньше геморроя.. проверено... (классическая звезда рулит)

Примеры настроек STP, RSTP, PVSTP, MSTP точно есть на этом форуме

 

2. vtp хорошо но повсеместное использование бессмысленно.

вот есть у вас клиентский свитч зачем стобы он знал о существование всех всех вланах сети??? ему нужен только один (2-3 макс) влан в котором у него сидят клиенты и/или влан управления все.

кста зная все вланы свитч будет пытатся изучить все маки во всех этих вланах.. что тоже есть не гуд.. таблица мак адресов она это не резиновая...

 

3. правила ACL на пропуск эзернет трафика.. точно мона сделать надо просто почитать доки циско.. я в них это видел..

 

зы на маленькой сети все это незаметно...

Изменено 9 января, 2011 пользователем mukca

[radids]

2. vtp хорошо но повсеместное использование бессмысленно.

вот есть у вас клиентский свитч зачем стобы он знал о существование всех всех вланах сети??? ему нужен только один (2-3 макс) влан в котором у него сидят клиенты и/или влан управления все.

кста зная все вланы свитч будет пытатся изучить все маки во всех этих вланах.. что тоже есть не гуд.. таблица мак адресов она это не резиновая...

Ненужные виланы можно просто не пускать на свич например (switchport trunk allowed vlan 10,20).

В vtp есть такой режим как vtp transparent в реали проверит пока возможности нет но на эмуляторе вилан создается только после того как на одном из интерфейсов поставит accecc vlan.

Изменено 9 января, 2011 пользователем radids

[darkagent]

Вопросы по курсу CCNA. Раз уж работаете с Cisco, то хотя бы почитайте материалы, а по хорошему пройдите полное обучение - подобные вопросы отпадут.

[radids]

Вопросы по курсу CCNA. Раз уж работаете с Cisco, то хотя бы почитайте материалы, а по хорошему пройдите полное обучение - подобные вопросы отпадут.

Спасибо крайне полезный совет:)

Всегда его ждал, шас все брошу возьму заначку и на курсы.

[darkagent]

Если серьезно - даже упрощенный вариант книги по ccna можно скачать с тех же торрентов (их там как грязи).

Прочитать книгу целиком и полностью, даже при ограниченном свободном времени, можно за неделю.

 

Вобще не понимаю, как можно приступать к работе с какой-либо технологией, не изучив предварительно хотя бы основной документации по ней. Это большая проблема нашего менталитета - инструкцию читают только после того как окончательно доломают...

[bay]

А зачем при таком железе на доступе нужен PPPoE?

Или 2950 - это не доступ?

Изменено 10 января, 2011 пользователем bay

[radids]

А зачем при таком железе на доступе нужен PPPoE?

Или 2950 - это не доступ?

Услуги PPPoE уже предоставляются, сеть которую буду делать просто будет примыкать к уже существующей.

[radids]

Если серьезно - даже упрощенный вариант книги по ccna можно скачать с тех же торрентов (их там как грязи).

Прочитать книгу целиком и полностью, даже при ограниченном свободном времени, можно за неделю.

 

Вобще не понимаю, как можно приступать к работе с какой-либо технологией, не изучив предварительно хотя бы основной документации по ней. Это большая проблема нашего менталитета - инструкцию читают только после того как окончательно доломают...

Читать гигантский справочник это конечно хорошо но в мануалах обычно мало пишут о реальных примерах сети. Там никто не выкладывает схему реально существующей сети с настроенным pvst, rstp, или того же mstp, не пишут и о проблемах которые у него были и о том как он решил.

 

Ответ ищи в мануалах на втором месте после, а идика ты в гугл :)

[darkagent]

Вы не поверите...

VTP и STP в CCNA разжевано так, что отпадает 99% возникающих по этим темам вопросов. Покрайней мере в рамках работы устройств одного вендора (тобишь в вашем случае).

 

Но раз вот так совсем лень:

на центральном коммутаторе задайте нормальный режим stp (просто ieee/pvst будет маловато - слишком долгое схождение - лучше сразу rapid-pvst или mstp, но последнее в вашем случае - лишнее).

spanning-tree mode rapid-pvst

далее задайте приоритет пониже для гуляющих там вланов, или же назначьте его рутом.

spanning-tree vlan 1-1000 root prim

 

далее на доступе выставляете:

spanning-tree mode rapid-pvst

spanning-tree portfast bpduguard default

spanning-tree loopguard default

на аплинк порты:

spanning-tree guard none

на порты доступа:

spanning-tree portfast

 

этого уже придостаточно для stp.

 

для vtp на центральном коммутаторе задаем

vtp mode server

vtp domain название-домена (должно быть одинаковым на всех коммутаторах сегмента)

vtp version 2

vtp prunning

и задайте vtp password

.

 

на всех остальных:

vtp mode client

vtp domain название-домена

vtp version 2

vtp prunning

vtp password

 

этого будет достаточно.

trunk allowed вам не потребуется в этом случае - prunning вырезает с коммутатора пакеты вланов, которые на нем не задействуются.

vtp mode transparent исключит железку из участия в vtp (будет тупо прозрачно пересылать пакеты, но не обрабатывать их) - поэтому вам он не нужен.

 

с другой стороны, если вам нужны вланы с vid >1000 - от vtp прийдется отказаться (vtp mode transparent)

 

///

привязка по макам:

switchport port-security maximum 1

switchport port-security mac-address мак

switchport port-security violation режим : protect / restrict / shutdown - по желанию.

ну и не забудьте errdisable recovery cause security-violation - чтоб порт "оживал" по recovery интервалу.

или же, если у вас там "динамично" все - через ip dhcp relay + ip dhcp snooping

Изменено 10 января, 2011 пользователем darkagent

[radids]

darkagent Гигантское спасибо очень интересно особенно (trunk allowed вам не потребуется в этом случае - prunning вырезает с коммутатора пакеты вланов, которые на нем не задействуются.)

Надеюсь что есть еще желающие поделиться опытом.

[darkagent]

VTP pruning makes more efficient use of trunk bandwidth by reducing unnecessary flooded traffic. Broadcast and unknown unicast frames on a VLAN are forwarded over a trunk link only if the switch on the receiving end of the trunk has ports in that VLAN. (CCNP Self-Study: CCNP BCMSN Exam Certification Guide, Third Edition)