[Traskalata]

Исходная задача влан управления номер 100, пользователи в влане номер 200. обеспечить связь между пользователями в Vlan 200 и дать им доступ Интернет. Адреса раздавать c DHCP сервера. Для фильтрации использовать VLAN ACL.

 

 

1. На коммутаторе создал два VLAN-а

VLAN 100 для управления и VLAN 200 для пользователей

порты 1-24 установил в режим нетегированные и добавил туда VLAN 200

Сменил default VLAN c VLAN 1 на VLAN 100

Порты 25 -26 аплинк установил в режим тегированные и добавил туда VLAN 100 и VLAN 200

Задал IP коммутатору 10.0.0.20 255.255.255.0

Что задавать в качестве default gateway ?

 

оставил 0.0.0.0

 

2. В 2548GX все порты установил в режим тегированные и добавил туда VLAN 100 и VLAN 200

сменил default VLAN 1 на VLAN 100. Задал айпи 10.0.0.6

Хотя не уверен что это правильно. Верен ли данный пункт ?

Что задавать в качестве default gateway ?

 

оставил 0.0.0.0

 

3. Установил на циске один порт в режим тегированный и разрешил прием VLAN 100 и VLAN 200

все другие в режим нетегированные и добавил на один из портов влан 100 для доступа к управлению и влан 200 на все другие.

 

а) Создал влан 50 и добавил его на один из нетегированных портов.. Подключил к нему DHCP сервер, он же шлюз доступ в Интернет с адресои 10.35.16.2

 

б)Включил DHCP relay нв циско

в) На влан 200 задал адрес. 10.35.14.2 и добавил İP helper 10.35.16.2 адрес DHCP

 

г) Так как у меня Интернет шлюх и DHCP имеют один и тот же адрес.

 

Включил роутинг на циске коммандой ip routing и добавил маршрут на шлюз по умолчанию на адрес 10.35.16.2

 

 

Дополнительно: Что в качестве шлюза выдавать пользователям с DHCP сервера?

 

 

Скажите, где я ошибся тут? что не верно? где что подправить? Как сделать лучше?

 

 

Благодарю за критику по пунктам.

 

 

 

[dignity]

Так как у меня Интернет шлюх и DHCP имеют один и тот же адрес. <- может быть вот здесь?))) а где там особо ошибаться?

[Traskalata]

Так как у меня Интернет шлюх и DHCP имеют один и тот же адрес. <- может быть вот здесь?))) а где там особо ошибаться?

Так я вообще не знаю верный ли порядок.

[Ivan_83]

В голове порядок наведите, потом за железо принимайтесь.

 

Читать и разбиратся в вашей - ну нафик.

 

У вас одна физическая сеть L1.

На L2 вы разбили её на две (с помощью вланов): административную и пользовательскую.

L3 - это IP, в каждой L2 сети оно своё, может и пересекаться, дело ваше.

 

Итого у вас две локалки, одной нужен доступ в инет, второй он фиолетов.

ДХЦП релей нахер не сдался - юзеры пусть на прямую получают адреса, а в оборудование ручками забить один раз, и шлюз им забивать не обязательно.

[Traskalata]

В голове порядок наведите, потом за железо принимайтесь.

 

Читать и разбиратся в вашей - ну нафик.

 

У вас одна физическая сеть L1.

На L2 вы разбили её на две (с помощью вланов): административную и пользовательскую.

L3 - это IP, в каждой L2 сети оно своё, может и пересекаться, дело ваше.

 

Итого у вас две локалки, одной нужен доступ в инет, второй он фиолетов.

ДХЦП релей нахер не сдался - юзеры пусть на прямую получают адреса, а в оборудование ручками забить один раз, и шлюз им забивать не обязательно.

Ну хорошо понятно пользователи в одном сегменте. А если я помещу DHCP - сервер в другой влан тогда наверно DHCP relay понадобится?

 

[Ivan_83]

А если я помещу DHCP - сервер в другой влан тогда наверно DHCP relay понадобится?

Смысл его туда помещать?

А в инет у вас юзеру как ходить будут? (у вас же роутер и дхцп на одном железе, по описанию)

[Traskalata]

А если я помещу DHCP - сервер в другой влан тогда наверно DHCP relay понадобится?

Смысл его туда помещать?

А в инет у вас юзеру как ходить будут? (у вас же роутер и дхцп на одном железе, по описанию)

Да сейчас на одном. Однако потом собираюсь переместить DHCP на другой сервер. Поэтому хочу заранее знать. Прочитал про DHCP -relay как я понял это функция позволяет из одной подсети передать прозрачно широковещательный запрос DHCP в другую. С другой стороны что мне мешает поставить физический сервер DHCP в тот же VLAN и применить фильтрацию в самом влане на все вредное. Присмотрелся а коммутаторе BdCOM он же?SNR есть VLAN - ACL, VLAN - MAP только пока инструкции на его использование у меня нету.

 

[dignity]

Можно спросить... А вам зачем это вообще?

 

ИМХО: тупой свич L2 + тазик на линуксе/bsd и весь ваш спектр задач решится.

ИМХО2: архитектура сети непонятного назначения, может быть, вообще, практически бесполезная...

 

Еще, вдогонку, берем RB750, 750G и расслабляемся... Или ну там Juniper Netscreen 204/8 и have a fun.

[Traskalata]

Можно спросить... А вам зачем это вообще?

 

ИМХО: тупой свич L2 + тазик на линуксе/bsd и весь ваш спектр задач решится.

ИМХО2: архитектура сети непонятного назначения, может быть, вообще, практически бесполезная...

 

Еще, вдогонку, берем RB750, 750G и расслабляемся... Или ну там Juniper Netscreen 204/8 и have a fun.

Военный городок. Интернет офицерам. Вдруг они в локалке флудильню устроют, как спастись?

 

Изменено 14 февраля, 2011 пользователем Traskalata

[dignity]

RB750/G + L2 свич

[Traskalata]

RB750/G + L2 свич

Так уже делаю на том, что есть.

[Ivan_83]

Да сейчас на одном. Однако потом собираюсь переместить DHCP на другой сервер. Поэтому хочу заранее знать. Прочитал про DHCP -relay как я понял это функция позволяет из одной подсети передать прозрачно широковещательный запрос DHCP в другую. С другой стороны что мне мешает поставить физический сервер DHCP в тот же VLAN и применить фильтрацию в самом влане на все вредное.

Ну отрелеет (отпроксирует), что это изменит?

Как и раньше можно будет уложить сервер выбрав лизы, а потом раздавать со своего.

Всё в рамках дхцп протокола.

Проще сервер чтобы был в этой же подсети.

Операторы используют релей потому что он либо добавляет опцию идентифицирующую крммутатор и абонента относительно коммутатора, потому что сеть мелко нашинкована на подсети и держать везде свой дхцп - умрёшь админить, и потому что хочется иметь центролизованное управление и раздачу адресов с одного пула.

Вам проще 3 строчки в фаере написать.

 

 

Военный городок. Интернет офицерам. Вдруг они в локалке флудильню устроют, как спастись?

Под трибунал :)

Никак вы не спасётесь, покуда обмен информацией между ними есть.

Организуют впн и болт на все ваши фильтры будет.