Traskalata Опубликовано 12 февраля, 2011 · Жалоба Исходная задача влан управления номер 100, пользователи в влане номер 200. обеспечить связь между пользователями в Vlan 200 и дать им доступ Интернет. Адреса раздавать c DHCP сервера. Для фильтрации использовать VLAN ACL. 1. На коммутаторе создал два VLAN-а VLAN 100 для управления и VLAN 200 для пользователей порты 1-24 установил в режим нетегированные и добавил туда VLAN 200 Сменил default VLAN c VLAN 1 на VLAN 100 Порты 25 -26 аплинк установил в режим тегированные и добавил туда VLAN 100 и VLAN 200 Задал IP коммутатору 10.0.0.20 255.255.255.0 Что задавать в качестве default gateway ? оставил 0.0.0.0 2. В 2548GX все порты установил в режим тегированные и добавил туда VLAN 100 и VLAN 200 сменил default VLAN 1 на VLAN 100. Задал айпи 10.0.0.6 Хотя не уверен что это правильно. Верен ли данный пункт ? Что задавать в качестве default gateway ? оставил 0.0.0.0 3. Установил на циске один порт в режим тегированный и разрешил прием VLAN 100 и VLAN 200 все другие в режим нетегированные и добавил на один из портов влан 100 для доступа к управлению и влан 200 на все другие. а) Создал влан 50 и добавил его на один из нетегированных портов.. Подключил к нему DHCP сервер, он же шлюз доступ в Интернет с адресои 10.35.16.2 б)Включил DHCP relay нв циско в) На влан 200 задал адрес. 10.35.14.2 и добавил İP helper 10.35.16.2 адрес DHCP г) Так как у меня Интернет шлюх и DHCP имеют один и тот же адрес. Включил роутинг на циске коммандой ip routing и добавил маршрут на шлюз по умолчанию на адрес 10.35.16.2 Дополнительно: Что в качестве шлюза выдавать пользователям с DHCP сервера? Скажите, где я ошибся тут? что не верно? где что подправить? Как сделать лучше? Благодарю за критику по пунктам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 12 февраля, 2011 · Жалоба Так как у меня Интернет шлюх и DHCP имеют один и тот же адрес. <- может быть вот здесь?))) а где там особо ошибаться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Traskalata Опубликовано 12 февраля, 2011 · Жалоба Так как у меня Интернет шлюх и DHCP имеют один и тот же адрес. <- может быть вот здесь?))) а где там особо ошибаться? Так я вообще не знаю верный ли порядок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 февраля, 2011 · Жалоба В голове порядок наведите, потом за железо принимайтесь. Читать и разбиратся в вашей - ну нафик. У вас одна физическая сеть L1. На L2 вы разбили её на две (с помощью вланов): административную и пользовательскую. L3 - это IP, в каждой L2 сети оно своё, может и пересекаться, дело ваше. Итого у вас две локалки, одной нужен доступ в инет, второй он фиолетов. ДХЦП релей нахер не сдался - юзеры пусть на прямую получают адреса, а в оборудование ручками забить один раз, и шлюз им забивать не обязательно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Traskalata Опубликовано 13 февраля, 2011 · Жалоба В голове порядок наведите, потом за железо принимайтесь. Читать и разбиратся в вашей - ну нафик. У вас одна физическая сеть L1. На L2 вы разбили её на две (с помощью вланов): административную и пользовательскую. L3 - это IP, в каждой L2 сети оно своё, может и пересекаться, дело ваше. Итого у вас две локалки, одной нужен доступ в инет, второй он фиолетов. ДХЦП релей нахер не сдался - юзеры пусть на прямую получают адреса, а в оборудование ручками забить один раз, и шлюз им забивать не обязательно. Ну хорошо понятно пользователи в одном сегменте. А если я помещу DHCP - сервер в другой влан тогда наверно DHCP relay понадобится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 февраля, 2011 · Жалоба А если я помещу DHCP - сервер в другой влан тогда наверно DHCP relay понадобится?Смысл его туда помещать?А в инет у вас юзеру как ходить будут? (у вас же роутер и дхцп на одном железе, по описанию) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Traskalata Опубликовано 14 февраля, 2011 · Жалоба А если я помещу DHCP - сервер в другой влан тогда наверно DHCP relay понадобится?Смысл его туда помещать?А в инет у вас юзеру как ходить будут? (у вас же роутер и дхцп на одном железе, по описанию) Да сейчас на одном. Однако потом собираюсь переместить DHCP на другой сервер. Поэтому хочу заранее знать. Прочитал про DHCP -relay как я понял это функция позволяет из одной подсети передать прозрачно широковещательный запрос DHCP в другую. С другой стороны что мне мешает поставить физический сервер DHCP в тот же VLAN и применить фильтрацию в самом влане на все вредное. Присмотрелся а коммутаторе BdCOM он же?SNR есть VLAN - ACL, VLAN - MAP только пока инструкции на его использование у меня нету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 14 февраля, 2011 · Жалоба Можно спросить... А вам зачем это вообще? ИМХО: тупой свич L2 + тазик на линуксе/bsd и весь ваш спектр задач решится. ИМХО2: архитектура сети непонятного назначения, может быть, вообще, практически бесполезная... Еще, вдогонку, берем RB750, 750G и расслабляемся... Или ну там Juniper Netscreen 204/8 и have a fun. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Traskalata Опубликовано 14 февраля, 2011 (изменено) · Жалоба Можно спросить... А вам зачем это вообще? ИМХО: тупой свич L2 + тазик на линуксе/bsd и весь ваш спектр задач решится. ИМХО2: архитектура сети непонятного назначения, может быть, вообще, практически бесполезная... Еще, вдогонку, берем RB750, 750G и расслабляемся... Или ну там Juniper Netscreen 204/8 и have a fun. Военный городок. Интернет офицерам. Вдруг они в локалке флудильню устроют, как спастись? Изменено 14 февраля, 2011 пользователем Traskalata Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 14 февраля, 2011 · Жалоба RB750/G + L2 свич Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Traskalata Опубликовано 14 февраля, 2011 · Жалоба RB750/G + L2 свич Так уже делаю на том, что есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 февраля, 2011 · Жалоба Да сейчас на одном. Однако потом собираюсь переместить DHCP на другой сервер. Поэтому хочу заранее знать. Прочитал про DHCP -relay как я понял это функция позволяет из одной подсети передать прозрачно широковещательный запрос DHCP в другую. С другой стороны что мне мешает поставить физический сервер DHCP в тот же VLAN и применить фильтрацию в самом влане на все вредное.Ну отрелеет (отпроксирует), что это изменит?Как и раньше можно будет уложить сервер выбрав лизы, а потом раздавать со своего. Всё в рамках дхцп протокола. Проще сервер чтобы был в этой же подсети. Операторы используют релей потому что он либо добавляет опцию идентифицирующую крммутатор и абонента относительно коммутатора, потому что сеть мелко нашинкована на подсети и держать везде свой дхцп - умрёшь админить, и потому что хочется иметь центролизованное управление и раздачу адресов с одного пула. Вам проще 3 строчки в фаере написать. Военный городок. Интернет офицерам. Вдруг они в локалке флудильню устроют, как спастись?Под трибунал :)Никак вы не спасётесь, покуда обмен информацией между ними есть. Организуют впн и болт на все ваши фильтры будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...