Brodyaga Posted August 30, 2012 Posted August 30, 2012 Есть локальная сеть из двух коммутаторов HP A5120-48G EI, соединенных через 10Gb трансиверы (на задней панели) На них созданы VLAN'ы VLAN1 с интерфейсом 192.168.250.251 255.255.255.0 на первом VLAN1 с интерфейсом 192.168.250.252 255.255.255.0 на втором все порты на обоих - Untagged Все узлы локальной сети в диапазоне 192.168.250.х Все друг друга видят, сеть работает В интернет все ходят через шлюз 192.168.250.201 Возникла необходимость создать подсеть, изолированную от общей локалки Узлы этой сети должны иметь выход в общую сеть и в интернет Подключили третий коммутатор 3COM 4200G Swich Software Version: 3.02.04s56 Bootrom Version: 2.03 Hardware Version: REV.B на нем создали 2 VLAN'а VLAN 1 - Port - 1/0/1 - 1/0/24 - Untagged VLAN 7 - Port 1/0/25 - 1/0/48 - Untagged и 2 интерфейса VLAN 1 - 192.168.250.253 255.255.255.0 VLAN 7 - 192.168.191.100 255.255.255.0 из 22 порта кабель в HP A5120-48G EI в VLAN7 в 25 порт подключен компьютер (PC1) с адресом 192.168.191.10 с него проходит пинг на 192.168.191.100, 192.168.250.253 с 3COM 4200G (из веб-интерфейса или с консоли ) проходит пинг на 192.168.191.10, 192.168.191.100 и все узлы сети 192.168.250.х к существующим маршрутам Destination IP Mask Next Hop Interface Protocol 127.0.0.0 255.0.0.0 127.0.0.1 InLoopBack0 local 127.0.0.1 255.255.255.255 127.0.0.1 InLoopBack0 local 192.168.191.0 255.255.255.0 192.168.191.100 Vlan-Interface7 local 192.168.191.100 255.255.255.255 127.0.0.1 InLoopBack0 local 192.168.250.0 255.255.255.0 192.168.250.253 Vlan-Interface1 local 192.168.250.253 255.255.255.255 127.0.0.1 InLoopBack0 local добавил вручную 0.0.0.0 0.0.0.0 192.168.250.201 Vlan-Interface1 netmgmt пинг с коммутатора стал проходить и за шлюз с PC1 пинг дальше коммутатора не проходит пробовал настроить 22 порт Port 1/0/22 Link-Type - Trunk VLAN 1 - Untagged VLAN 7 - Tagged результат тот же С коммутатора пинг проходит на все узлы С компьютера (PC1) дальше коммутатора не проходит Подскажите, в чем может быть проблема? Как надо настроить 22 порт? Или же я еще что-то не учел? Вставить ник Quote
detx Posted August 30, 2012 Posted August 30, 2012 На шлюзе 192.168.250.201 есть маршрут к сети 192.168.191.0/24 через 192.168.250.253(3COM 4200G)? Вставить ник Quote
Brodyaga Posted August 30, 2012 Author Posted August 30, 2012 На шлюзе 192.168.250.201 есть маршрут к сети 192.168.191.0/24 через 192.168.250.253(3COM 4200G)? нет Вставить ник Quote
detx Posted August 30, 2012 Posted August 30, 2012 Прописывайте. Он не экстрасенс, откуда он знает за чем находить сетка 192.168.191.0/24. Вставить ник Quote
Brodyaga Posted August 30, 2012 Author Posted August 30, 2012 (edited) добавил маршрут на шлюзе 192.168.191.0 255.255.255.0 192.168.250.253 и разрешающее правило для доступа к 192.168.191.10 и 192.168.191.100 ничего не изменилось Добавил на шлюзе 191 подсеть во внутренние сети, стал проходить пинг с PC1 до шлюза В общем дело оказалось больше в настройках шлюза, чем коммутатора. 2 detx спасибо за подсказку! К первоначальной конфигурации добавлен маршрут на шлюзе 192.168.191.0 255.255.255.0 192.168.250.253 и правила на шлюзе на хождение пакетов из 191 подсети ради интереса сделал 22 порт Access в VLAN 1 - все работает. Получается настраивать 22 порт вообще не требовалось Подключение к коммутатору через любой порт в VLAN1 ситуацию не меняет. 1. Тогда сразу возникает еще вопрос: при наличии машрута на компе люди из общей сети могут пройти в VLAN7, а вот этого уже не нужно. Как этого избежать? 2. Добавил еще один VLAN5 на 3COM 4200G с интерфесом 192.168.181.100 255.255.255.0 в порт этого VLAN5 включил компьютер с адресом 192.168.181.10 при этом автоматически создались маршруты на коммутаторе Узлы из разных VLAN'ов по IP могут общаться так и не понял, как это запретить на коммутаторе ЗЫ У меня тут ограничение по количеству постов, так что ответы пока буду писать в этом посте Последний вопрос отметил жирным шрифтом, чтобы понятней было Edited August 31, 2012 by Brodyaga Вставить ник Quote
Brodyaga Posted August 31, 2012 Author Posted August 31, 2012 Добавил еще один VLAN5 на 3COM 4200G с интерфесом 192.168.181.100 255.255.255.0 в порт этого VLAN5 включил компьютер с адресом 192.168.181.10 при этом автоматически создались маршруты на коммутаторе Узлы из разных VLAN'ов (5, 7) по IP могут общаться Если же прописать маршрут на узле из VLAN1 к VLAN интерфейсу (5 или 7), то данный узел сможет общаться и с соотвествующей VLAN на коммутаторе Необходимо же, чтобы - узлы из VLAN5 могли общаться только между собой, с VLAN5 интерфейсом (192.168.1891.100), с отдельными узлами из VLAN1, например шлюзом (192.168.250.201) и выходить за шлюз - узлы из VLAN7 могли общаться только между собой, с VLAN7 интерфейсом (192.168.1891.100), с отдельными узлами из VLAN1, например шлюзом (192.168.250.201) и выходить за шлюз Как это можно сделать? Есть подозрение, что необходимо настраивать ACL, но толкового руководства найти не получается Вставить ник Quote
mukca Posted September 2, 2012 Posted September 2, 2012 Brodyaga первая главная ошибка у вас свитч, а не роутер. все ограничения что вы хотите сделать делается на роуторе (ну и что что у вас свитчи 3 уровня) вторая ошибка разберитесь с маршрутизацией и вланами. хотя б на вики почитайте что такое VLAN`ы и как передаются пакетики ip, с чем их едят и для чего они нужны. Как это можно сделать? да скорее сего придется писать кучу правил доступа и с их помощью разрешат запрещать куда то бегать какому то трафику зы для упрощения понимания задачи местными пользователями.. для получении более полного совета и помощи могу вам предложить одно. забудьте все что написали выше. переформулируйте то что вам нужно сделать и что вы хотите получить. Разделяя на пункты 1. то что хотите в итоге получить, что нужно добиться. 2. какие железки у вас есть и что куда подключено. 3. что у вас уже настроено и как работает. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.