2950T Вопрос настройки.

[Roman Ivanov]

Скоро приходит свитч, заменит "китайского брата".

Понимание же VLAN у Cisco немного другое.

Почти все понял, но остались вопросы.

Поэтому лучше задачу покажу.

 

Участие принимают 5 портов.

VLAN - dot1q (tagged)

входит/выходит с точки зрения порта.

 

if 0/1 (клиенты) - все, что приходя не имеет тэга - получает тэг "4"

имет доступ к порту 3 и 4.

Все что уходит - тэг теряет.

 

if 0/2 (клиенты) - все, что приходя не имеет тэга - получает тэг "5"

имет доступ к порту 3 и 4.

Все что уходит - тэг теряет.

 

if 0/3 (сервер 1) все, что приходит без тэга - дропается. Тэги 2,4,5 - проходят, остальные - нет.

все что выходит - имеет тэг (2,4,5).

 

if 0/4 (сервер 2) все, что приходит без тэга - дропается. Тэги 2,4,5 - проходят, остальные - нет.

все что выходит - имеет тэг (2,4,5).

 

if 0/5 (uplink) все, что приходит с тэгом, дропается. Без тэга получает тэг "2". Имет доступ к порту 3 и 4.

все что уходит - тэг теряет.

 

Задача - вопрос 2.

Возможно ли назначение минимального приоритета (do1q), одним правилом, на всех портах, маска - IP.

Т.е. скажем все, что идет на IP 1.2.3.4 - получает приоритет 1.

[smsm]

1. нет сейчас под руками каталиста, по памяти команды не совсем помню..

итак,

влан 4, порты 1,4т,5т

влан 5, порты 2,4т,5т

влан 2, порты 5,4т,5т

 

interface FastEthernet0/1

description clients

switchport access vlan 4

switchport mode access

no ip address

no shutdown

 

interface FastEthernet0/3

description server 1

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 2,4,5

switchport mode trunk

no ip address

no shutdown

 

interface FastEthernet0/4

description server 2

switchport trunk encapsulation dot1q

switchport trunk allowed vlan 2,4,5

switchport mode trunk

no ip address

no shutdown

 

interface Vlan4

no shutdown

 

остальные аналогично.

 

2. если не изнемяет память - возможно. пишется АЦЛ, в котором 1.2.3.4

и вешается на соответствующий Влан.

[Guest]

Ну, во первых, понимание VLANов у cisco не другое, а правильное)))

тут все легко решается

ОТВЕТ 1

interface fastethernet 0/1

switchport mode access

switchport access vlan 4

no ip address

!

interface fastethernet 0/2

switchport mode access

switchport access vlan 5

no ip address

!

interface fastethernet 0/3

switchport mode trunk

switchport trunk allowed vlan 2-5

no ip address

!

interface fastethernet 0/4

switchport mode trunk

switchport trunk allowed vlan 2-5

no ip address

 

А вот дальше уже интереснее.

на счет 5 порта, а зачем тебе это? Да и не получится так сделать! Вернее можно сделать так, чтобы доступ был к порту 3 и 4 но только по VLANу №2. Либо сделать порт trunk.

interface fastethernet 0/5

switchport mode trunk

switchport trunk allowed vlan 2-5

no ip address

либо

interface fastethernet 0/5

switchport mode access

switchport access vlan 2

no ip address

 

ОТВЕТ 2

Сформулировать надо бы поконкретнее, что хотите и главное зачем.

[Технократ]

Да еще надо завести данные VLAN в VLAN database на данном устройстве.

[Roman Ivanov]

А вот дальше уже интереснее.

на счет 5 порта, а зачем тебе это? Да и не получится так сделать! Вернее можно сделать так, чтобы доступ был к порту 3 и 4 но только по VLANу №2. Либо сделать порт trunk.

 

По второму и надо. Uplink ТОЛЬКО сервера видят. Клиенты через сервер 1 роутинг делают.

 

ОТВЕТ 2

Сформулировать надо бы поконкретнее, что хотите и главное зачем.

 

Сервер 2 - warez, fixed IP. На него мин приоритет поэтому. С ЛЮБОЙ точци.

[Roman Ivanov]

Самый главный вопрос (непонятный) - снятие тагов на выходе из портов - как ?

Или если нет транка, то всегда снимает автоматом?

 

И дроп untagged на взоде - каким образом?

[Технократ]

Самый главный вопрос (непонятный) - снятие тагов на выходе из портов - как ?

Или если нет транка,  то всегда снимает автоматом?

 

И дроп untagged на взоде - каким образом?

Есть два типа аксесс и транк. Аксесс - только один Влан и трафик на порту всегда без тегов. Транк - для объединения Вланов или вернее сказать коммутаторов, чтобы можно было передать тегированные пакеты. Не обязательно для определенных Влан. В конфигах авторов можно убрать строчку с allowed и все будет работать. Поэтому на серверах надо ставить софт и возможно карточку, чтобы понимала транк. Сам такое никогда не делал.

[Roman Ivanov]

Самый главный вопрос (непонятный) - снятие тагов на выходе из портов - как ?

Или если нет транка,  то всегда снимает автоматом?

 

И дроп untagged на взоде - каким образом?

 

switchport mode... верно ?

[Guest]

пример:

 

interface FastEthernet0/1

switchport trunk allowed vlan 1,20,50,100-200

switchport mode trunk

 

 

Vlan 1, или Native Vlan - влан без тэга. Соответственно, чтобы сделать drop untagged - вместо

 

switchport trunk allowed vlan 1,20,50,100-200

 

пишем

 

switchport trunk allowed vlan 20,50,100-200

 

 

smsm,

 

interface Vlan4

no shutdown

 

сделает vlan 4 административным вланом, то есть доступ по сети до свитча будет возможен только из vlan4. Даже если сказать влану shutdown, хождение пакетов через него не прекратится.

 

Тег ставится и снимается при вхождении пакета в порт при режиме порта access, при trunk соответсвенно не снимается и не ставится.

[smsm]

сделает vlan 4 административным вланом, то есть доступ по сети до свитча будет  

 

Чем мне циски в корне не нравятся - настроил.. забыл :) Да, ошибся.

[Guest]

smsm, надо настраивать их каждый день, вот и все :-)

[smsm]

хм, а нафига ? работает, проблем нет, чего в них лазить ? Вот Длинки - хорошо изучил :)

[Guest]

smsm, я имел в виду несколько другое ;-) новый день - новые циски... :-)

[smsm]

нифига се, пока только новый день - новая губозакаточная машинка..

лучше не будем продолжать :)

[Roman Ivanov]

Еще вопросик один.

Как оставить только IP, arp, PPPoE пакеты.

А остальное дропать ?

 

Т.е. не нужен NetBeui, IPX, ... прочая хрень.