URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 67179
[ Назад ]

Исходное сообщение
"Как изолировать сеть?"
Отправлено TLS , 26-Июн-06 15:51

Соединение:
Cisco (3550) ------- trunk(allow vlan1,2,3) ----- Cisco (3550).
|     |   |                                       |   |    |
|     |   |                                       |   |    |
|     |   |                                       |   |    |
IP11 IP21 IP31                                   IP12 IP22 IP32
vlan1  2   3                                       1   2    3
Как изолировать сети понадежнее, которые (скажем) в vlan1? Тобиш пакеты с IP11 на  IP21 и на остальнае не ходили. Только IP11 -->  IP12. Кроме как access-list.

Содержание

Как изолировать сеть?,edwin, 18:49 , 26-Июн-06
- Как изолировать сеть?,TLS, 20:13 , 26-Июн-06
  - Как изолировать сеть?,edwin, 22:04 , 26-Июн-06
    - Как изолировать сеть?,TLS, 11:25 , 27-Июн-06
      - Как изолировать сеть?,edwin, 11:27 , 27-Июн-06
        
        Как изолировать сеть?,TLS, 14:30 , 27-Июн-06

Сообщения в этом обсуждении

"Как изолировать сеть?"
Отправлено edwin , 26-Июн-06 18:49

Вообще-то vlan'ы и так друг от друга изолированы ... если в сторону компов стоит только
switchport access vlan XXX
switchport mode access
Никаких проблем быть не должно.
Естествеено не должно быть маршрутизации между vlan'ами

"Как изолировать сеть?"
Отправлено TLS , 26-Июн-06 20:13

>Вообще-то vlan'ы и так друг от друга изолированы ... если в сторону компов стоит только
>switchport access vlan XXX
>switchport mode access
еще и IP адресса есть.
>Никаких проблем быть не должно.
>Естествеено не должно быть маршрутизации между vlan'ами
Так вот в этом и вопрос. Как запретить маршрутизацию окромя как access-list-ми?

"Как изолировать сеть?"
Отправлено edwin , 26-Июн-06 22:04

>>Вообще-то vlan'ы и так друг от друга изолированы ... если в сторону компов стоит только
>>switchport access vlan XXX
>>switchport mode access
>еще и IP адресса есть.
>
>>Никаких проблем быть не должно.
>>Естествеено не должно быть маршрутизации между vlan'ами
>Так вот в этом и вопрос. Как запретить маршрутизацию окромя как access-list-ми?
>

Я бы создал ОДИН manager vlan, присвоил ему IP'ник на каждой каталисте, а IP в других vlan'ах нафиг поприбивал.
Что-бы просто прибить роуминг надо сказать:
no ip routing

"Как изолировать сеть?"
Отправлено TLS , 27-Июн-06 11:25

>Я бы создал ОДИН manager vlan, присвоил ему IP'ник на каждой каталисте,
>а IP в других vlan'ах нафиг поприбивал.
>Что-бы просто прибить роуминг надо сказать:
>no ip routing
Такой вариант нивкоем случае не катит. И на этих концах не компы висят, хотя это не важно.
Я вот тут смотрю в сторону isolated vlan и pvlan. Но че-то пока не вьеду - можно такое сделать с их помощью или нет?
PS. Пока пришлось acl настроить.

"Как изолировать сеть?"
Отправлено edwin , 27-Июн-06 11:27

>>Я бы создал ОДИН manager vlan, присвоил ему IP'ник на каждой каталисте,
>>а IP в других vlan'ах нафиг поприбивал.
>>Что-бы просто прибить роуминг надо сказать:
>>no ip routing
>Такой вариант нивкоем случае не катит. И на этих концах не компы
>висят, хотя это не важно.
>Я вот тут смотрю в сторону isolated vlan и pvlan. Но че-то
>пока не вьеду - можно такое сделать с их помощью или
>нет?
>
>PS. Пока пришлось acl настроить.
Я так и не понял, чем Вам неподходит снятие IP с vlan'ов ?

"Как изолировать сеть?"
Отправлено TLS , 27-Июн-06 14:30

>Я так и не понял, чем Вам неподходит снятие IP с vlan'ов
>?
Там куча других сетей и они их рулять. Это токо маленькая часть всей сети. Вопчим - нельзя.