URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10259
[ Назад ]

Исходное сообщение
"VLAN в связке 3550+2950"
Отправлено Feen , 06-Апр-06 14:35

Подскажите, пожалуйста, возможно ли на связке 3550+2950 сделать "односторонний" VLAN?
Смысл в чем. Есть несколько VLAN'ов: 101-106. 101 - серверный, доступ есть у всех. 102-105 - видят только 101, друг друга не видят.
И есть VLAN106, администраторский, который должен видеть все остальные, но его быть видно не должно. Вот именно вот этот последний пункт и вызывает сомнения. Такое вообще возможно? Если возможно, то каким образом?

Содержание

VLAN в связке 3550+2950,silencer, 14:37 , 06-Апр-06
- VLAN в связке 3550+2950,Feen, 14:41 , 06-Апр-06
  - VLAN в связке 3550+2950,silencer, 18:26 , 06-Апр-06
VLAN в связке 3550+2950,vorch, 10:07 , 07-Апр-06

Сообщения в этом обсуждении

"VLAN в связке 3550+2950"
Отправлено silencer , 06-Апр-06 14:37

>Подскажите, пожалуйста, возможно ли на связке 3550+2950 сделать "односторонний" VLAN?
>Смысл в чем. Есть несколько VLAN'ов: 101-106. 101 - серверный, доступ есть
>у всех. 102-105 - видят только 101, друг друга не видят.
>
>И есть VLAN106, администраторский, который должен видеть все остальные, но его быть
>видно не должно. Вот именно вот этот последний пункт и вызывает
>сомнения. Такое вообще возможно? Если возможно, то каким образом?

все это можно сделать аксесс-листами на 3550

"VLAN в связке 3550+2950"
Отправлено Feen , 06-Апр-06 14:41

Я так и подумал, нарезал VACL.
Не получается. Когда, к примеру VLAN 101 и 102 друг у друга в листах - проблем нет, но когда VLAN 106 есть в листе у 102, а 102 у 106-го нет, то пинг не идет в обе стороны. Что разумно, сам пинг доходит, а reply - не возвращается, поскольку закрыто...
ну...мне так кажется, нет?

"VLAN в связке 3550+2950"
Отправлено silencer , 06-Апр-06 18:26

>Я так и подумал, нарезал VACL.
>
>Не получается. Когда, к примеру VLAN 101 и 102 друг у друга
>в листах - проблем нет, но когда VLAN 106 есть в
>листе у 102, а 102 у 106-го нет, то пинг не
>идет в обе стороны. Что разумно, сам пинг доходит, а reply
>- не возвращается, поскольку закрыто...
>
>ну...мне так кажется, нет?

если мне не изменяет память, 3550 поддерживает ip access-lists. С их помошью удобнее доступ разграничить.
Кстати, какая версия иоса?

"VLAN в связке 3550+2950"
Отправлено vorch , 07-Апр-06 10:07

>Подскажите, пожалуйста, возможно ли на связке 3550+2950 сделать "односторонний" VLAN?
>Смысл в чем. Есть несколько VLAN'ов: 101-106. 101 - серверный, доступ есть
>у всех. 102-105 - видят только 101, друг друга не видят.
>
>И есть VLAN106, администраторский, который должен видеть все остальные, но его быть
>видно не должно. Вот именно вот этот последний пункт и вызывает
>сомнения. Такое вообще возможно? Если возможно, то каким образом?
В extended acl есть возможность установить параметр established. Т.е. будут пропускаться пакеты только в рамках уже установленного соединения. Если такой acl повесить на входящий в управляющий vlan, то инициатором соединения сможет выступать только управляющий vlan. Значит будут и пинги и прочие удовольствия. Я такое делал - вроде работает. Не скажу как это в циске реализовано, но в Linux анализируется syn-флаг. В циске по ходу должно быть тоже самое.