Сеть на каталистах. Центральный рутит виланы. есть ли возможность закрыть доступ
одному из каталистов к одному из виланов (к одной из сетей) НЕ с помощью списка достпупа на центральном?

2950-------[3550(ip routing, vlans)]---------2950
3550------/

можно ли чтото сказать на одной 2950 чтобы юзера, которые на ней (например вилан 100 ), перестали иметь доступ например к вилану 150 ?? но на всех других свитчах все оставалось бы по прежнему?

спасибо.

• задачка с каталистами...,Scrappy, 10:17 , 20-Апр-06
  • задачка с каталистами...,mix, 10:29 , 20-Апр-06
    • задачка с каталистами...,Scrappy, 10:34 , 20-Апр-06
      • задачка с каталистами...,mix, 10:43 , 20-Апр-06
  • задачка с каталистами...,Олег, 10:40 , 20-Апр-06
    • задачка с каталистами...,mix, 10:44 , 20-Апр-06
      • задачка с каталистами...,w0nders, 02:13 , 24-Апр-06

>Сеть на каталистах. Центральный рутит виланы. есть ли возможность закрыть доступ
>одному из каталистов к одному из виланов (к одной из сетей) НЕ
>с помощью списка достпупа на центральном?
>
>2950-------[3550(ip routing, vlans)]---------2950
>3550------/
>
>можно ли чтото сказать на одной 2950 чтобы юзера, которые на ней
>(например вилан 100 ), перестали иметь доступ например к вилану 150
>?? но на всех других свитчах все оставалось бы по прежнему?
>
>
>
>
>спасибо.

Либо на нём создай свою базу vtp без 150 Vlana
либо на trunk повесть switchport trunk allowed vlan 151,153 (без 150)

создание виланов не подорйдет их очень много, и каталистов очень много, это я в схеме привел всего несколько. мало того, создание вилана там мало чего дает, все эти свитчи не поддерживают третий уровень и всеравно все гонять в центр.

на счет switchport trunk allowed vlan 151,153 (без 150)
я уже пробовал так, в принципе логично что не работает, ведь это актуально только
если 150 вилан нужно былобы отключить именно на этом каталисте!

а у нас то задачка ровно наоборот, отключить этих пользователей от 150 ((

>создание виланов не подорйдет их очень много, и каталистов очень много, это
>я в схеме привел всего несколько. мало того, создание вилана там
>мало чего дает, все эти свитчи не поддерживают третий уровень и
>всеравно все гонять в центр.
>
>
>на счет switchport trunk allowed vlan 151,153 (без 150)
>я уже пробовал так, в принципе логично что не работает, ведь это
>актуально только
>если 150 вилан нужно былобы отключить именно на этом каталисте!
>
>а у нас то задачка ровно наоборот, отключить этих пользователей от 150
>((

Тогда acl на 150 vlan повесь. Это получается самое логичное...

>Тогда acl на 150 vlan повесь. Это получается самое логичное...

я объямню почему я так не хотел делать, очень много компов в сети, все в разных виланах.
и весь этот зоопарк надо например резко отключить от 150 вилана на каталисте 2950 номер 1 понимаешь?

а каталистов этих 100 штук и на каждом из них виланов 5-6

а теперь прикинь какой получится список доступа?!

причем его надо делать для каждого набора ip адресов которые на каждом из ста коммутаторов (

вот почему это не реально..

Если я правильно понял, доступ осуществляется через interface vlan 1xx.
Чтобы ограничить доступ на/из vlan используйте vlan filter на 3550.

>Если я правильно понял, доступ осуществляется через interface vlan 1xx.
>Чтобы ограничить доступ на/из vlan используйте vlan filter на 3550.

а что за вилан фильтр? у меня фильтрация между виланами организована с помощью списков доступа, но этот вариант не подходит я выше написал почему...

>>Если я правильно понял, доступ осуществляется через interface vlan 1xx.
>>Чтобы ограничить доступ на/из vlan используйте vlan filter на 3550.
>
>
>а что за вилан фильтр? у меня фильтрация между виланами организована с
>помощью списков доступа, но этот вариант не подходит я выше написал
>почему...

обычный acl l2