Есть маршрутизатор (3725). На нем заведено много VLAN-ов.!
interface FastEthernet0/0.102
encapsulation dot1Q 102
ip address 10.200.0.65 255.255.255.224
ip access-group 100 in
no ip redirects
ip accounting output-packets
ip nat inside
rate-limit input access-group 115 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit input access-group 116 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit input access-group 118 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit input access-group 124 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit input access-group 125 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit input access-group 119 512000 64000 96000 conform-action transmit exceed-action drop
rate-limit input access-group 134 256000 16000 16000 conform-action transmit exceed-action drop
rate-limit input access-group 117 128000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 115 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit output access-group 116 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit output access-group 118 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit output access-group 124 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit output access-group 125 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit output access-group 119 512000 64000 96000 conform-action transmit exceed-action drop
rate-limit output access-group 134 256000 16000 16000 conform-action transmit exceed-action drop
rate-limit output access-group 117 128000 8000 8000 conform-action transmit exceed-action drop
ip policy route-map tst2
no ip mroute-cache
no cdp enable.
.
.
!
interface FastEthernet0/0.106
encapsulation dot1Q 106
ip address 10.200.0.105 255.255.255.252
ip access-group 100 in
no ip redirects
ip accounting output-packets
ip nat inside
rate-limit input 64000 4000 4000 conform-action transmit exceed-action drop
rate-limit output 64000 4000 4000 conform-action transmit exceed-action drop
ip policy route-map tst2
no ip mroute-cache
no cdp enable
!
.
.
.и так далее....
Проблема такая:
клиент из одного вилана может беспроблемно добраться до любого шлюза любого вилана.
Причем делает он это через шлюз своего вилана.
Подскажите, как закрыть это общение между виланами через маршрутизатор.
А еще бы очень хотелось, чтобы клиенты из одного вилана, но на разных свичах, тоже не могли общаться между собой напрямую.
Конечно можно на свичах понаделать ACL-ов, которые будут:
1. permit host host (gateway для данного вилана)
2. deny все серые адреса
3. permin все остальноеНо, по-моему, это идеологически неправильно. Хотя и работает.
Короче, клиент должен видеть только свой гейтвэй и весь инет...
>Есть маршрутизатор (3725). На нем заведено много VLAN-ов.
>
>!
>interface FastEthernet0/0.102
> encapsulation dot1Q 102
> ip address 10.200.0.65 255.255.255.224
> ip access-group 100 in
> no ip redirects
> ip accounting output-packets
> ip nat inside
> rate-limit input access-group 115 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 116 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 118 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 124 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 125 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 119 512000 64000 96000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 134 256000 16000 16000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 117 128000 8000 8000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 115 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 116 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 118 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 124 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 125 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 119 512000 64000 96000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 134 256000 16000 16000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 117 128000 8000 8000 conform-action transmit exceed-action drop
>
> ip policy route-map tst2
> no ip mroute-cache
> no cdp enable
>
>.
>.
>.
>!
>interface FastEthernet0/0.106
> encapsulation dot1Q 106
> ip address 10.200.0.105 255.255.255.252
> ip access-group 100 in
> no ip redirects
> ip accounting output-packets
> ip nat inside
> rate-limit input 64000 4000 4000 conform-action transmit exceed-action drop
> rate-limit output 64000 4000 4000 conform-action transmit exceed-action drop
> ip policy route-map tst2
> no ip mroute-cache
> no cdp enable
>!
>.
>.
>.
>
>и так далее....
>Проблема такая:
>клиент из одного вилана может беспроблемно добраться до любого шлюза любого вилана.
>
>Причем делает он это через шлюз своего вилана.
>Подскажите, как закрыть это общение между виланами через маршрутизатор.
>А еще бы очень хотелось, чтобы клиенты из одного вилана, но на
>разных свичах, тоже не могли общаться между собой напрямую.
>Конечно можно на свичах понаделать ACL-ов, которые будут:
>1. permit host host (gateway для данного вилана)
>2. deny все серые адреса
>3. permin все остальное
>
>Но, по-моему, это идеологически неправильно. Хотя и работает.
>
>Короче, клиент должен видеть только свой гейтвэй и весь инет...
В твоем случае лучше всего настроить несколько VRF на роутере. Транки остануться, но, используя VRF ты сможеш контролировать обмен трафиком между VRF.Про VRF можно почитать на cisco.com. В двух словах это виртуальный (в памяти кошки) процесс роутинга, со своей независимой таблицей маршрутизации.