Добрый день! Помогите чайнику!Дано:
Cisco 3550, в который воткнуты шнурки от хостов юзеров (где-то напрямую, где-то через неуправляемые свитчи). Также в эту циску воткнуты несколько серверов:
1) W2k server -контроллер домена: AD + DHCP (раздаёт клиентам IP)+ DNS + WINS (есть тачки W98). На этом серваке есть две сетевухи (Intel Pro). Одна смотрит в LAN (шнурок от неё идёт в 3550). Вторая для подачи Инета, воткнута в медиа-конвертер, к которому подключено волокно, инет даётся по PPPoE). На контроллере стоит Прокси для раздачи инета.
2) Два Windows 2003 servers - выполняют роль файловых серверов + на одном крутится сервер правовой системы ГАРАНТ и т.д. Они являются рядовыми серверами, обычными членами домена.Сетка 192.168.0.0 /24
IP контроллера - 192.168.0.1
IP Cisco 3550 - 192.168.0.10
IP серваков и некотррых юзерских машин зарезервированы и выдаются по их MAC-адресу.
Cisco 3550 крутится в режиме простого свитча. Все интерфейсы находятся в дефолтовом VLAN 1.Задача:
Необходимо подключить бухгалтерию (которая щас в отдельной сети 10.10.5.0 - находится в рабочей группе BUHGALTERIA)в общую сетку, т.е. чтобы ихние тачки стали членами домена,видели контроллер и остальные два сервера, получали инет, обновляли антивирь, печатали на сетевой принтер, но при этом к ним никто другой не имел доступ.
Почитал форум, нашёл много полезного, но не совсем догоняю как это всё применить именно к моему случаю.
Допустим сетке с бухгалтерией выделить адресацию 192.168.1.0 /24
Остальным юзерам 192.168.2.0 /24
Контроллеру и серверам видимо тоже своя сеть - ?Как я это вижу:
на 3550 создаем виланы и пихаем в них порты:
vlan database
(vlan)#vlan 2
(vlan)#vlan 3
(vlan)#vlan 4
vlan)#end
conf t
(config)#vlan 2
(config-vlan)#name BUHGALTERIA
(соnfig-vlan)#int fa 0/2
(config-if)#switchport access vlan 2
(config-if)#end
(config)#vlan 3
(config-vlan)#name USERS
(соnfig-vlan)#int fa 0/3
(config-if)#switchport access vlan 3
(config-if)#endДалее, как я понял надо создать VLAN, в который будут включены конроллер и серваки, сделать их видимыми для 2 и 3 VLAN. Вопрос в том как это сделать. Читал, что карты Intel Pro умеют работать с VLAN 802.1Q. Чую, что надо создать несколько виртуальных сетевух на контроллере, каждая из которых должна иметь адресацию нужного VLAN на циске. Потом надо прикрутить эти вир. подключения к порту(ам) циски. Также надо на контроллере как-то DHCP настроить на работу с каждой подсетью. Вобщем вопросов куча, а вот практики никакой. Кто чем поможет? Конечно, понимаю что хочу много. Но рамки сжаты по времени. Может, кто поможет?
Если ты создаешь отдельные VLAN для некоторый своих групп, то попробуй использовать данный свич в режиме маршрутизации. и на порты навешивать ACL.
Причем ты сможешь сам управлять по IP кому в какую сетку лазить и по какому порту.
>Если ты создаешь отдельные VLAN для некоторый своих групп, то попробуй использовать
>данный свич в режиме маршрутизации. и на порты навешивать ACL.
>Причем ты сможешь сам управлять по IP кому в какую сетку лазить
>и по какому порту.Тоже думал о таком варианте. Я так понимаю ты хочешь сказать "если свич поддерживает роутинг, то зачем придумывать велосипед?" Не подскажешь на примере, как это реализовать? Кстати, с точки зрения правил решения таких задач это будет наиболее правильным и оптимальным вариантом? Если учитывать такие критерии, как безопасность, нагрузку на 3550, узкие места...
>>Если ты создаешь отдельные VLAN для некоторый своих групп, то попробуй использовать
>>данный свич в режиме маршрутизации. и на порты навешивать ACL.
>>Причем ты сможешь сам управлять по IP кому в какую сетку лазить
>>и по какому порту.
>
>Тоже думал о таком варианте. Я так понимаю ты хочешь сказать "если
>свич поддерживает роутинг, то зачем придумывать велосипед?" Не подскажешь на примере,
> как это реализовать? Кстати, с точки зрения правил решения таких
>задач это будет наиболее правильным и оптимальным вариантом? Если учитывать такие
>критерии, как безопасность, нагрузку на 3550, узкие места...Однозначно вариант с маршрутизацией более правильный(по крайней мере именно его советуют использовать на всех курсах по CISCO)
Для включения маршрутизации назначаешь gataway на каждый vlan интерфейс
ip address x.x.x.x mask y.y.y.y
далее включаешь любой протокол роутинга (rip,ospf,....)
и рулишь acl для управления доступом....
все...
незабудь у клиентов прописать gateway по умолчанию........
>Однозначно вариант с маршрутизацией более правильный(по крайней мере именно его советуют использовать
>на всех курсах по CISCO)
>Для включения маршрутизации назначаешь gataway на каждый vlan интерфейс
>ip address x.x.x.x mask y.y.y.y
>далее включаешь любой протокол роутинга (rip,ospf,....)
>и рулишь acl для управления доступом....
>все...
>незабудь у клиентов прописать gateway по умолчанию........Спасибо за подсказку. Насколько я понял это будет выглядеть примерно так:
Допустим сетке с бухгалтерией выделить адресацию 192.168.1.0 /24
Остальным юзерам 192.168.2.0 /24
Контроллеру и серверам тоже свою сеть - 192.168.0.0 /24
IP контроллера домена - 192.168.0.1Тогда на 3550 наверное должно быть так:
vlan database
(vlan)#vlan 2
(vlan)#vlan 3
(vlan)#vlan 4
(vlan)#end
conf t
(config)#vlan 2
(config-vlan)#name BUHGALTERIA
(соnfig-vlan)#int fa 0/2
(config-if)#switchport access vlan 2
(config-if)#end
(config)#vlan 3
(config-vlan)#name USERS
(соnfig-vlan)#int fa 0/3
(config-if)#switchport access vlan 3
(config)#vlan 4
(config-vlan)#name SERVERS
(соnfig-vlan)#int range fa 0/4 - 6
(config-if)#switchport access vlan 4
(config-if)#end(config)#int vlan 2
(config-if)#ip address 192.168.1.0 mask 255.255.255.0
(config-if)#ip helper-address 192.168.0.100 mask 255.255.255.0
(config-if)#end
(config)#int vlan 3
(config-if)#ip address 192.168.2.0 mask 255.255.255.0
(config-if)#ip helper-address 192.168.0.100 mask 255.255.255.0
(config-if)#end
(config)#int vlan 4
(config-if)#ip address 192.168.0.100 mask 255.255.255.0
(config-if)#endПоправьте если где неправильно.
Вопросы:
1.Нужно ли указывать ip helper-address для 2 и 3 VLAN ?
2.Есть подозрение, что в vlan 4 надо инкапсулировать 802.1q, так как один из портов этого vlan будет подключен к карте IntelPro контроллера. Верно?
3.В DHCP контроллера надо будет создавать три разных пула для 3 подсетей. Будут ли клиенты корреткно получать IP-адреса и другие праметры (шлюз,днс и т.д.)?
Я думаю следующее:
1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера, то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает broadcast запрос по протоколу UDP, а так как сервера у тебя в другой сетке (т.е. рутер у тебя broadcast не пропускает), то эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу.
2) объясни неучу, что за Intel Pro?
>Я думаю следующее:
>1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера,
>то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает
>broadcast запрос по протоколу UDP, а так как сервера у тебя
>в другой сетке (т.е. рутер у тебя broadcast не пропускает), то
>эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу.
>
>2) объясни неучу, что за Intel Pro?несоветовал бы терминировать виланы на сервере, так как нагрузка будет двойная на канал между свитчом и сервером. Зачем изобретать велосипед, когда cisco делает это апаратно с помощью ASIC. Терминируй вланы на циске, а dhcp организуешь на сервере, включив dhcp helper, как было сказано выше.
>>Я думаю следующее:
>>1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера,
>>то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает
>>broadcast запрос по протоколу UDP, а так как сервера у тебя
>>в другой сетке (т.е. рутер у тебя broadcast не пропускает), то
>>эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу.
>>
>>2) объясни неучу, что за Intel Pro?
>
>несоветовал бы терминировать виланы на сервере, так как нагрузка будет двойная на
>канал между свитчом и сервером. Зачем изобретать велосипед, когда cisco делает
>это апаратно с помощью ASIC. Терминируй вланы на циске, а dhcp
>организуешь на сервере, включив dhcp helper, как было сказано выше.
Спасибо за советы, буду настраивать по такой схеме.По поводу сетевых адаптеров Intel Pro: они умеют работать с VLAN 802.1q т.е. можно на одном физическом адаптере создать несколько виртуальных и они при этом будут полноценными сетевыми подключениями. Каждому подключению можно присвоить свой IP, VLAN ID и таким образом на тачке где есть Intel Pro можно устроить VLAN-роутер.
>>Я думаю следующее:
>>1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера,
>>то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает
>>broadcast запрос по протоколу UDP, а так как сервера у тебя
>>в другой сетке (т.е. рутер у тебя broadcast не пропускает), то
>>эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу.
>>
>>2) объясни неучу, что за Intel Pro?
>
>несоветовал бы терминировать виланы на сервере, так как нагрузка будет двойная на
>канал между свитчом и сервером. Зачем изобретать велосипед, когда cisco делает
>это апаратно с помощью ASIC. Терминируй вланы на циске, а dhcp
>организуешь на сервере, включив dhcp helper, как было сказано выше.
Вобщем сделал я для начала так:vlan 2 name TEST
exit
conf t
int vlan 2
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.0.10
conf t
int fa 0/5
switchport access vlan 2
end
ip routingНазначил тестовому хосту:
ip 192.168.2.2 маска 255.255.255.0
шлюз 192.168.2.1ip контроллера домена 192.168.0.1,
ip циски 192.168.0.10 (соответственно и ip VLAN 1)все интерфейсы, кроме 5-го находятся в VLAN 1
Не пингуется 192.168.0.1 с тестового хоста 192.168.2.2
Пингуется только 192.168.0.10
Никаких ACL не создавал.Что не так? Что где забыл? Может данная версия IOS этой модели не поддерживает роутинг между VLAN?
cisco_3550#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C3550 Software (C3550-I9Q3L2-M), Version 12.1(22)EA1a, RELEASE SOFTWARE
(fc1)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Fri 20-Aug-04 00:30 by yenanh
Image text-base: 0x00003000, data-base: 0x006C5C6CROM: Bootstrap program is C3550 boot loader
cisco_3550 uptime is 4 weeks, 4 days, 2 hours, 21 minutes
System returned to ROM by power-on
System restarted at 19:14:59 UTC Sun Dec 17 2006
System image file is "flash:c3550-i9q3l2-mz.121-22.EA1a/c3550-i9q3l2-mz.121-22.E
A1a.bin"cisco WS-C3550-24 (PowerPC) processor (revision P0) with 65526K/8192K bytes of m
emory.
Processor board ID CAT0848Y2VX
Last reset from warm-reset
Running Layer2/3 Switching ImageEthernet-controller 1 has 12 Fast Ethernet/IEEE 802.3 interfaces
Ethernet-controller 2 has 12 Fast Ethernet/IEEE 802.3 interfaces
Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interface
Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interface
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)The password-recovery mechanism is enabled.
384K bytes of flash-simulated non-volatile configuration memory.
........................
Model revision number: P0
Motherboard revision number: A0
Model number: WS-C3550-24-SMI
..................................
cisco_3550#
Отвечаю на свои же вопросы1) Забыл прописать на контроллере маршрут в VLAN 2:
ip route add 192.168.2.0 mask 255.255.255.0 192.168.0.10.
2) Для получения параметров по DHCP, в качестве ip helper-address на VLAN 2 надо прописать IP контроллера: 192.168.0.1
После этого маршрутизация между VLAN заработала и параметры по DHCP передаются хосту в VLAN 2. Теперь надо настраивать ACL.
Есть следующие вопросы:
Раньше хосты авторизовались на прокси по IP (логин) и MAC (пароль). Теперь, так как тестовый хост находится в другом VLAN, то его mac-адрес бродкастом не передаётся на контроллер (другой VLAN), соответственно встаёт вопрос, какой наиболее надёжный способ авторизации теперь выбрать? Может кто сталкивался с такой проблемой? Что на 3550 можно дополнительно настроить для надёжности в данном случае? Прокся умеют авторизовать по IP+MAC или по logon+password (не очень нравится этот вариант).
Если эти вопросы уже для другой темы, то извините и пните в нужном направлении. Всем спасибо за советы.