Здравствуйте господа.
Проконсультируйте, плз., чайника.Стоит задача перестроить сеть офиса-уйти от плоской сети изолировав подразделения друг от друга. Домен, соответственно AD, несколько серверов. В качестве ядра сети предполагается использовать Catalyst 2960.
Опыт работы с оборудованием CISCO, минимален.
Тема неоднократно обсуждалась, в том числе и на этом форуме, но...
Собственно, чтобы не отвлекать - вопрос.Поддерживает ли данный аппарат (2960) встроенную маршрутизацию ?
Если да - как ее включить ?
Если нет - возможные пути решения.Убил день - не могу справиться.
Станции юзеров (в Vlan-ах) получают IP от DHCP поднятого на DC в одном из Vlan-ов - нет проблем. С той же станции пингую порт на коммутаторе, как своей подсети (он есть шлюз по умолчанию для подсети), так и другой порт на 2960, который смотрит на Vlan с серверами. Но вот сами серверы не пингуются. Т.е., похоже, роутинг не работает.
Неужели не поддерживается ?
Если все так печально, то наверное придется роутить чем то снаружи ? Например FreeBSD ?
IOS сменить невозможно ?CISCO Catalyst 2960
c2960-lanbase-mz.122-25.SEE2 (размер - около 8К, всего - 32К)Буду очень признателен за любую помощь.
Спасибо.
Дык это же Layer2 свич. Он не умеет маршрутизировать. Вам надо искать свич Layer3 или действительноставить роутер на FreeBSD.
>Здравствуйте господа.
>Проконсультируйте, плз., чайника.
>
>Стоит задача перестроить сеть офиса-уйти от плоской сети изолировав подразделения друг от
>друга. Домен, соответственно AD, несколько серверов. В качестве ядра сети предполагается
>использовать Catalyst 2960.
>Опыт работы с оборудованием CISCO, минимален.
>Тема неоднократно обсуждалась, в том числе и на этом форуме, но...
>Собственно, чтобы не отвлекать - вопрос.
>
>Поддерживает ли данный аппарат (2960) встроенную маршрутизацию ?
>Если да - как ее включить ?
>Если нет - возможные пути решения.
>
>Убил день - не могу справиться.
>Станции юзеров (в Vlan-ах) получают IP от DHCP поднятого на DC в
>одном из Vlan-ов - нет проблем. С той же станции пингую
>порт на коммутаторе, как своей подсети (он есть шлюз по умолчанию
>для подсети), так и другой порт на 2960, который смотрит на
>Vlan с серверами. Но вот сами серверы не пингуются. Т.е., похоже,
>роутинг не работает.
>Неужели не поддерживается ?
>Если все так печально, то наверное придется роутить чем то снаружи ?
>Например FreeBSD ?
>IOS сменить невозможно ?
>
>CISCO Catalyst 2960
>c2960-lanbase-mz.122-25.SEE2 (размер - около 8К, всего - 32К)
>
>Буду очень признателен за любую помощь.
>Спасибо.
Спасибо за ответ, но теперь появилось продолжение вопроса.
Поднял FreeBSD, роутинг есть, но все видят всех. Т.е. станция из вилана пингует любую станцию или сервер в любом вилане. Попробовал поднять access-list на Catalyst-е - никакой реакции. Есть конечно вариант с ipfw на фре, но скорее всего что-то не так делаю.
Вопрос.
Как правильно управлять роутингом между виланами на cat2960 с внешним роутером на фре, access-list-ами на самом комутаторе, или правилами на freebsd(роутере)?
Спасибо.
>>Здравствуйте господа.
>>Проконсультируйте, плз., чайника.
>>
>>Стоит задача перестроить сеть офиса-уйти от плоской сети изолировав подразделения друг от
>>друга. Домен, соответственно AD, несколько серверов. В качестве ядра сети предполагается
>>использовать Catalyst 2960.
>>Опыт работы с оборудованием CISCO, минимален.
>>Тема неоднократно обсуждалась, в том числе и на этом форуме, но...
>>Собственно, чтобы не отвлекать - вопрос.
>>
>>Поддерживает ли данный аппарат (2960) встроенную маршрутизацию ?
>>Если да - как ее включить ?
>>Если нет - возможные пути решения.
>>
>>Убил день - не могу справиться.
>>Станции юзеров (в Vlan-ах) получают IP от DHCP поднятого на DC в
>>одном из Vlan-ов - нет проблем. С той же станции пингую
>>порт на коммутаторе, как своей подсети (он есть шлюз по умолчанию
>>для подсети), так и другой порт на 2960, который смотрит на
>>Vlan с серверами. Но вот сами серверы не пингуются. Т.е., похоже,
>>роутинг не работает.
>>Неужели не поддерживается ?
>>Если все так печально, то наверное придется роутить чем то снаружи ?
>>Например FreeBSD ?
>>IOS сменить невозможно ?
>>
>>CISCO Catalyst 2960
>>c2960-lanbase-mz.122-25.SEE2 (размер - около 8К, всего - 32К)
>>
>>Буду очень признателен за любую помощь.
>>Спасибо.
>
>
>Спасибо за ответ, но теперь появилось продолжение вопроса.
>Поднял FreeBSD, роутинг есть, но все видят всех. Т.е. станция из вилана
>пингует любую станцию или сервер в любом вилане. Попробовал поднять access-list
>на Catalyst-е - никакой реакции. Есть конечно вариант с ipfw на
>фре, но скорее всего что-то не так делаю.
>Вопрос.
>Как правильно управлять роутингом между виланами на cat2960 с внешним роутером на
>фре, access-list-ами на самом комутаторе, или правилами на freebsd(роутере)?
>Спасибо.1. Поднять vlanы на коммутаторе
2. Распихать хосты по нужным vlanам.
3. Один из портов коммутатора сделать транком, на котором прописать все vlanы.
4. В этот транковый порт подключить FreeBSD, которая будет разруливать vlanы по транку и заниматься inter-vlan-routingом.
5. Создать на FreeBSD vlanы с теми же номерами которые на коммутаторе и прописать каждому сеть/маску.
6. Поднять ipfw, ipf, pf (что ближе к душе лежит) и прописать правила кому куда можно ходить и что разрешено.
7. Вроде всё.
>>>Здравствуйте господа.
>>>Проконсультируйте, плз., чайника.
>>>
>>>Стоит задача перестроить сеть офиса-уйти от плоской сети изолировав подразделения друг от
>>>друга. Домен, соответственно AD, несколько серверов. В качестве ядра сети предполагается
>>>использовать Catalyst 2960.
>>>Опыт работы с оборудованием CISCO, минимален.
>>>Тема неоднократно обсуждалась, в том числе и на этом форуме, но...
>>>Собственно, чтобы не отвлекать - вопрос.
>>>
>>>Поддерживает ли данный аппарат (2960) встроенную маршрутизацию ?
>>>Если да - как ее включить ?
>>>Если нет - возможные пути решения.
>>>
>>>Убил день - не могу справиться.
>>>Станции юзеров (в Vlan-ах) получают IP от DHCP поднятого на DC в
>>>одном из Vlan-ов - нет проблем. С той же станции пингую
>>>порт на коммутаторе, как своей подсети (он есть шлюз по умолчанию
>>>для подсети), так и другой порт на 2960, который смотрит на
>>>Vlan с серверами. Но вот сами серверы не пингуются. Т.е., похоже,
>>>роутинг не работает.
>>>Неужели не поддерживается ?
>>>Если все так печально, то наверное придется роутить чем то снаружи ?
>>>Например FreeBSD ?
>>>IOS сменить невозможно ?
>>>
>>>CISCO Catalyst 2960
>>>c2960-lanbase-mz.122-25.SEE2 (размер - около 8К, всего - 32К)
>>>
>>>Буду очень признателен за любую помощь.
>>>Спасибо.
>>
>>
>>Спасибо за ответ, но теперь появилось продолжение вопроса.
>>Поднял FreeBSD, роутинг есть, но все видят всех. Т.е. станция из вилана
>>пингует любую станцию или сервер в любом вилане. Попробовал поднять access-list
>>на Catalyst-е - никакой реакции. Есть конечно вариант с ipfw на
>>фре, но скорее всего что-то не так делаю.
>>Вопрос.
>>Как правильно управлять роутингом между виланами на cat2960 с внешним роутером на
>>фре, access-list-ами на самом комутаторе, или правилами на freebsd(роутере)?
>>Спасибо.
>
>1. Поднять vlanы на коммутаторе
>2. Распихать хосты по нужным vlanам.
>3. Один из портов коммутатора сделать транком, на котором прописать все vlanы.
>
>4. В этот транковый порт подключить FreeBSD, которая будет разруливать vlanы по
>транку и заниматься inter-vlan-routingом.
>5. Создать на FreeBSD vlanы с теми же номерами которые на коммутаторе
>и прописать каждому сеть/маску.
>6. Поднять ipfw, ipf, pf (что ближе к душе лежит) и прописать
>правила кому куда можно ходить и что разрешено.
>7. Вроде всё.
Благодарю за оперативный ответ.
Вот все в точности как Вы сказали уже сделано.
Вопрос в роутинге (сейчас все видят всех).
Уточню вопрос.
Не могу добиться реакции на access-list-ы повешеные на Vlan-ы (например int vlan X). Если тот же access-list вешаю на fe0/X, входящий в тот-же vlan X - работает.
Так должно быть ?
(Роутинг на Фре пока не трогаем).
>>>>Здравствуйте господа.
>>>>Проконсультируйте, плз., чайника.
>>>>
>>>>Стоит задача перестроить сеть офиса-уйти от плоской сети изолировав подразделения друг от
>>>>друга. Домен, соответственно AD, несколько серверов. В качестве ядра сети предполагается
>>>>использовать Catalyst 2960.
>>>>Опыт работы с оборудованием CISCO, минимален.
>>>>Тема неоднократно обсуждалась, в том числе и на этом форуме, но...
>>>>Собственно, чтобы не отвлекать - вопрос.
>>>>
>>>>Поддерживает ли данный аппарат (2960) встроенную маршрутизацию ?
>>>>Если да - как ее включить ?
>>>>Если нет - возможные пути решения.
>>>>
>>>>Убил день - не могу справиться.
>>>>Станции юзеров (в Vlan-ах) получают IP от DHCP поднятого на DC в
>>>>одном из Vlan-ов - нет проблем. С той же станции пингую
>>>>порт на коммутаторе, как своей подсети (он есть шлюз по умолчанию
>>>>для подсети), так и другой порт на 2960, который смотрит на
>>>>Vlan с серверами. Но вот сами серверы не пингуются. Т.е., похоже,
>>>>роутинг не работает.
>>>>Неужели не поддерживается ?
>>>>Если все так печально, то наверное придется роутить чем то снаружи ?
>>>>Например FreeBSD ?
>>>>IOS сменить невозможно ?
>>>>
>>>>CISCO Catalyst 2960
>>>>c2960-lanbase-mz.122-25.SEE2 (размер - около 8К, всего - 32К)
>>>>
>>>>Буду очень признателен за любую помощь.
>>>>Спасибо.
>>>
>>>
>>>Спасибо за ответ, но теперь появилось продолжение вопроса.
>>>Поднял FreeBSD, роутинг есть, но все видят всех. Т.е. станция из вилана
>>>пингует любую станцию или сервер в любом вилане. Попробовал поднять access-list
>>>на Catalyst-е - никакой реакции. Есть конечно вариант с ipfw на
>>>фре, но скорее всего что-то не так делаю.
>>>Вопрос.
>>>Как правильно управлять роутингом между виланами на cat2960 с внешним роутером на
>>>фре, access-list-ами на самом комутаторе, или правилами на freebsd(роутере)?
>>>Спасибо.
>>
>>1. Поднять vlanы на коммутаторе
>>2. Распихать хосты по нужным vlanам.
>>3. Один из портов коммутатора сделать транком, на котором прописать все vlanы.
>>
>>4. В этот транковый порт подключить FreeBSD, которая будет разруливать vlanы по
>>транку и заниматься inter-vlan-routingом.
>>5. Создать на FreeBSD vlanы с теми же номерами которые на коммутаторе
>>и прописать каждому сеть/маску.
>>6. Поднять ipfw, ipf, pf (что ближе к душе лежит) и прописать
>>правила кому куда можно ходить и что разрешено.
>>7. Вроде всё.
>
>
>Благодарю за оперативный ответ.
>Вот все в точности как Вы сказали уже сделано.
>Вопрос в роутинге (сейчас все видят всех).
>Уточню вопрос.
>Не могу добиться реакции на access-list-ы повешеные на Vlan-ы (например int vlan
>X). Если тот же access-list вешаю на fe0/X, входящий в тот-же
>vlan X - работает.
>Так должно быть ?
>(Роутинг на Фре пока не трогаем).
По-поводу acl на физическом порту - так и должно быть. Это фича. На SVI у вас не будет работать acl, так как данная функция не поддерживается ASIC'ом.
>
>
>Благодарю за оперативный ответ.
>Вот все в точности как Вы сказали уже сделано.
>Вопрос в роутинге (сейчас все видят всех).
>Уточню вопрос.
>Не могу добиться реакции на access-list-ы повешеные на Vlan-ы (например int vlan
>X). Если тот же access-list вешаю на fe0/X, входящий в тот-же
>vlan X - работает.
>Так должно быть ?
>(Роутинг на Фре пока не трогаем).Да, так и должно быть!
2960 о роутинге НИЧЕГО незнает, и пакеты уходят на шлюз (вашу ФРЮ) не попадая на интерфейс VLAN X.
Фильтровать надо на шлюзе!, т.е. на фрюшке.
>
>>
>>
>>Благодарю за оперативный ответ.
>>Вот все в точности как Вы сказали уже сделано.
>>Вопрос в роутинге (сейчас все видят всех).
>>Уточню вопрос.
>>Не могу добиться реакции на access-list-ы повешеные на Vlan-ы (например int vlan
>>X). Если тот же access-list вешаю на fe0/X, входящий в тот-же
>>vlan X - работает.
>>Так должно быть ?
>>(Роутинг на Фре пока не трогаем).
>
>Да, так и должно быть!
>2960 о роутинге НИЧЕГО незнает, и пакеты уходят на шлюз (вашу ФРЮ)
>не попадая на интерфейс VLAN X.
>Фильтровать надо на шлюзе!, т.е. на фрюшке.Добрый день господа.
Всем признателен за ответы, спасибо.В принципе построенная по указанной выше схеме сеть работает, остался один вопрос.
Все виланы работают с одним общим, серверным виланом, друг друга не видят - ok.
Но хотелось сделать еще один вилан, для админов, из которого была бы возможность видеть и работать с любым виланом, но в обратную сторону чтобы deny.
Такое возможно ?
>>
>>>
>>>
>>>Благодарю за оперативный ответ.
>>>Вот все в точности как Вы сказали уже сделано.
>>>Вопрос в роутинге (сейчас все видят всех).
>>>Уточню вопрос.
>>>Не могу добиться реакции на access-list-ы повешеные на Vlan-ы (например int vlan
>>>X). Если тот же access-list вешаю на fe0/X, входящий в тот-же
>>>vlan X - работает.
>>>Так должно быть ?
>>>(Роутинг на Фре пока не трогаем).
>>
>>Да, так и должно быть!
>>2960 о роутинге НИЧЕГО незнает, и пакеты уходят на шлюз (вашу ФРЮ)
>>не попадая на интерфейс VLAN X.
>>Фильтровать надо на шлюзе!, т.е. на фрюшке.
>
>Добрый день господа.
>Всем признателен за ответы, спасибо.
>
>В принципе построенная по указанной выше схеме сеть работает, остался один вопрос.
>
>Все виланы работают с одним общим, серверным виланом, друг друга не видят
>- ok.
>Но хотелось сделать еще один вилан, для админов, из которого была бы
>возможность видеть и работать с любым виланом, но в обратную сторону
>чтобы deny.
>Такое возможно ?
Если файрвол такое может обеспечить - то возможно :)
port protected , + шлюзы на фри , для плоской и не плоской сети ещё подойдёт широковещательный фильтр на портах + скрипты арпа на компах - самый дешёвый вариант ..
тогда можно обойтись одним 2960 при чём + плоскую сеть оставить , единственное общение с друг другом хосты смогут тока в своём микросегменте но с серверами тоже смогут .. ну это так если у нас нету денег . Но есть свои удобства и свои минусы.