Есть куча клиентов, сидящих в одном vlan. У всех у
них прописан адрес VPN-сервера 192.168.10.1 Требуется поделить клиентов на
2 VLANа не изменяя у них настроек никаких. Т.е. адрес VPN-сервера,
ip-адреса, маска, шлюз - все должно остаться неизменным. На данный момент у
них у всех адреса из сетки 192.168.10.0/24, шлюз 192.168.10.1  Я хотел
решить вопрос вынеся адрес 192.168.10.1 на кошке с интерфейса fa 0/0.101
для которого явно прописан dot1q vlan 101 на loopback, чтобы организовать для
второго vlan еще один интерфейс fa 0/0.102 Однако unnumbered использовать
не удалось. Прописать для второго vlan другую сеть нельзя. Как выкрутиться?

• Один ip в 2 vlan,grfmaniak, 02:44 , 24-Авг-07
  • Один ip в 2 vlan,Изгой, 09:52 , 24-Авг-07
    • Один ip в 2 vlan,grfmaniak, 15:07 , 25-Авг-07
• Один ip в 2 vlan,vorch, 12:10 , 24-Авг-07
  • Один ip в 2 vlan,Harunaga, 12:53 , 24-Авг-07
• Один ip в 2 vlan,Alex, 10:12 , 28-Авг-07

Речь идет о cisco-роутере, который сам и является VPN-сервером для этих клиентов.
На нем и нужно сделать, чтобы адрес 192.168.10.1 остался доступен всем клиентам после деления их по двум vlan.

>Речь идет о cisco-роутере, который сам и является VPN-сервером для этих клиентов.
>
>На нем и нужно сделать, чтобы адрес 192.168.10.1 остался доступен всем клиентам
>после деления их по двум vlan.

Если ничё нельзя менять , перед роутером ставьте коммутатор , на нем поднимайте два влана без ip адресации можно устройство второго уровня , тока вот проблема как клиенты будут между собой общаться , или разделите по портам функция порт секььюрити без вланов ..если это так необходимо .. токо как гриться всё должно сходиться на одном свичеке и разделение будет жестким по портам вот и усё ..

>Если ничё нельзя менять , перед роутером ставьте коммутатор , на нем
>поднимайте два влана без ip адресации можно устройство второго уровня ,
>тока вот проблема как клиенты будут между собой общаться , или
>разделите по портам функция порт секььюрити без вланов ..если это так
>необходимо .. токо как гриться всё должно сходиться на одном свичеке
>и разделение будет жестким по портам вот и усё ..

Перед роутером и стоит коммутатор, в него включены два dslam, по которым и надо разнести эти два vlanа. Чтобы каждый dslam был в отдельном vlan. Сейчас они оба в одном и в результате не смотря на изоляцию портов на каждом dslamе, клиенты одного dslam видят широковещательный трафик клиентов другого dslam. Но если я на коммутаторе один порт переведу в другой vlan, то и на роутере мне придется сделать другой интерфейс dotq1, чем тут коммутатор поможет не могу понять?

Проблема в том, что вы хотите использовать полностью одинаковое адресное пространство в двух вланах, и для маршрутизации вам понадобится два L3 интерфейса с одинаковым адресом. Последнее предусматривает единственную возможность - vrf. Но ИМХО игра не стоит свеч. Если реорганизация необходима - меняйте адресацию, "костыли" до добра не доведут.

>Проблема в том, что вы хотите использовать полностью одинаковое адресное пространство в
>двух вланах, и для маршрутизации вам понадобится два L3 интерфейса с
>одинаковым адресом. Последнее предусматривает единственную возможность - vrf. Но ИМХО игра
>не стоит свеч. Если реорганизация необходима - меняйте адресацию, "костыли" до
>добра не доведут.

http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/produ...

Может быть это поможет?

А если использовать BVI, в бридж объединить эти два влана, адрес прописать на интерфейсе BVI.