URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1575
[ Назад ]

Исходное сообщение
"2911 + 4ESG + UniFi AP"
Отправлено shilvlad , 23-Дек-14 15:30

Добрый день, коллеги.
Пытаюсь сдружить UniFi точку доступа (на которой настроена рабочая VLAN 10 и гостевая VLAN 20).
В порт Gi0/0/1 модуля 4ESG идет проводочек от UniFi - будут подключаться пользователи и гости.
В порт Gi0/0/0 модуля 4ESG идет проводочек от большого свича - в него будут подключаться только пользователи.
Интерфейсы настроены следующим образом:
=======================================
interface GigabitEthernet0/0/0
switchport access vlan 10
no ip address
!
interface GigabitEthernet0/0/1
switchport trunk native vlan 10
switchport trunk allowed vlan 1,2,10,20,1002-1005 (причем, на кой черт IOS заставляет добавлять 1,2, 1002-1005 - не понятно).
no ip address
VLAN'ы настроены так:
=====================
interface Vlan1
no ip address
shutdown
!
interface Vlan10
ip address 10.1.0.1 255.255.0.0
!
interface Vlan20
ip address 10.2.0.1 255.255.0.0
!
DHCP настроены так:
===================
ip dhcp pool vlan10-pool
network 10.1.0.0 255.255.0.0
default-router 10.0.0.1
!
ip dhcp pool vlan20-pool
network 10.2.0.0 255.255.0.0
default-router 10.0.0.1

РЕЗУЛЬТАТ - ноутбук, подключенный к Gi0/0/1 через простенький свич вместе с точкой доступа не получает IP из VLAN10. И, видимо, точка доступа тоже не получает, раз ничего не работает :)
Собственно, когда я перетыкая свитч в порт Gi0/0/0 все получают свои IP, но тогда при подключении гостевого WiFi и рабочего, клиенты получают одинаковые IP.
Не могу понять что не так и окончательно запутываюсь. Помогите, пожалуйста.

Содержание

2911 + 4ESG + UniFi AP,ShyLion, 15:56 , 23-Дек-14
- 2911 + 4ESG + UniFi AP,shilvlad, 16:32 , 23-Дек-14
- 2911 + 4ESG + UniFi AP,shilvlad, 17:27 , 23-Дек-14
  - 2911 + 4ESG + UniFi AP,ShyLion, 07:03 , 24-Дек-14
2911 + 4ESG + UniFi AP,ShyLion, 07:06 , 24-Дек-14
- 2911 + 4ESG + UniFi AP,shilvlad, 09:27 , 24-Дек-14
2911 + 4ESG + UniFi AP,shilvlad, 12:46 , 24-Дек-14
- 2911 + 4ESG + UniFi AP,ShyLion, 13:14 , 24-Дек-14
  - 2911 + 4ESG + UniFi AP,shilvlad, 15:05 , 24-Дек-14
    - 2911 + 4ESG + UniFi AP,ShyLion, 15:09 , 24-Дек-14
      - 2911 + 4ESG + UniFi AP,shilvlad, 15:41 , 24-Дек-14
        
        2911 + 4ESG + UniFi AP,ShyLion, 11:59 , 25-Дек-14
        
        2911 + 4ESG + UniFi AP,shilvlad, 15:01 , 25-Дек-14
        
        2911 + 4ESG + UniFi AP,ShyLion, 16:17 , 25-Дек-14
        
        2911 + 4ESG + UniFi AP,ShyLion, 16:18 , 25-Дек-14

Сообщения в этом обсуждении

"2911 + 4ESG + UniFi AP"
Отправлено ShyLion , 23-Дек-14 15:56

> (на которой настроена рабочая VLAN 10
> interface GigabitEthernet0/0/1
> switchport trunk native vlan 10
одно с другим не вяжется
на точке надо 1 вилан рабочим делать тогда.
еще лучше под управление один вилан, под траффик другие.

"2911 + 4ESG + UniFi AP"
Отправлено shilvlad , 23-Дек-14 16:32

>> (на которой настроена рабочая VLAN 10
>> interface GigabitEthernet0/0/1
>> switchport trunk native vlan 10
> одно с другим не вяжется
> на точке надо 1 вилан рабочим делать тогда.
> еще лучше под управление один вилан, под траффик другие.
Не очень понимаю что с чем не вяжется?

"2911 + 4ESG + UniFi AP"
Отправлено shilvlad , 23-Дек-14 17:27

>> (на которой настроена рабочая VLAN 10
>> interface GigabitEthernet0/0/1
>> switchport trunk native vlan 10
> одно с другим не вяжется
> на точке надо 1 вилан рабочим делать тогда.
> еще лучше под управление один вилан, под траффик другие.
если trunk native не вяжется с чем-то, то это к тому указано, что если вдруг каким-то образом появится нетэгированный кадр, то он будет относится к рабочей сети.

"2911 + 4ESG + UniFi AP"
Отправлено ShyLion , 24-Дек-14 07:03

Для полноты картины надо видеть что настроено на точке, короче.

"2911 + 4ESG + UniFi AP"
Отправлено ShyLion , 24-Дек-14 07:06

Ну и до кучи еще
> interface GigabitEthernet0/0/0
>  switchport access vlan 10
switchport mode access
> interface GigabitEthernet0/0/1
>  switchport trunk native vlan 10
>  switchport trunk allowed vlan 1,2,10,20,1002-1005
switchport mode trunk

> (причем, на кой черт IOS заставляет
> добавлять 1,2, 1002-1005 - не понятно).
>  no ip address
1002-1005 для обратной совместимости со старыми протоколами. 2 это у тебя случайно вышло.

"2911 + 4ESG + UniFi AP"
Отправлено shilvlad , 24-Дек-14 09:27

>[оверквотинг удален]
> switchport mode access
>> interface GigabitEthernet0/0/1
>>  switchport trunk native vlan 10
>>  switchport trunk allowed vlan 1,2,10,20,1002-1005
> switchport mode trunk
>> (причем, на кой черт IOS заставляет
>> добавлять 1,2, 1002-1005 - не понятно).
>>  no ip address
> 1002-1005 для обратной совместимости со старыми протоколами. 2 это у тебя случайно
> вышло.
Догадывался же что туплю.
switchport mode trunk - спас ситуацию. Я - олень :)
Спасибо большое!
Работает вот так на ура:
interface GigabitEthernet0/0/1
switchport trunk native vlan 10
switchport trunk allowed vlan 1,10,20,1002-1005
switchport mode trunk
no ip address

"2911 + 4ESG + UniFi AP"
Отправлено shilvlad , 24-Дек-14 12:46

>[оверквотинг удален]
> ip dhcp pool vlan20-pool
> network 10.2.0.0 255.255.0.0
> default-router 10.0.0.1
> РЕЗУЛЬТАТ - ноутбук, подключенный к Gi0/0/1 через простенький свич вместе с точкой
> доступа не получает IP из VLAN10. И, видимо, точка доступа тоже
> не получает, раз ничего не работает :)
> Собственно, когда я перетыкая свитч в порт Gi0/0/0 все получают свои IP,
> но тогда при подключении гостевого WiFi и рабочего, клиенты получают одинаковые
> IP.
> Не могу понять что не так и окончательно запутываюсь. Помогите, пожалуйста.
В продолжение...
Есть тут же два интерфейса подключенные к двум провайдерам:
interface GigabitEthernet0/0
ip address dhcp
duplex auto
speed auto
interface GigabitEthernet0/1
ip address dhcp
duplex auto
speed auto

И три VLAN:
interface Vlan10
ip address 10.1.0.1 255.255.0.0
interface Vlan20
ip address 10.2.0.1 255.255.0.0
interface Vlan30
ip address 10.3.0.1 255.255.0.0

Как теперь настроить NAT таким образом, что бы:
клиенты из VLAN10 и VLAN20 лезли в интернет через Gi0/0
клиенты из VLAN30 лезли в инет через Gi0/0
Никогда не настраивал NAT для более чем одной VLAN

"2911 + 4ESG + UniFi AP"
Отправлено ShyLion , 24-Дек-14 13:14

> клиенты из VLAN10 и VLAN20 лезли в интернет через Gi0/0
> клиенты из VLAN30 лезли в инет через Gi0/0
Вкратце. Нужен второй роутер.
Извечная проблема.
На одном роутере решается извратом с VRF или полиси-роутингом, что в обоих случаях имеет свои минусы и конечно доп-нагрузка на CPU.
Темы "два интернета на одном роутере" сто раз обсуждались.

"2911 + 4ESG + UniFi AP"
Отправлено shilvlad , 24-Дек-14 15:05

>> клиенты из VLAN10 и VLAN20 лезли в интернет через Gi0/0
>> клиенты из VLAN30 лезли в инет через Gi0/0
> Вкратце. Нужен второй роутер.
> Извечная проблема.
> На одном роутере решается извратом с VRF или полиси-роутингом, что в обоих
> случаях имеет свои минусы и конечно доп-нагрузка на CPU.
> Темы "два интернета на одном роутере" сто раз обсуждались.
Тогда в догонку вопросец. Мне надо это дело запустить хотя бы временно. Как перекинуть все виланы в один внешний интерфейс? Опять туплю.
И второй вопрос. у меня ведь еще vlan1 есть (10.0.0.0/16) может как-то смаршрутизировать все виланы с vlan1, а из vlan1 настроить NAT наружу. Временно что бы работало пока я думать буду :).

"2911 + 4ESG + UniFi AP"
Отправлено ShyLion , 24-Дек-14 15:09

> Как перекинуть все виланы в один внешний интерфейс? Опять туплю.
Исходящий интерфейс определяется таблицей маршрутизации. Для интернета это маршрут 0.0.0.0 0.0.0.0.
> И второй вопрос. у меня ведь еще vlan1 есть (10.0.0.0/16) может как-то
> смаршрутизировать все виланы с vlan1, а из vlan1 настроить NAT наружу.
ээээ

"2911 + 4ESG + UniFi AP"
Отправлено shilvlad , 24-Дек-14 15:41

>> И второй вопрос. у меня ведь еще vlan1 есть (10.0.0.0/16) может как-то
>> смаршрутизировать все виланы с vlan1, а из vlan1 настроить NAT наружу.
> ээээ
Перечитал свой вопрос и тоже подумал "эээээ"
>> Как перекинуть все виланы в один внешний интерфейс? Опять туплю.
> Исходящий интерфейс определяется таблицей маршрутизации. Для интернета это маршрут 0.0.0.0
> 0.0.0.0.
Настроил вот так:
interface GigabitEthernet0/2
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Vlan1
ip address 10.0.0.1 255.255.0.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan10
ip address 10.1.0.1 255.255.0.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan20
ip address 10.2.0.1 255.255.0.0
!
interface Vlan30
ip address 10.3.0.1 255.255.0.0
ip nat inside source list 100 interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/2
!
access-list 100 permit ip 10.0.0.0 0.255.255.255 any
Наружка не пингуется. Опять где-то принципиально ошибаюсь?

"2911 + 4ESG + UniFi AP"
Отправлено ShyLion , 25-Дек-14 11:59

Откуда не пингуется?
почему на двух интерфейсах нет ip nat inside?

"2911 + 4ESG + UniFi AP"
Отправлено shilvlad , 25-Дек-14 15:01

> Откуда не пингуется?
> почему на двух интерфейсах нет ip nat inside?
Не пингуется с пк из сети vlan10. на остальных нет потому что пока что одну VLAN мучаю

"2911 + 4ESG + UniFi AP"
Отправлено ShyLion , 25-Дек-14 16:17

>> Откуда не пингуется?
>> почему на двух интерфейсах нет ip nat inside?
> Не пингуется с пк из сети vlan10. на остальных нет потому что
> пока что одну VLAN мучаю
show ip route
show ip nat translation
show ip nat interface

"2911 + 4ESG + UniFi AP"
Отправлено ShyLion , 25-Дек-14 16:18

>>> Откуда не пингуется?
>>> почему на двух интерфейсах нет ip nat inside?
>> Не пингуется с пк из сети vlan10. на остальных нет потому что
>> пока что одну VLAN мучаю
> show ip route
> show ip nat translation
> show ip nat interface
Ну и ты точно только реально не нужные строки конфига опустил? Аксес-листов там случаем нет на интерфейсах?
С роутера ping 8.8.8.8 работает?