Здравствуйте.
Хочу разделить сервера и клиентов на несколько VLAN, условно 10-ая и 20-а.
Все сервера и клиенты на данный момент подключены на Catalyst 3550, позже будут на 4500.
При этом, хочу чтобы сервера были в одной сети (10.0.1.1), а клиенты в другой (10.0.2.1) + получают IP адреса с DHCP.
Теоретическая часть такая:
1. На сервере windows 2003 поднимаю DHCP с двумя scope, сервера - 10.0.1.1 и клиенты - 10.0.2.1
2. Интерфейс сервера 2003 подключаю на 1-ый порт каталиста и делаю его (порт) транковым, с VLAN'ми 10 и 20.
3. Выделяю порты на каталисте для серверов и клиентов, условно с 1-го по 10-ый сервера, с 20-го по 30 клиенты. На портах с 1-го по 10-ый VLAN 10, на 20-30 портах VLAN 20.
4. Собственно настраиваю VLAN'ы с указанием DHCP Relay.
Ниже привожу конфиг каталиста { все порты убрал для сокращения, оставил только 1-ый (trunk, dhcp server), 10-ый (access, VLAN 10) и 20-ый(access, VLAN 20) }
...........................................................................
catalyst#sh run
Building configuration...Current configuration : 3976 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname catalyst
!
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXXX
enable password XXXXXXXXXX
!
ip subnet-zero
!
!
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
!
!
!
!
!
interface FastEthernet0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10,20
switchport mode trunk
!
interface FastEthernet0/10
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/20
switchport access vlan 20
switchport mode access
!
interface Vlan1
no ip address
!
interface Vlan10
ip address 10.0.1.200 255.255.255.0
ip helper-address 10.0.1.201
!
interface Vlan20
ip address 10.0.2.200 255.255.255.0
ip helper-address 10.0.2.201
!
ip classless
ip http server
!
!
line con 0
line vty 0 4
password XXXXXXXXXX
login
line vty 5 15
password XXXXXXXXXX
login
!
!
end
...........................................................................
На сервере 2003, как я уже говорил, два scope, выдающие IP из диапозонов:
10.0.1.1-10.0.1.200 / 24
и
10.0.2.1-10.0.2.200 / 24Резюме, как вы понимаете, - нифига не работает :)
Во-первых: с каталиста не пингуется сервер 2003, равно как и с сервера не пингуются VLAN.
Во-вторых: подключаемая рабочая станция в 10 или 20 порт не получает IP с сервера 2003.
В-третих: если на рабочей станции указать IP адрес вручную из любого диапозона и подключить к соответствующему порту (VLAN), то VLAN пингуется.Расскажите, где я лошара.
Заранее спасибо.
>[оверквотинг удален]
>Резюме, как вы понимаете, - нифига не работает :)
>Во-первых: с каталиста не пингуется сервер 2003, равно как и с сервера
>не пингуются VLAN.
>Во-вторых: подключаемая рабочая станция в 10 или 20 порт не получает IP
>с сервера 2003.
>В-третих: если на рабочей станции указать IP адрес вручную из любого диапозона
>и подключить к соответствующему порту (VLAN), то VLAN пингуется.
>
>Расскажите, где я лошара.
>Заранее спасибо.в теории не описано поднятие виланов на MS W2003, на практике надеюсь наоборот?
>в теории не описано поднятие виланов на MS W2003, на практике надеюсь
>наоборот?Нет, не наоборот.
Надо ?
>>в теории не описано поднятие виланов на MS W2003, на практике надеюсь
>>наоборот?
>
>Нет, не наоборот.
>Надо ?ищобы:) кто тебе пакеты теггировать будет? или на свитче мультивлан? на 3550, по-моему, не реализовано.
>>>в теории не описано поднятие виланов на MS W2003, на практике надеюсь
>>>наоборот?
>>
>>Нет, не наоборот.
>>Надо ?
>
>ищобы:) кто тебе пакеты теггировать будет? или на свитче мультивлан? на 3550,
>по-моему, не реализовано.А что предпочтительнее вообще ?
Не идет ли создание мультивиланов в разрез с rfc?
>>в теории не описано поднятие виланов на MS W2003, на практике надеюсь
>>наоборот?
>
>Нет, не наоборот.
>Надо ?Если тебе надо чтоб винда понимала тэгируемые виланы - у тебя д.б. сетевая карта с поддержкой 802.1q, и специальные дрова для винды. Например Intel PRO/1000 MT и под нее софт Intel PRO SET. или DLink DGE-530T, под нее соответствующий софт на диске в комплекте имеется. У меня как раз такая на сервере стоит. В этом случае у тебя в "Сетевых подключениях" будут новые подключения - это сети vlan. Для каждого из них надо прописать свой ip, маску, шлюз и т.д.
Если ты хочешь чтоб интерфейс винды был в конкртеном vlanе то на соответствующем порту cisco этот vlan д.б. НЕ тегируемым. Нетегируемый vlan может быть на порту только один.
Большое спасибо за ответы.
Поставил родные Intel драйвера, создал два VLAN, все VLAN увиделись, как с циски, так и с сервера.
Вопрос остался не ясен, что делать с DHCP сервером ?
Сейчас он сел на IP адрес последнего созданного VLAN'а.
>Вопрос остался не ясен, что делать с DHCP сервером ?
>Сейчас он сел на IP адрес последнего созданного VLAN'а.DHCP сервер поднимается на CISCO и раздает адреса в разные vlanы. Для одного vlan одна подсеть - например 10.1.2.0 а для другого другая - например 10.1.3.0
>DHCP сервер поднимается на CISCO и раздает адреса в разные vlanы. Для
>одного vlan одна подсеть - например 10.1.2.0 а для другого другая
>- например 10.1.3.0Не совсем так. У меня DHCP поднят на сервере win2003. Мне не ясно, на основании чего он выбрал IP адрес одного VLAN, а не другого ?
>>DHCP сервер поднимается на CISCO и раздает адреса в разные vlanы. Для
>>одного vlan одна подсеть - например 10.1.2.0 а для другого другая
>>- например 10.1.3.0
>
>Не совсем так. У меня DHCP поднят на сервере win2003. Мне не
>ясно, на основании чего он выбрал IP адрес одного VLAN, а
>не другого ?По идее ты должен задать пул адресов ( в майкрософт это по моему skope называется ), какой ты задал - из какой подсетки - см. выше пример - соответственно в такой VLAN он раздавать и будет.
Но лучше сделать DHCP на CISCO - я лично видел такую рабочую реализацию - все корректно работало - в разных vlanах разные Ip
>По идее ты должен задать пул адресов ( в майкрософт это по
>моему skope называется ), какой ты задал - из какой подсетки
>- см. выше пример - соответственно в такой VLAN он раздавать
>и будет.
> Но лучше сделать DHCP на CISCO - я лично видел
>такую рабочую реализацию - все корректно работало - в разных vlanах
>разные IpТы меня не совсем понял.
На Win2003 DHCP я поднял, scope создал, две штуки, каждый для своего вилана. И всё это я уже протестировал, всё прекрасно работает, айпи отдаются из соответствующего скопа, в зависимости от того, к какому порту подсоединена станция. Т.е. тут вопросов нет, всё ок. Вопрос в другом: почему dhcp сервер сел на тот , а не на другой айпи ? Т.е. после создания двух виланов, появились два интерфейса, на каждом я прописал их айпи:
10.141.1.1 и 10.141.95.1 Так вот почему dhcp сел на адрес 10.141.95.1, а не на 10.141.1.1 ??
>>DHCP сервер поднимается на CISCO и раздает адреса в разные vlanы. Для
>>одного vlan одна подсеть - например 10.1.2.0 а для другого другая
>>- например 10.1.3.0
>
>Не совсем так. У меня DHCP поднят на сервере win2003. Мне не
>ясно, на основании чего он выбрал IP адрес одного VLAN, а
>не другого ?а если врубить:
ip dhcp-server ip-W2003 киса по броудкасту не будет делать, как роутер?попробуй - отпиши.
>а если врубить:
> ip dhcp-server ip-W2003 киса по броудкасту не будет делать, как роутер?
>
>
>попробуй - отпиши.А нет такого :(
catalyst(config-if)#ip dhcp ?
relay DHCP relay configuration parameterscatalyst(config-if)#ip dhcp relay ?
information DHCP relay information optioncatalyst(config-if)#ip dhcp relay information ?
trusted Received DHCP packet may contain relay info option with zero giaddrcatalyst(config-if)#ip dhcp relay information trusted ?
<cr>
>[оверквотинг удален]
>
>catalyst(config-if)#ip dhcp relay ?
> information DHCP relay information option
>
>catalyst(config-if)#ip dhcp relay information ?
> trusted Received DHCP packet may contain relay info option
>with zero giaddr
>
>catalyst(config-if)#ip dhcp relay information trusted ?
> <cr>Switch(config)# service dhcp
!ВКЛючим.
Switch(config)# ip dhcp relay information option
!default vlan (Management)
Switch(config)# interface vlan 1
!Cisco IP
Switch(config-if)# ip address 10.0.0.1 255.0.0.0
!W2003
Switch(config-if)# ip helper-address 10.0.1.2
!готово
Switch(config-if)# exit
ну и не забудь чтобы порты были транковые и аксессные в соответствии.
отпиши, если получицца
>[оверквотинг удален]
>Switch(config-if)# ip helper-address 10.0.1.2
>!готово
>Switch(config-if)# exit
>
>
>ну и не забудь чтобы порты были транковые и аксессные в соответствии.
>
>
>
>отпиши, если получиццаПогоди, что-то ты меня запутал немного :)
А чем это отличается от моего текущего конфига:interface Vlan95
no ip address
ip helper-address 10.0.1.2
!
interface Vlan141
no ip address
ip helper-address 10.0.2.2................................
у меня проблема то заключалась в том, что циска не видела сервер с dhcp. Решилось всё установкой драйверов для серверного адаптера и настройкой на нем виланов. А тот конфиг, который ты пишешь, он по сути у меня и есть. Нет только:>Switch(config)# service dhcp
>!ВКЛючим.
>Switch(config)# ip dhcp relay information option
>!default vlan (Management)да и на виланах мне айпишники не нужны.
Или мы чего-то опять друг друга не поняли ? :)
P.S. ну а если я снесу виланы на карте у сервера, то циска опять перестанет видить сервер, и броадкасты не будут ходить...
>[оверквотинг удален]
>
>>Switch(config)# service dhcp
>>!ВКЛючим.
>>Switch(config)# ip dhcp relay information option
>>!default vlan (Management)
>
>да и на виланах мне айпишники не нужны.
>Или мы чего-то опять друг друга не поняли ? :)
>P.S. ну а если я снесу виланы на карте у сервера, то
>циска опять перестанет видить сервер, и броадкасты не будут ходить...я про то чтоб опции не забыть врубить :)
конфиг скинул образно, что к чему и с чем завязано.
тут подробно:
http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/so...
Есть вопросы по поводу теоритической части.1. Зачем вам dhcp пул для серверов ?
2. А транк до 2003 зачем ??? Вы собираетесь там роутить между вланами ? 2003 - не лучшее место для этого. Транк для работы dhcp сервера не требуется.
3. OK.
4. Очень сомнительно что Вам нужен dhcp relay в случае транка. Единственное что тут надо - заставить dhcp сервер слушать 0.0.0.0Т.е. в Вашем случае лучше сделать так:
Сервера в 10 влан, даже win 2003.
клиенты в 20 влан.
на win2003 единственный scope для клиентов. (если будет второй для серверов - ничего не меняется, но на мой взгляд он не нужен)
на 3550 на int vlan20 ввести ip helper-address _ip_win2003_
все.>[оверквотинг удален]
>10.0.1.1 и клиенты - 10.0.2.1
>2. Интерфейс сервера 2003 подключаю на 1-ый порт каталиста и делаю его
>(порт) транковым, с VLAN'ми 10 и 20.
>3. Выделяю порты на каталисте для серверов и клиентов, условно с 1-го
>по 10-ый сервера, с 20-го по 30 клиенты. На портах с
>1-го по 10-ый VLAN 10, на 20-30 портах VLAN 20.
>4. Собственно настраиваю VLAN'ы с указанием DHCP Relay.
>Ниже привожу конфиг каталиста { все порты убрал для сокращения, оставил только
>1-ый (trunk, dhcp server), 10-ый (access, VLAN 10) и 20-ый(access, VLAN
>20) }
>[оверквотинг удален]
>что тут надо - заставить dhcp сервер слушать 0.0.0.0
>
>Т.е. в Вашем случае лучше сделать так:
>Сервера в 10 влан, даже win 2003.
>клиенты в 20 влан.
>на win2003 единственный scope для клиентов. (если будет второй для серверов -
>ничего не меняется, но на мой взгляд он не нужен)
>на 3550 на int vlan20 ввести ip helper-address _ip_win2003_
>все.
>1. DHCP пул для серверов я просто указал в качестве примера. Конечно, скорее всего он не нужен, т.к. как правило они имеют статические адреса. Сама задача гораздо шире, но чтобы не описывать всё, я решил сократить до минимума и описать схему. Второй, третий и т.д. пул можно использовать, чтобы поделить клиентов на этажах ну или еще как, в зависимости от ситуации.
2. Транк до 2003 сервера необходим для того, чтобы разделить сети на виланы, т.е. условно:
vlan 10 - сеть 10.0.1.1
vlan 20 - сеть 10.0.2.1
vlan 30 - сеть 10.0.3.1
и т.д.
Я, к сожалению, не представляю, как можно реализовать такое разделение без транка.
">на win2003 единственный scope для клиентов. (если будет второй для серверов -
>ничего не меняется, но на мой взгляд он не нужен)" - вот тут то как раз мне и не ясно: две сети, два скопа, каким образом, без использования виланов и соответствущих релей агентов, клиенты буду получать адреса из тех или иных скопов ? (есть несколько неудобный способ привязки клиентов: ipconfig /setclassid адаптер, но это всётаки действительно неудобно)
2. Сделайте это на цыске.Цыска изменит src-address dhcp-запроса на броадкаст сети. dhcp сервер по этому src поймет из какого scope выдавать ip. Это стандартная фича...
>[оверквотинг удален]
>2. Транк до 2003 сервера необходим для того, чтобы разделить сети на
>виланы, т.е. условно:
>vlan 10 - сеть 10.0.1.1
>vlan 20 - сеть 10.0.2.1
>vlan 30 - сеть 10.0.3.1
>и т.д.
>Я, к сожалению, не представляю, как можно реализовать такое разделение без транка.
>
>">на win2003 единственный scope для клиентов. (если будет второй для серверов -
>>ничего не меняется, но на мой взгляд он не нужен)" - вот тут то как раз мне и не ясно: две сети, два скопа, каким образом, без использования виланов и соответствущих релей агентов, клиенты буду получать адреса из тех или иных скопов ? (есть несколько неудобный способ привязки клиентов: ipconfig /setclassid адаптер, но это всётаки действительно неудобно)
>2. Сделайте это на цыске.
>
>Цыска изменит src-address dhcp-запроса на броадкаст сети. dhcp сервер по этому src
>поймет из какого scope выдавать ip. Это стандартная фича...
>А на основании чего циска изменит src-address ?
Давайте тогда уж на примере, чтоб понятно было:
Стоит сервер 2003 с поднятым dhcp и двумя скопами, условно 10.0.1.1 и 10.0.2.1;
Сервер подключен к циске (access портом?)
К циске подключены две станции, одна к порту 10, другая к порту 20. Порт 10 типа access, VLAN 10, порт 20 типа access, VLAN 20.
На циске поднят dhcp relay agent, с каким IP адресом ?
.......................................................
В случае транка на каждом VLAN висит свой dhcp relay agent с IP адресом из соответствующего скопа. Следовательно запрос, отправленный станцией из, условно, VLAN 10, будет передан на dhcp сервер dhcp relay агентом, работающем на этом VLAN'е 10, после чего адрес будет выдан из скопа 10.0.1.1. В случае с виланом 20 ситуация повториться и адрес будет выдан из скопа 10.0.2.1.
.......................................................
А как в предалагемом вами варианте это будет работать ? Получается, что циска должна знать, что запрос на получение IP адреса из вилана 10 надо изменить или добавить (заголовок, доп. информацию?) таким образом, чтобы dhcp сервер понял, что IP адрес надо отдать из скопа 10.0.1.1 ? А откуда циска должна это знать ? Предполагаю, что такую информацию можно добавить только на основании конкретного VLAN и чего-то еще... Т.е. сопоставить каждый VLAN какой-то доп. информации, чтобы циска знала об изменении конкретных запросов из каждого конкретного вилана... Чесно говоря, не понимаю, как это будет работать... Если объясните, буду признателен.
Цыска изменит ip на основании команды ip helper-address _ip_винды_, на interface vlanXX, где XX - влан клиентов.
что изменит src на броадкаст сети и dst на ip dhcp сервера (_ip_винды_).В случае транка - Вам вообще не нужен relay, тк броадкаст пройдет до сервера и назад.
Рекомендую почитать про команду ip helper-address на cisco.com, у Вас отпадет много вопросов.
>[оверквотинг удален]
>.......................................................
>А как в предалагемом вами варианте это будет работать ? Получается, что
>циска должна знать, что запрос на получение IP адреса из вилана
>10 надо изменить или добавить (заголовок, доп. информацию?) таким образом, чтобы
>dhcp сервер понял, что IP адрес надо отдать из скопа 10.0.1.1
>? А откуда циска должна это знать ? Предполагаю, что такую
>информацию можно добавить только на основании конкретного VLAN и чего-то еще...
>Т.е. сопоставить каждый VLAN какой-то доп. информации, чтобы циска знала об
>изменении конкретных запросов из каждого конкретного вилана... Чесно говоря, не понимаю,
>как это будет работать... Если объясните, буду признателен.
>Цыска изменит ip на основании команды ip helper-address _ip_винды_, на interface vlanXX,
>где XX - влан клиентов.
>что изменит src на броадкаст сети и dst на ip dhcp сервера
>(_ip_винды_).
>
>В случае транка - Вам вообще не нужен relay, тк броадкаст пройдет
>до сервера и назад.
>
>Рекомендую почитать про команду ip helper-address на cisco.com, у Вас отпадет много
>вопросов.Сервер с поднятым dhcp как подключен на циску в таком случае - транком или акксесс ?
>[оверквотинг удален]
>>(_ip_винды_).
>>Рекомендую почитать про команду ip helper-address на cisco.com, у Вас отпадет много
>>вопросов.
>
>Сервер с поднятым dhcp как подключен на циску в таком случае -
>транком или акксесс ?
>>
>>В случае транка - Вам вообще не нужен relay, тк броадкаст пройдет
>>до сервера и назад.
>>уже ответили же//
>уже ответили же//Я не понимаю.
vovat предлагает мне не делать порт транковым, к которому подключен сервер.
В следствии чего у меня возникает вопрос, каким образом разные виланы будут видеть друг друга и какой смысл тогда поднимать на серверве 2003 виланы, если он подключен к access порту ?
>>уже ответили же//
>
>Я не понимаю.
>vovat предлагает мне не делать порт транковым, к которому подключен сервер.
>В следствии чего у меня возникает вопрос, каким образом разные виланы будут
>видеть друг друга и какой смысл тогда поднимать на серверве 2003
>виланы, если он подключен к access порту ?Если вы не хотите поднимать виланы на W2003, тогда на каждом интерфейсе коммутатора прийдется делать ip helper-address IPW2003 и удостовериться, что между аксессными виланоми, где находится сервер и клиент, будет доступ.
Если вы хотите поднимать виланы на W2003, тогда подключенный порт делаете транковым и бкаст трафик дойдет до каждого аксессного вилана. На мой взгляд оптимальный вариант для вас, меньше настройки, меньше головной боли при добавления нового аксессного вилана.
>[оверквотинг удален]
>>виланы, если он подключен к access порту ?
>
>Если вы не хотите поднимать виланы на W2003, тогда на каждом интерфейсе
>коммутатора прийдется делать ip helper-address IPW2003 и удостовериться, что между аксессными
>виланоми, где находится сервер и клиент, будет доступ.
>
>Если вы хотите поднимать виланы на W2003, тогда подключенный порт делаете транковым
>и бкаст трафик дойдет до каждого аксессного вилана. На мой взгляд
>оптимальный вариант для вас, меньше настройки, меньше головной боли при добавления
>нового аксессного вилана.Полностью согласен со вторым абзацем, я тоже считаю, что использование транка для решения такой задачи оптимальный вариант.
Просто мне интересно, каким образом vovat предлагал мне реализовать такую схему через access порты ?
Исходный пост:
"Сервера в 10 влан, даже win 2003.
клиенты в 20 влан.
на win2003 единственный scope для клиентов. (если будет второй для серверов - ничего не меняется, но на мой взгляд он не нужен)
на 3550 на int vlan20 ввести ip helper-address _ip_win2003_
все."
Может я конечно что не понимаю, но мой взгляд и опыт подсказывает мне следующее: если сервер и станции находятся в разных виланах, сервер в 10, а станции в 20, то как бы я не прописывал на 20 вилане хелпер, указывающий на dhcp сервер, находящийся в 10-ом вилане, броадкаст никак не пройдет. Чтобы это сработало, я думаю, здесь необходимо тогда поднимать роутинг между этими виланами. Откуда очевидно встает вопрос - а накой тогда вообще виланы ? :) Поэтому мне и хотелось узнать про "стандартную фичу" циски, о которой писал vovat, мож я чё упустил в жизни :)
Также я не понял этого: "2. А транк до 2003 зачем ??? Вы собираетесь там роутить между вланами ? 2003 - не лучшее место для этого. Транк для работы dhcp сервера не требуется."В любом случае, спасибо всем за ответы и комментарии.
Подведя итог, такую задачу можно реализовать несколькими способами:
1. Сервер с поднятым dhcp воткнуть в транковый порт, на сервере поднять виланы (нужна серверная карта), настроить скопы. - Наиболее правильный и верный, на мой взгляд ход.
2. При отсутствии серверной карты, можно тупо поставить несколько карт в сервер :)
3. Сервер с поднятым dhcp воткнуть в порт access, между виланами на циске поднять роутинг. Такое решение, на мой взгляд неудачное, так как теряется смысл виланов.
4. Использовать мультивиланы: интересная штука, которую используют в основном провайдеры, но: 1. не всё оборудование поддерживает 2. документирование, как мне кажется, при использовании многих муьтивиланов может быть затруднительно :)
>[оверквотинг удален]
>на win2003 единственный scope для клиентов. (если будет второй для серверов -
>ничего не меняется, но на мой взгляд он не нужен)
>на 3550 на int vlan20 ввести ip helper-address _ip_win2003_
>все."
>Может я конечно что не понимаю, но мой взгляд и опыт подсказывает
>мне следующее: если сервер и станции находятся в разных виланах, сервер
>в 10, а станции в 20, то как бы я не
>прописывал на 20 вилане хелпер, указывающий на dhcp сервер, находящийся в
>10-ом вилане, броадкаст никак не пройдет. Чтобы это сработало, я думаю,
>здесь необходимо тогда поднимать роутинг между этими виланами.Броадкаст пройдет и роутинг между виланами не нужен.
>Также я не понял этого: "2. А транк до 2003 зачем ???
>Вы собираетесь там роутить между вланами ? 2003 - не лучшее
>место для этого. Транк для работы dhcp сервера не требуется."Здесь как раз верно, транк не нужен.