URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19630
[ Назад ]

Исходное сообщение
"Прошу помощи у ALL с VLAN"
Отправлено alexsterh , 16-Сен-09 16:38

С КИСКОЙ (2821 точнее) мало знаком, так что сильно не бейте (сразу)! Нашей организации была дана изначально одна сеть например 10.1.1.0\24, другие даже через НАТ низзя. Сейчас в сети 150 компов. Из них 15 в бухгалтерии. Начальник поставил задачу: Всех Бухов ..... с пляжа в отдельную сеть, но на некоторые сервера и мы и они должны ходить. Все бы ничего - Головная контора запретила маску менять - говорят 255.255.255.0 и все тут, а не то под стул пнут. В общем ближе к теме создал VLAN1 общий и VLAN2 буховский на свитче, подвязал их на маршрутизаторе. Создал между ними bridge. Все отлично работает, но проблема - ACL (как я понимаю) применим тока к мосту, а я бы хотел на субинтерфейсах... Как быть подскажите пожалуйста, пните в нужном направлении.
ЗАРАНЕЕ ВСЕМ СПАСИБО.
P.S.
Сколько максимум правил в именованом ACL. А то все говорят по разному.

Содержание

Прошу помощи у ALL с VLAN,mario, 17:40 , 16-Сен-09
- Прошу помощи у ALL с VLAN,alexsterh, 05:54 , 17-Сен-09
Прошу помощи у ALL с VLAN,vnn, 11:03 , 17-Сен-09
- Прошу помощи у ALL с VLAN,alexsterh, 13:39 , 17-Сен-09

Сообщения в этом обсуждении

"Прошу помощи у ALL с VLAN"
Отправлено mario , 16-Сен-09 17:40

>С КИСКОЙ (2821 точнее) мало знаком, так что сильно не бейте (сразу)!
>Нашей организации была дана изначально одна сеть например 10.1.1.0\24, другие даже
>через НАТ низзя. Сейчас в сети 150 компов. Из них 15
>в бухгалтерии. Начальник поставил задачу: Всех Бухов ..... с пляжа в
>отдельную сеть, но на некоторые сервера и мы и они должны
>ходить. Все бы ничего - Головная контора запретила маску менять -
>говорят 255.255.255.0 и все тут, а не то под стул пнут.
возьмите для бухов другую сетку.
к примеру 10.1.2.0\27 повесьте на интерфейс маршрутизера айпи адрес из этой сетки
только тут учтите особенности сети и т.п. !!!
>В общем ближе к теме создал VLAN1 общий и VLAN2 буховский
>на свитче, подвязал их на маршрутизаторе. Создал между ними bridge. Все
>отлично работает, но проблема - ACL (как я понимаю) применим тока
>к мосту, а я бы хотел на субинтерфейсах... Как быть подскажите
>пожалуйста, пните в нужном направлении.
>ЗАРАНЕЕ ВСЕМ СПАСИБО.
>
>P.S.
>Сколько максимум правил в именованом ACL. А то все говорят по разному.
понимаю откуда вопрос но вам достаточно будет
правил в количестве серверов для доступа +адын

"Прошу помощи у ALL с VLAN"
Отправлено alexsterh , 17-Сен-09 05:54

>
>возьмите для бухов другую сетку.
>к примеру 10.1.2.0\27 повесьте на интерфейс маршрутизера айпи адрес из этой
>сетки
>только тут учтите особенности сети и т.п. !!!
>
Здесь есть проблема - Головная контора настрого запретила использовать прочие IP адреса и NAT в любом его исполнении. Только тот, который по списку нам выдан. С другими IP я экспериментировал - все работает на УРА.
Но за ответ СПАСИБО!
>
>понимаю откуда вопрос но вам достаточно будет
>правил в количестве серверов для доступа +адын
В данный момент у меня в ACL весит примерно 87 правил, если еще на сервера для VLAN1 и VLAN2 понавесить правил, может за 100 перевалить. Мне просто прийдется списки оптимизировать, скорее всего надо начинать прямо сейчас!
P.S.
Вчера попробовал поиграться с ip unnumbered - в принципе должно работать, если есть сервер с DHCP в сети (я так понял, прочитав на ciso.com). Но у меня почему-то не заработало. Может есть какие-нибудь тонкости при настройке ip unnumbered на субинтерфейсах? Заранее Спасибо ВСЕМ!

"Прошу помощи у ALL с VLAN"
Отправлено vnn , 17-Сен-09 11:03

>[оверквотинг удален]
>В общем ближе к теме создал VLAN1 общий и VLAN2 буховский
>на свитче, подвязал их на маршрутизаторе. Создал между ними bridge. Все
>отлично работает, но проблема - ACL (как я понимаю) применим тока
>к мосту, а я бы хотел на субинтерфейсах... Как быть подскажите
>пожалуйста, пните в нужном направлении.
>ЗАРАНЕЕ ВСЕМ СПАСИБО.
>
>P.S.
>Сколько максимум правил в именованом ACL. А то все говорят по разному.
>
Private VLAN вам поможет, если ваш свич либо маршрутизатор поддерживает (если нет, то надо будет покупать). Используя Private VLAN, можно остаться в пределах выделенной головным офисом ip-сети и ограничить доступ хостов внутри этой сети друг к другу.
Если с Private VLAN никак не получается, то не вижу проблемы разделить сеть на 10.1.1.0/25 и 10.1.1.128/25 (соответственно назначить их двум разным VLAN'ам), а всем остальным отправлять суммарный маршрут к 10.1.1.0/24

"Прошу помощи у ALL с VLAN"
Отправлено alexsterh , 17-Сен-09 13:39

>
>Private VLAN вам поможет, если ваш свич либо маршрутизатор поддерживает (если нет,
>то надо будет покупать). Используя Private VLAN, можно остаться в пределах
>выделенной головным офисом ip-сети и ограничить доступ хостов внутри этой сети
>друг к другу.
>Если с Private VLAN никак не получается, то не вижу проблемы разделить
>сеть на 10.1.1.0/25 и 10.1.1.128/25 (соответственно назначить их двум разным VLAN'ам),
>а всем остальным отправлять суммарный маршрут к 10.1.1.0/24
Спасибо за предложение про Private VLAN слышал не раз. Сейчас поподробнее начну знакомиться с данным зверем!:)
По второму предложению не получится - головной оффис запретил маску подсети менять в любом виде. На контроле держат все изменения, хотя выход,который ВЫ предложили, единнственный оставался. Но все равно спасибо.
Спасибо ВСЕМ - тему считаю иожно закрыть.