URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19746
[ Назад ]

Исходное сообщение
"Как сделать на cisco traffic_segmentation от d-link-а"
Отправлено GreatFoolDad , 06-Окт-09 16:12

Всем привет.
Есть у D-Link-овских коммутаторов (L2, L3) такая замечательная функция - traffic_segmentation. Она разрешает трафик между указанными портами (остальное - запрещает).
Желаю разрешить трафик только трафик между 2-м и 7-м портами, между 3-м и 7-м портами и запретить между 2-м и 3-м. Для Д-линка (DES-3526, DES-3038, DGS-3627G и т.д.) пишу:
config traffic_segmentation 2-3 forward_list 7
config traffic_segmentation 7 forward_list 2-3
и получаю искомый результат (2 и 3-й порты могут общаться ТОЛЬКО с 7-м портом, но не между собой, 7-й порт может общаться ТОЛЬКО с 2-м или 3-м, остальные порты нас не интересуют).
А как мне получить такой же результат на цискином оборудовании? Для примера, на каталисте 3750? Прошу привести именно кусок конфига, потому как из абстрактных рассуждений "крутых цискарей" понял, что это сделать можно, но никто из них мне конкретики не дал.
Еще могу сказать, что все три порта имеют одинаковую конфигурацию:
interface GigabitEthernet2/0/2
description Port 2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 3,5,6
switchport mode trunk
end
interface GigabitEthernet2/0/3
description Port 3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 3,5,6
switchport mode trunk
end
interface GigabitEthernet2/0/7
description Port 7
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 3,5,6
switchport mode trunk
end

Содержание

Как сделать на cisco traffic_segmentation от d-link-а,vbnz, 17:12 , 06-Окт-09
- Как сделать на cisco traffic_segmentation от d-link-а,GreatFoolDad, 08:52 , 07-Окт-09
- Как сделать на cisco traffic_segmentation от d-link-а,mario, 11:53 , 07-Окт-09
  - Как сделать на cisco traffic_segmentation от d-link-а,GreatFoolDad, 12:20 , 07-Окт-09
    - Как сделать на cisco traffic_segmentation от d-link-а,vbnz, 22:55 , 07-Окт-09
      - Как сделать на cisco traffic_segmentation от d-link-а,GreatFoolDad, 16:50 , 08-Окт-09

Сообщения в этом обсуждении

"Как сделать на cisco traffic_segmentation от d-link-а"
Отправлено vbnz , 06-Окт-09 17:12

>[оверквотинг удален]
> switchport trunk allowed vlan 3,5,6
> switchport mode trunk
>end
>
>interface GigabitEthernet2/0/7
> description Port 7
> switchport trunk encapsulation dot1q
> switchport trunk allowed vlan 3,5,6
> switchport mode trunk
>end
Это не нужно делать на транковых портах. Если на access-port, то смотрите в сторону private vlan

"Как сделать на cisco traffic_segmentation от d-link-а"
Отправлено GreatFoolDad , 07-Окт-09 08:52

>Это не нужно делать на транковых портах. Если на access-port, то смотрите
>в сторону private vlan
Так мне это надо делать все равно на каких портах. Т.е. это могут и акксессные порты, и транковые. И виланы я для примера.
Кстати, а почему на транковых портах этого делать не нужно? Если у меня схема такая:
                                              7                            2
<inet>==<CISCO 7206>==<catalyst 3750>==<Reg1>
                                                                ||
                                                                ||3
                                                               <Reg2>
Reg1 и 2 - некие удаленные части сети, имеют общие виланы и не должны общаться между собой (через общие виланы), но должны ходить в инет.

"Как сделать на cisco traffic_segmentation от d-link-а"
Отправлено mario , 07-Окт-09 11:53

>[оверквотинг удален]
>>
>>interface GigabitEthernet2/0/7
>> description Port 7
>> switchport trunk encapsulation dot1q
>> switchport trunk allowed vlan 3,5,6
>> switchport mode trunk
>>end
>
>Это не нужно делать на транковых портах. Если на access-port, то смотрите
>в сторону private vlan
в вашем случае действительно использовать приватные вланы.
если хотите через транк сделать то
вам нужно что бы на reg1 к примеру ставилась метка влан 10
на reg2 влан 20
с
и тогда
порт в который воткнут рег1
пишете switchport trunk allowed vlan 10
на рег2
switchport trunk allowed vlan 20
ну и куда 72-я воткнута там все вланы пропускаем.
это если смотреть ваш конфиг.
а вобще
swi mode acc
swi acc vlan 10
& на другом
swi mode acc
swi acc vlan 20
тогда на регах метить не надо ничего...
ну и куда 72 воткнута там транк порт
итого они будут видеть только 72-у а друг друга нет. Это справедливо для 2-го Уровня !!!
про трейтий уровень вы ничего не сказали.
так что... не обессудьте.

"Как сделать на cisco traffic_segmentation от d-link-а"
Отправлено GreatFoolDad , 07-Окт-09 12:20

>... Это справедливо
>для 2-го Уровня !!!
>про трейтий уровень вы ничего не сказали.
>так что... не обессудьте.
traffic_segmentation (у d-link-а) и работает на 2-м уровне. потому про L-3 я ни слова не сказал.
>и тогда
>порт в который воткнут рег1
>пишете switchport trunk allowed vlan 10
>рег2
>switchport trunk allowed vlan 20
>
ну я же явно написал:
для всех трех портов, о которых идет речь, конфиг в плане виланов одинаковый
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 3,5,6
switchport mode trunk
Не коим образом не желаю наезжать на цисководов, но, господа, читайте начальные условия. Я не собираю компромат на тему "что может д-линк-овское железо, чего не может цискино". Мне просто нужна помощь в решении именно моей задачи с именно моими условиями.
Если сделать это цискиными средствами нельзя, так и скажите - буду что-то другое придумывать.
Предполагаю, что опция protected port тоже не подойдет, потому что мне нужно неким образом задать список портов, которые имеют доступ к 7-му порту (2 и 3), а так же ко 2-му (7) и 3-му(7).

"Как сделать на cisco traffic_segmentation от d-link-а"
Отправлено vbnz , 07-Окт-09 22:55

>[оверквотинг удален]
>условия. Я не собираю компромат на тему "что может д-линк-овское железо,
>чего не может цискино". Мне просто нужна помощь в решении именно
>моей задачи с именно моими условиями.
>Если сделать это цискиными средствами нельзя, так и скажите - буду что-то
>другое придумывать.
>
>Предполагаю, что опция protected port тоже не подойдет, потому что мне нужно
>неким образом задать список портов, которые имеют доступ к 7-му порту
>(2 и 3), а так же ко 2-му (7) и 3-му(7).
>
Смотрите, вообще с точки зрения дизайна сети, нужно чтобы номера VLAN'ов не перекрывались на разных площадках. Тогда проблемы с общением между портами в данных VLAN'ах просто не будет. На худой конец данные VLAN'ы можно убрать из switchport trunk allowed vlan.
Вообще в транке ходят все вланы, которые разрешены, но внутри транка взаимодействия между вланами нет. На аксессных портах Ваша задача решается с помощью private-vlan.

"Как сделать на cisco traffic_segmentation от d-link-а"
Отправлено GreatFoolDad , 08-Окт-09 16:50

>Смотрите, вообще с точки зрения дизайна сети, нужно чтобы номера VLAN'ов не
>перекрывались на разных площадках. Тогда проблемы с общением между портами в
>данных VLAN'ах просто не будет. На худой конец данные VLAN'ы можно
>убрать из switchport trunk allowed vlan.
Т.е. в "цискиной сети" (сетке, построенной в соблюдением цискиных требований) такой ситуации случиться не может? Значит "в лоб" мою задачу решить не получится - придется либо переделывать сетку под цискины стандарты, либо пользоваться чем более другим.

>.... На аксессных портах Ваша задача решается с помощью
>private-vlan.
С аксессными портами все понятно. Там и protected port хватает
Спасибо!