Здравствуйте.

Подскажите как можно на 881 пробросить V-Lan через DMVPN на 2851, так чтобы с другими сетями не пересекался трафик?

пусть
есть два маршрутизатора 881 и 2851 в двух помещениях на каждом использовано по два интерфейса один "внешний" другой "внутренний"
на 881 f4 - внешний, а на f0 в-лан 100 - внутренний

идея:
завести еще одну сеть на 881 f1 v-lan 10 протолкнуть его в туннель t0 - DMVPN
затем получить его на 2851 int f5 tinnel0 и передать на свич (в какой-нибудь v-lan)

причем в первом помещении, где 881, - хосты из новой сети не должны пинговать хосты из v-lan 100, и наоборот (не только пинговать до и вообще трафик не должен ходить между ними).

Т.е. получается что-то похожее на L2 туннель. Дырка там - дырка тут. Дуешь сюда - вылетает оттуда. И наоборот :-) Но в стороны не вылетает и внутрь лишнего не проникает.

Но вообще то хотелось чтобы на этих двух концах было во две подсети чтобы широковещательные в туннель не лезли. (т.е. уже L3 туннель :-) )

Я в этих вопросах слабоват, так что прошу намекнуть по подробней :-)

Заранее благодарю.

• 881 2851 изолированные подсети,Николай, 16:23 , 07-Окт-10
  • 881 2851 изолированные подсети,fantom, 17:15 , 07-Окт-10
• 881 2851 изолированные подсети,j_vw, 00:47 , 08-Окт-10
  • 881 2851 изолированные подсети,Лелик_, 06:56 , 08-Окт-10
    • 881 2851 изолированные подсети,j_vw, 09:00 , 08-Окт-10
      • 881 2851 изолированные подсети,fantom, 10:23 , 08-Окт-10
        • 881 2851 изолированные подсети,Лелик_, 11:01 , 08-Окт-10

>[оверквотинг удален]
> должны пинговать хосты из v-lan 100, и наоборот (не только пинговать
> до и вообще трафик не должен ходить между ними).
> Т.е. получается что-то похожее на L2 туннель. Дырка там - дырка тут.
> Дуешь сюда - вылетает оттуда. И наоборот :-) Но в стороны
> не вылетает и внутрь лишнего не проникает.
> Но вообще то хотелось чтобы на этих двух концах было во две
> подсети чтобы широковещательные в туннель не лезли. (т.е. уже L3 туннель
> :-) )
> Я в этих вопросах слабоват, так что прошу намекнуть по подробней :-)
> Заранее благодарю.

можно MPLS поднять или L2TPv3.

>[оверквотинг удален]
>> до и вообще трафик не должен ходить между ними).
>> Т.е. получается что-то похожее на L2 туннель. Дырка там - дырка тут.
>> Дуешь сюда - вылетает оттуда. И наоборот :-) Но в стороны
>> не вылетает и внутрь лишнего не проникает.
>> Но вообще то хотелось чтобы на этих двух концах было во две
>> подсети чтобы широковещательные в туннель не лезли. (т.е. уже L3 туннель
>> :-) )
>> Я в этих вопросах слабоват, так что прошу намекнуть по подробней :-)
>> Заранее благодарю.
> можно MPLS поднять или L2TPv3.

Или vrf lite

> Но вообще то хотелось чтобы на этих двух концах было во две
> подсети чтобы широковещательные в туннель не лезли.

(т.е. уже L3 туннель
> :-) )

Не складывается ;) ..... " Дуешь сюда - вылетает оттуда. И наоборот :"
А нафик вам l2?
Ну и делайте разные подсети, соединяйте 881-2851 туннелем, настраивайте рутинг и радуйтесь...

Задачку поточнее объясните....
"На пальцах"....
Кто куда ходит и чего хочет.....

>[оверквотинг удален]
>> подсети чтобы широковещательные в туннель не лезли.
> (т.е. уже L3 туннель
>> :-) )
> Не складывается ;) ..... " Дуешь сюда - вылетает оттуда. И наоборот
> :"
> А нафик вам l2?
> Ну и делайте разные подсети, соединяйте 881-2851 туннелем, настраивайте рутинг и радуйтесь...
> Задачку поточнее объясните....
> "На пальцах"....
> Кто куда ходит и чего хочет.....

туннель есть. с роутинг настроим.
примерно:
-----------------------------------
помещение 1 - 881
есть сеть на интерфейсе vlan100 10.5.0.1/24
есть сеть 10.6.0.0/24 за шлюзом 10.5.0.100
есть туннель t0 на инт f4 (связь с помещением 2)

interface FastEthernet0
switchport access vlan 100

interface Tunnel0
ip address 10.111.0.11 255.255.255.0
tunnel source FastEthernet4

interface FastEthernet4
ip address xx.xx.xx.xx 255.255.255.248

-----------------------------------
помещение 2 - 2851
есть сеть на интерфейсе f1 10.1.0.1/24
есть сеть 10.2.0.0/24 за шлюзом 10.1.0.100
есть туннель t0 на инт f5 (связь с помещением 1)

interface FastEthernet1
ip address 10.1.0.1 255.255.255.0

interface Tunnel0
ip address 10.111.0.1 255.255.255.0
tunnel source FastEthernet5

interface FastEthernet5
ip address yy.yy.yy.yy 255.255.255.240

------------------------------------

моршрутизацтя настроена все друг другу доступны

есть задача добавить две сети:
в помещении1 - 10.21.0.0/24
в помещении2 - 10.22.0.0/24
Но так, чтобы эти две сети были доступны только друг другу. Т.е. обрубить проход пакетов с других подсетей, подключенных к роутерам.
т.е. с2851 передавала пакеты только с подсети 10.22.0.0/24 в 10.21.0.0/24 для 10.21.0.0/24 (ну и скажем в 10.25.0.0/24)
а с881 передавала пакеты только с подсети 10.21.0.0/24 (и соответственно 10.25.0.0/24) в 10.22.0.0/24 для 10.22.0.0/24

на с881 есть полноценный интерфейс f4 и f0-f3 свич порты
на с2851  куча полноценных интерфейсов портов нет

Имеются так-же коммутаторы с возможностью настройки vlan

================================
я себе так представляю
в пом 1 на коммутаторе выделяем vlan10 заводим в него один из интерфейсов роутера, настраиваем маршрутизацию
в пом 2 аналогично.
Только как "обрезать" прохождение трафика меду остальными сетями и новымы?

> Только как "обрезать" прохождение трафика меду остальными сетями и новымы?

Ну так настройте ACL на интерфейсах рутера.....

>> Только как "обрезать" прохождение трафика меду остальными сетями и новымы?
> Ну так настройте ACL на интерфейсах рутера.....

VRF lite - именно под такие вещи и предназначен, 2 интерфейса, помещенные в один VRF имеют связь ТОЛЬКО между собой, т.е. каждый VRF - это своя собственная, отдельная и независимая ИЗОЛИРОВАНАЯ от других VRF таблица маршрутизации - и ненадо гемора ни с какими ACL-ами.

> VRF lite - именно под такие вещи и предназначен, 2 интерфейса, помещенные
> в один VRF имеют связь ТОЛЬКО между собой, т.е. каждый VRF
> - это своя собственная, отдельная и независимая ИЗОЛИРОВАНАЯ от других VRF
> таблица маршрутизации - и ненадо гемора ни с какими ACL-ами.

А что это таке?
Как настраивается?
Можно примерчик?