Прошу помощи в настройке маршрутизации между вланами на коммутаторе. Имеется локальная сеть, построенная на маршрутизаторе 2811, коммутаторе catalyst4503 с платой SUP II+TS и дополнительной платой на 24 гигабитных порта. В этот коммутатор оптикой попартно подключены 3комы и далее к клиентам. Настройки самые простые. Вся сеть находится в диапазоне 192.168.1.х Вот конфиги:Маршрутизатор 2811 (с доп платкой HWIC-4ESW):
version 15.1
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service compress-config
!
hostname gw
!
boot-start-marker
boot system flash c2800nm-adventerprisek9-mz.151-1.T.bin
boot-end-marker
!
logging buffered 4096 informational
enable secret 5 xxx
enable password 7 xxx
!
aaa new-model
!
!
aaa authentication login default local
!
!
!
!
!
aaa session-id common
!
clock timezone Moscow 3
clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00
clock calendar-valid
!
dot11 syslog
no ip source-route
!
!
ip cef
ip dhcp excluded-address 192.168.1.1 192.168.1.49
ip dhcp excluded-address 192.168.1.50 192.168.1.149
!
ip dhcp pool dhcp-pool
network 192.168.1.0 255.255.255.0
dns-server 192.168.1.5
domain-name pool.local
default-router 192.168.1.4
!
!
!
no ip bootp server
ip domain name domain.local
ip name-server 8.8.8.8
ip name-server 192.168.1.4
ip inspect tcp reassembly queue length 512
ip inspect tcp reassembly memory limit 700
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
voice-card 0
!
!
!
!
license udi pid CISCO2811 sn xxxx
!
username admin privilege 15 secret 5 xxxxxx
!
redundancy
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
description "Internet"
ip address 81.xxx.xxx.35 255.255.255.248 secondary
ip address 81.xxx.xxx.36 255.255.255.248 secondary
ip address 81.xxx.xxx.37 255.255.255.248 secondary
ip address 81.xxx.xxx.38 255.255.255.248
ip access-group FIREWALL in
no ip redirects
ip verify unicast reverse-path
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly max-fragments 64 max-reassemblies 1024
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/0/0
description "Main LAN"
switchport access vlan 10
no cdp enable
!
interface FastEthernet0/0/1
switchport access vlan 10
no cdp enable
!
interface FastEthernet0/0/2
switchport access vlan 10
no cdp enable
!
interface FastEthernet0/0/3
switchport access vlan 10
no cdp enable
!
interface Vlan1
no ip address
shutdown
!
interface Vlan10
description "VLAN for Main LAN"
ip address 192.168.1.4 255.255.255.0
ip nat inside
ip virtual-reassembly max-fragments 64 max-reassemblies 1024
no mop enabled
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list NAT interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.1.10 80 81.xxx.xxx.35 80 extendable
ip nat inside source static tcp 192.168.1.11 80 81.xxx.xxx.36 80 extendable
ip route 0.0.0.0 0.0.0.0 86.111.12.33
!
ip access-list extended FIREWALL
permit tcp any any eq www
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
password 7 xxxx
transport input ssh
!
scheduler allocate 20000 1000
Коммутатор catalyst 4503:version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service compress-config
!
hostname c4503
!
boot-start-marker
boot system flash bootflash:cat4500-ipbasek9-mz.122-54.SG.bin
boot-end-marker
!
logging buffered informational
enable secret 5 xxxx
!
!
!
aaa new-model
!
!
!
!
!
aaa session-id common
clock timezone MSK 3
clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00
clock calendar-valid
ip subnet-zero
ip name-server 192.168.1.5
!
!
no ip bootp server
ip vrf mgmtVrf
!
!
!
!
power redundancy-mode redundant
port-channel load-balance src-dst-port
!
!
!
vlan internal allocation policy ascending
!
!
!
interface Port-channel1
switchport
!
interface Port-channel2
switchport
!
interface Port-channel3
switchport
!
interface Port-channel4
switchport
!
interface FastEthernet1
ip vrf forwarding mgmtVrf
no ip address
speed auto
duplex auto
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
!
interface GigabitEthernet1/4
!
interface GigabitEthernet1/5
!
interface GigabitEthernet1/6
!
interface GigabitEthernet1/7
!
interface GigabitEthernet1/8
!
interface GigabitEthernet1/9
!
interface GigabitEthernet1/10
!
interface GigabitEthernet1/11
!
interface GigabitEthernet1/12
!
interface GigabitEthernet1/13
channel-protocol pagp
channel-group 1 mode desirable
!
interface GigabitEthernet1/14
channel-protocol pagp
channel-group 1 mode desirable
!
interface GigabitEthernet1/15
channel-protocol pagp
channel-group 2 mode desirable
!
interface GigabitEthernet1/16
channel-protocol pagp
channel-group 2 mode desirable
!
interface GigabitEthernet1/17
channel-protocol pagp
channel-group 3 mode desirable
!
interface GigabitEthernet1/18
channel-protocol pagp
channel-group 3 mode desirable
!
interface GigabitEthernet1/19
channel-protocol pagp
channel-group 4 mode desirable
!
interface GigabitEthernet1/20
channel-protocol pagp
channel-group 4 mode desirable
!
interface GigabitEthernet2/1
!
interface GigabitEthernet2/2
!
interface GigabitEthernet2/3
!
interface GigabitEthernet2/4
!
interface GigabitEthernet2/5
!
interface GigabitEthernet2/6
!
interface GigabitEthernet2/7
!
interface GigabitEthernet2/8
!
interface GigabitEthernet2/9
!
interface GigabitEthernet2/10
!
interface GigabitEthernet2/11
!
interface GigabitEthernet2/12
!
interface GigabitEthernet2/13
!
interface GigabitEthernet2/14
!
interface GigabitEthernet2/15
!
interface GigabitEthernet2/16
!
interface GigabitEthernet2/17
!
interface GigabitEthernet2/18
!
interface GigabitEthernet2/19
!
interface GigabitEthernet2/20
!
interface GigabitEthernet2/21
!
interface GigabitEthernet2/22
!
interface GigabitEthernet2/23
!
interface GigabitEthernet2/24
!
interface Vlan1
ip address 192.168.1.6 255.255.255.0
!
!
ip default-gateway 192.168.1.4
no ip http server
no ip http secure-server
!
!
!
control-plane
!
!
line con 0
stopbits 1
line vty 0 4
!
ntp clock-period 17179257
ntp update-calendar
ntp server 192.168.1.4
Хотелось бы разбить сеть на несколько вланов с разными подсетями: для сотрудников, для серверов, для ip-телефонии и для гостевых подключений. Я так понимаю, что мне необходимо сделать что-то вроде inter-vlan routing. Читал этот мануал: http://xgu.ru/wiki/VLAN_в_Cisco . Но не могу догадаться, как мне грамотнее разрулить создание вланов, чтобы не порушить уже существующую адресацию среди серверов. Потому как по этому мануалу линк между маршрутизатором и коммутатором объединяются в отдельный влан с подсетью, отличной от подсети маршрутизатора. И, соответственно, все остальные вланы будут из других подсетей, что приведет к смене адресов на всех серверах/клиентах. Серверы имеют адреса в пределах 192.168.1.5-49 и перенастраивать их всех не хотелось бы. Также есть много пользователей с адресами .1.50-149, которые тоже трогать не желательно. Можно ли не меняя адреса этих клиентов как-то дополнительно сделать вланы с маршрутизацией между ними? Достаточно будет, если все вланы будут видеть всех. Потом я acl разрулю права доступа. В какую сторону копнуть? Спасибо.
>[оверквотинг удален]
> вланов, чтобы не порушить уже существующую адресацию среди серверов. Потому
> как по этому мануалу линк между маршрутизатором и коммутатором объединяются в
> отдельный влан с подсетью, отличной от подсети маршрутизатора. И, соответственно, все
> остальные вланы будут из других подсетей, что приведет к смене адресов
> на всех серверах/клиентах. Серверы имеют адреса в пределах 192.168.1.5-49 и перенастраивать
> их всех не хотелось бы. Также есть много пользователей с адресами
> .1.50-149, которые тоже трогать не желательно. Можно ли не меняя адреса
> этих клиентов как-то дополнительно сделать вланы с маршрутизацией между ними? Достаточно
> будет, если все вланы будут видеть всех. Потом я acl разрулю
> права доступа. В какую сторону копнуть? Спасибо.1. НЕ порущив адрессацию - увы невыйдет, какминимум маску менять придется, а если адреса статикой прописаны - как следствие перенастройка всех клиентов и серверов.
2. если SUP на каталисте - L3 - то еще туды-сюды, если только L2 - то учтите, что вся производительность будет ограничена возможностями 2811, а это мегабит 50-60.
3. если минимум изменений АДРЕСОВ, то сервера в подсеть 192.168.1.0/26 (IP-ы 1-62) остальных - по обстоятельствам и отдельным соображениям, но повторюсь - IP в большинстве случаев остануться те ми же, а вот маски и шлюзы перепрописывать все равно придется.
ip unnambered + proxy arp и не надо будет менять адреса и перепрописывать маски
> ip unnambered + proxy arp и не надо будет менять адреса и
> перепрописывать маскиЧто-то вроде этого?
http://opennet.ru/base/cisco/catalyst_ip_unnumber.txt.html
> ip unnambered + proxy arp и не надо будет менять адреса и
> перепрописывать маскиИ периодически иметь гемор с диагностикой проблем...
ИМХО - ip unnambered + proxy arp только крайний выход, когда уже иначе ну никак.
> 1. НЕ порущив адрессацию - увы невыйдет, какминимум маску менять придется, а
> если адреса статикой прописаны - как следствие перенастройка всех клиентов и
> серверов.Хорошо. Может тогда такое сделать, раз уж менять? Серваки не трогаем, клиенты помучаются и получат новые адреса.
192.168.0.х - адреса на маршрутизаторе.
192.168.1.х - адреса влана с серваками
192.168.2.х - клиенты в своем влане
192.168.3.х - VoIP влан.и inter-vlan routing на каталисте сделать.
> 2. если SUP на каталисте - L3 - то еще туды-сюды, если
> только L2 - то учтите, что вся производительность будет ограничена возможностями
> 2811, а это мегабит 50-60.SUP II+TS стоит. у него в фичах написано:
Layer 3 Features
• Hardware-based IP Cisco Express Forwarding routing at 48 mpps
• Static IP routing
• Routing Information Protocol (RIP) and RIP2
• Hot Standby Router Protocol (HSRP)
• IGMP Versions 1, 2, 3
• IGMP filtering on access and trunk ports
• IP multicast routing protocols (Protocol Independent Multicast [PIM], Source Specific Multicast [SSM], Distance Vector Multicast Routing Protocol [DVMRP])
• Cisco Group Multicast Protocol server
• Full Internet Control Message Protocol (ICMP) support
• ICMP Router Discovery Protocol
• IPv6 software switches
• EIGRP stub
• Virtual Router Redundancy Protocol (VRRP)И далее:
• 64-Gbps nonblocking switch fabric
• 48-mpps Layer 2 forwarding (hardware)
• 48-mpps Layer 3 and Layer 4 forwarding based on Cisco Express Forwarding (hardware)
• Layers 2 through 4 hardware-based switch engine (application-specific integrated circuit [ASIC] based)эти обещанные циской 48mpps спасут меня, если каталист в ядре сети будет стоять?
>[оверквотинг удален]
> • Virtual Router Redundancy Protocol (VRRP)
> И далее:
> • 64-Gbps nonblocking switch fabric
> • 48-mpps Layer 2 forwarding (hardware)
> • 48-mpps Layer 3 and Layer 4 forwarding based on Cisco Express
> Forwarding (hardware)
> • Layers 2 through 4 hardware-based switch engine (application-specific integrated
> circuit [ASIC] based)
> эти обещанные циской 48mpps спасут меня, если каталист в ядре сети будет
> стоять?Тут уж вам решать :) помониторьте состояние системы - сделайте вывод, скорее всего хватит.
Как бить на подсети - это тоже исключительно ваши соображения.