подскажите по реализации, схема примерно такая:
на Cisco7200 подняты SubInt'ы с vlan'ами, она соединена trunk'ом с
Catalyst 3550 (на котором только FA) в нее приходит некий хаб, в
который воткнуты как switch'е (помеченные vlan'ами), так и отдельные
машины. Соответственно вся IP часть прописана только на 7200 в виде:interface FastEthernet0/0
descrip link to 3550
ip address 10.1.77.1 255.255.255.252
ip route-cache flow
duplex auto
speed 100
!
interface FastEthernet0/0.103
descrip SWITvlan103
encapsulation dot1Q 103
ip address x.x.x.x
!
interface FastEthernet0/0.104
descrip SWITvlan104
encapsulation dot1Q 104
ip address x.x.x.x
!
interface FastEthernet0/0.200
descrip anatherCLIENTS
encapsulation dot1Q 200
ip address x.x.x.x
слышал что есть возможность метить весь остальной трафик отдельным
vlan'ом (например 200), слышал что делается это через native vlan.
но никак не могу реализовать, подскажите, помогите?
какую задачу тебе нужно решить и расскажи подробнее схему на каталисте и что у тебя там за хаб такой?
>подскажите по реализации, схема примерно такая:
>на Cisco7200 подняты SubInt'ы с vlan'ами, она соединена trunk'ом с
>Catalyst 3550 (на котором только FA) в нее приходит некий хаб, в
>
>который воткнуты как switch'е (помеченные vlan'ами), так и отдельные
>машины. Соответственно вся IP часть прописана только на 7200 в виде:
>
>interface FastEthernet0/0
> descrip link to 3550
> ip address 10.1.77.1 255.255.255.252
> ip route-cache flow
> duplex auto
> speed 100
>!
>interface FastEthernet0/0.103
> descrip SWITvlan103
> encapsulation dot1Q 103
> ip address x.x.x.x
>!
>interface FastEthernet0/0.104
> descrip SWITvlan104
> encapsulation dot1Q 104
> ip address x.x.x.x
>!
>interface FastEthernet0/0.200
> descrip anatherCLIENTS
> encapsulation dot1Q 200
> ip address x.x.x.x
>
>
>слышал что есть возможность метить весь остальной трафик отдельным
>vlan'ом (например 200), слышал что делается это через native vlan.
>но никак не могу реализовать, подскажите, помогите?
>какую задачу тебе нужно решить и расскажи подробнее схему на каталисте и
>что у тебя там за хаб такой?
>
>
>>подскажите по реализации, схема примерно такая:
>>на Cisco7200 подняты SubInt'ы с vlan'ами, она соединена trunk'ом с
>>Catalyst 3550 (на котором только FA) в нее приходит некий хаб, в
>>
>>который воткнуты как switch'е (помеченные vlan'ами), так и отдельные
>>машины. Соответственно вся IP часть прописана только на 7200 в виде:
>>
>>interface FastEthernet0/0
>> descrip link to 3550
>> ip address 10.1.77.1 255.255.255.252
>> ip route-cache flow
>> duplex auto
>> speed 100
>>!
>>interface FastEthernet0/0.103
>> descrip SWITvlan103
>> encapsulation dot1Q 103
>> ip address x.x.x.x
>>!
>>interface FastEthernet0/0.104
>> descrip SWITvlan104
>> encapsulation dot1Q 104
>> ip address x.x.x.x
>>!
>>interface FastEthernet0/0.200
>> descrip anatherCLIENTS
>> encapsulation dot1Q 200
>> ip address x.x.x.x
>>
>>
>>слышал что есть возможность метить весь остальной трафик отдельным
>>vlan'ом (например 200), слышал что делается это через native vlan.
>>но никак не могу реализовать, подскажите, помогите?
native vlan передается немаркированным ведь...
и cisco рекомендет его использовать по транкам только в качестве заглушечного vlan'a в целях безопаности
>и cisco рекомендет его использовать по транкам только в качестве заглушечного vlan'a
>в целях безопаности
чего-чего? :)) а покажи плз, где циска про это пишет? :))
>>и cisco рекомендет его использовать по транкам только в качестве заглушечного vlan'a
>>в целях безопаности
>чего-чего? :)) а покажи плз, где циска про это пишет? :))
http://www.cisco.com/en/US/products/hw/switches/ps700/produc...Ensure that the native VLAN of the 802.1Q trunk port in an asymmetrical link carries no traffic. Because traffic in the native VLAN is untagged, it cannot be tunneled correctly. You must enter the global set dot1q-all-tagged enable command to ensure that egress traffic in the native VLAN is tagged with 802.1Q tags.
Ты читал кстати по моему с securityfocus статью о том как легко передать трафик из vlan в vlan миную L3 девайс? именно поэтому инженеры циски сказали делать как я написал выше
>>>и cisco рекомендет его использовать по транкам только в качестве заглушечного vlan'a
>>>в целях безопаности
>>чего-чего? :)) а покажи плз, где циска про это пишет? :))
>
>
>http://www.cisco.com/en/US/products/hw/switches/ps700/produc...
>
>Ensure that the native VLAN of the 802.1Q trunk port in an
>asymmetrical link carries no traffic. Because traffic in the native VLAN
>is untagged, it cannot be tunneled correctly. You must enter the
>global set dot1q-all-tagged enable command to ensure that egress traffic in
>the native VLAN is tagged with 802.1Q tags.
>
>Ты читал кстати по моему с securityfocus статью о том как легко
>передать трафик из vlan в vlan миную L3 девайс? именно поэтому
>инженеры циски сказали делать как я написал вышену уж нет :)))) не надо передергивать: )) я не спрашиваю про туннелинг и прочее :))
покажите мне, где циска пишет это: "cisco рекомендет его использовать по транкам только в качестве заглушечного vlan'a в целях безопаности" ?
да, и еще, объясните несведущему плз, что такое "заглушечный"? :))
>подскажите по реализации, схема примерно такая:
>на Cisco7200 подняты SubInt'ы с vlan'ами, она соединена trunk'ом с
>Catalyst 3550 (на котором только FA) в нее приходит некий хаб, в
>который воткнуты как switch'е (помеченные vlan'ами), так и отдельные
>машины. Соответственно вся IP часть прописана только на 7200 в виде:чего switch'е (помеченные vlan'ами) ? Это по новому так матерятся так ?
Покажи настройки порта куда хаб включен
>слышал что есть возможность метить весь остальной трафик отдельным
>vlan'ом (например 200), слышал что делается это через native vlan.
>но никак не могу реализовать, подскажите, помогите?encapsulation dot1Q 200 native
если натив нету то другой ИОС нужен
этот подинтерфейс 200 будет соответствовать native влану коммутатора, но как ты материться собрался объясни...
3550:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
!
ip subnet-zero
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
interface FastEthernet0/1
description To Cisco with native taging
switchport trunk encapsulation dot1q
switchport mode trunk
no ip address
spanning-tree portfast
!
interface FastEthernet0/2
description To hub
switchport trunk encpsulation dot1q
switchport trunk native vlan 103
switchport mode trunk
no ip address
spanning-tree portfast
!
interface Vlan1
no ip address
shutdown
!
interface Vlan100
no ip address
!
interface Vlan103
no ip address
no ip route-cache
no ip mroute-cache
!
ip default-gateway 10.10.11.1
ip classless
no ip http server
!
!
!
line con 0
line vty 0 4
login
ine vty 5 15
login
!
endCisco Router:
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
ip subnet-zero
!
mta receive maximum-recipients 0
!
!
!
!
interface FastEthernet0/0
no ip address
speed 100
half-duplex
!
interface FastEthernet0/0.1
description Native vlan adress (hub)
encapsulation dot1Q 103
ip address 10.10.11.1 255.255.255.0
!
interface FastEthernet0/0.2
description Switch Client Vlan42
encapsulation dot1Q 42
ip address 10.10.10.1 255.255.255.0
!
ip classless
ip http server
ip pim bidir-enable
!
lin con 0
line aux 0
line vty 0 4
login
!
!
end
Интересно, если у тебя layer3 switch (3550, присутствует строка "no ip address" на портах - enhanced image, значит), зачем тебе отдельный рутер вообще?