URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6704
[ Назад ]

Исходное сообщение
"Отделить один IP"
Отправлено pvsm , 28-Ноя-04 16:49

Помогите, пожалуйста:
в кошках ноль полный, хозяйство из 3 каталистов (2950 и 2900) досталось по наследству и сразу срочная задача - времени на спокойное чтение доков просто нет..
необходимо отделить один комп от общей сети. то есть он должен обмениваться пакетами только с тремя другими компами и все. вопросы такие:
1) как это можно сделать?
2) как можно выяснить на каком порту каталиста висит данный комп?
заранее огромное спасибо.

Содержание

Отделить один IP,citrin, 17:00 , 28-Ноя-04
- Отделить один IP,pvsm, 17:19 , 28-Ноя-04
  - Отделить один IP,citrin, 17:46 , 28-Ноя-04
    - Отделить один IP,Denis, 21:55 , 28-Ноя-04
      - Отделить один IP,Spider2k, 08:18 , 29-Ноя-04

Сообщения в этом обсуждении

"Отделить один IP"
Отправлено citrin , 28-Ноя-04 17:00

>Помогите, пожалуйста:
>в кошках ноль полный, хозяйство из 3 каталистов (2950 и 2900) досталось
>по наследству и сразу срочная задача - времени на спокойное чтение
>доков просто нет..
>необходимо отделить один комп от общей сети. то есть он должен обмениваться
>пакетами только с тремя другими компами и все. вопросы такие:
>1) как это можно сделать?
Вынести эти три компа в отдельный VLAN
если читать доки нет времени то проще так:
создать новый vlan на всех 3-х каталистах
перевести линки между каталитами в режим транка
перевести эти три порта в новый vlan
>2) как можно выяснить на каком порту каталиста висит данный комп?
>заранее огромное спасибо.
На маршрутизаторе смотриш mac-адрес нужного компа (если кошка то через sh ip arp). Потом зная мак на каталистах смотришь sh mac-address-table mac
--
AVY11-RIPE

"Отделить один IP"
Отправлено pvsm , 28-Ноя-04 17:19

>Вынести эти три компа в отдельный VLAN
>если читать доки нет времени то проще так:
>создать новый vlan на всех 3-х каталистах
>перевести линки между каталитами в режим транка
с учетом того, что каталисты объединены в кластер, это точно нужно делать?
>перевести эти три порта в новый vlan
я не совсем понял - отделить-то нужно один комп. то есть к трем остальным должны обращаться любые компы сети.
могут ли одни и те же компы состоять в разных VLAN'ах?
>На маршрутизаторе смотриш mac-адрес нужного компа (если кошка то через sh ip
>arp). Потом зная мак на каталистах смотришь sh mac-address-table mac
спасиба!

"Отделить один IP"
Отправлено citrin , 28-Ноя-04 17:46

>>Вынести эти три компа в отдельный VLAN
>>если читать доки нет времени то проще так:
>>создать новый vlan на всех 3-х каталистах
>>перевести линки между каталитами в режим транка
>
>с учетом того, что каталисты объединены в кластер, это точно нужно делать?
Не знаю, кластеры не использовал, возможно порты уже в режиме транка но это нужно провеить.
>я не совсем понял - отделить-то нужно один комп. то есть к
>трем остальным должны обращаться любые компы сети.
>могут ли одни и те же компы состоять в разных VLAN'ах?
Нет. Один порт может быть членом только одного VLAN'а, если это не транк.
Варианта два
1. inter-vlan routing + ACL
2. Multi-VLAN но это есть только на XL и работает AFAIK только в пределах одного свитча.
3. есть еще switchport protected но думаю он тт мало поможет.
--
AVY11-RIPE

"Отделить один IP"
Отправлено Denis , 28-Ноя-04 21:55

>Варианта два
>1. inter-vlan routing + ACL
>2. Multi-VLAN но это есть только на XL и работает AFAIK только
>в пределах одного свитча.
>3. есть еще switchport protected но думаю он тт мало поможет.
спасибо, проблема в том, что когда я говорил что ноль в Cisco я был абсолютно серьезен )
можно подробнее?

"Отделить один IP"
Отправлено Spider2k , 29-Ноя-04 08:18

Пример:(если правильно понял задачу)
1 комп 192.168.0.1
2 комп 192.168.0.2
3 комп 192.168.0.3
Х комп 192.168.0.5
C2950# configure terminal
Vlan database
  vlan 7
  exit

C2950# configure terminal
Interface fastEthernet 0/6
swith port access vlan 7
end
!
Interface fastEthernet 0/9
swith port access vlan 7
!
Interface fastEthernet 0/12
swith port access vlan 7
!
Interface fastEthernet 0/X
access-group 1 in
swith port access vlan 7
access-list 1 permit 192.168.0.1
access-list 1 permit 192.168.0.2
access-list 1 permit 192.168.0.3
access-list 1 deny any

Если нельзя сделать access-group 1 in, то самый простой выход из ситуации:
1.На 3 компа поставить 2 сетевухи
2.Комп Х и три компа воткнуть в др вилан:
C2950# configure terminal
Vlan database
  vlan 7
  vlan 8
  exit
C2950# configure terminal
Interface fastEthernet 0/6
descryptyon FREE ALL
swith port access vlan 7
end
Interface fastEthernet 0/7
swith port access vlan 8
!
Interface fastEthernet 0/9
descryptyon FREE ALL
swith port access vlan 7
Interface fastEthernet 0/10
swith port access vlan 7
!
Interface fastEthernet 0/12
descryptyon FREE ALL
swith port access vlan 7
Interface fastEthernet 0/13
swith port access vlan 7
!
Interface fastEthernet 0/X
access-group 1 in
swith port access vlan 8
Три компа включаешь одними сетевехами в 7 вилан для общего доступа, а другими в 8 вилан для одного компа.
Т.е в один комп можно будет попасть только через те 3 компа