Помогите настроить маршрутизация между VLAN на catalyst 3750G-24T-E.Vlanы создал, интрефейсы создал, а как заставит между ними трафик бегать?
Смысл в том что есть куча отделов, которые хотят сидеть в разных VLAN, и есть VLAN в котором сидят все сервера и прочие сетевые девайсы.
Так вот, не могу заставить ходить трафик между VLANами отделов и серверным VLAN.
Выдержки из конфигов, если нужны, закину.
Спасибо.
ip routing
>ip routingвключен
тогда конфиги давай.
>тогда конфиги давай.на влановых интерфейсах должны быть адреса, которые на хостах стоят как шлюзы по умолчанию.
>>тогда конфиги давай.
>
>на влановых интерфейсах должны быть адреса, которые на хостах стоят как шлюзы
>по умолчанию.
это понятно.
>тогда конфиги давай.Текущее положение:
Сеть 192.168.0.0/24
Маршурутизатор на ISP - 192.168.0.1
Соответственно у всех юзеров шлюз по умолчанию - 192.168.0.1
Планируется:
В каждом VLAN по несколько девайсов, кроме того транками будут подключены еще несколько коммутаторов.На хостах шлюз по умолчанию = ip интерфейса соответствуещего VLAN.
Конфиг:
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c-3750G-24T-E
!
enable secret 5 $1$OqXt$8WkWcWNHIHLrnidJzZXwF/
enable password 123456
!
ip subnet-zero
ip routing
!
vtp mode transparent
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
vlan 10
name V_SERVERS
!
vlan 11
name V_ADM
!
vlan 12
name V_SALES
!
vlan 13
name V_BUHG
!
vlan 14
name V_TECH
!
vlan 15
name V_LAB
!
vlan 16
name V_MANU
!
vlan 17
name V_URIST
!
!
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10-17
switchport mode trunk
no ip address
mdix auto
!
interface GigabitEthernet1/0/2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10-17
switchport mode trunk
no ip address
mdix auto
!
interface GigabitEthernet1/0/3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10-17
switchport mode trunk
no ip address
mdix auto
!
interface GigabitEthernet1/0/4
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10-17
switchport mode trunk
no ip address
mdix auto
!
interface GigabitEthernet1/0/5
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10-17
switchport mode trunk
no ip address
mdix auto
!
interface GigabitEthernet1/0/6
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,10-17
switchport mode trunk
no ip address
mdix auto
!
interface GigabitEthernet1/0/7
switchport access vlan 16
switchport mode access
no ip address
mdix auto
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet1/0/8
switchport access vlan 17
switchport mode access
no ip address
mdix auto
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet1/0/9
no ip address
no mdix auto
!
interface GigabitEthernet1/0/10
no ip address
no mdix auto
!
interface GigabitEthernet1/0/11
no ip address
no mdix auto
!
interface GigabitEthernet1/0/12
no ip address
no mdix auto
!
interface GigabitEthernet1/0/13
no ip address
no mdix auto
!
interface GigabitEthernet1/0/14
no ip address
no mdix auto
!
interface GigabitEthernet1/0/15
no ip address
no mdix auto
!
interface GigabitEthernet1/0/16
no ip address
no mdix auto
!
interface GigabitEthernet1/0/17
no ip address
no mdix auto
!
interface GigabitEthernet1/0/18
no ip address
no mdix auto
!
interface GigabitEthernet1/0/19
switchport access vlan 10
switchport mode access
no ip address
mdix auto
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet1/0/20
switchport access vlan 10
switchport mode access
no ip address
mdix auto
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet1/0/21
switchport access vlan 10
switchport mode access
no ip address
mdix auto
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet1/0/22
switchport access vlan 10
switchport mode access
no ip address
mdix auto
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet1/0/23
switchport access vlan 10
switchport mode access
no ip address
mdix auto
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet1/0/24
switchport access vlan 10
switchport mode access
no ip address
mdix auto
no cdp enable
spanning-tree portfast
!
interface Vlan1
ip address 192.168.0.16 255.255.255.0
!
interface Vlan10
ip address 10.0.10.1 255.255.255.0
!
interface Vlan11
ip address 10.0.11.1 255.255.255.0
!
interface Vlan12
ip address 10.0.12.1 255.255.255.0
!
interface Vlan13
ip address 10.0.13.1 255.255.255.0
!
interface Vlan14
ip address 10.0.14.1 255.255.255.0
!
interface Vlan15
ip address 10.0.15.1 255.255.255.0
!
interface Vlan16
ip address 10.0.16.1 255.255.255.0
!
interface Vlan17
ip address 10.0.17.1 255.255.255.0
!
ip default-gateway 10.0.10.1
ip classless
ip http server
!
!
line con 0
line vty 0 4
password 123456
login
line vty 5 15
password 123456
login
!
endСоотвественно:
Порты 1-6 - транковые для подключения управляемых L2 свичей с поддержкой VLAN.
Порты 7-8 - VLAN16(V_MANU) и VLAN17(V_URIST) - для подключения
неуправляемых свичей, не поддерживающих VLAN.
Порты 19-24 - VLAN10 (V_SERVERS) - для серверов, сетевыx принтеров. Здесь
же маршрутизатор на ISP.
Порты 9-18 пока не используются.Задача: смаршрутизировать трафик между VLANами отделов и серверным VLAN. И запретить трафик между VLANами отделов.
>тогда конфиги давай.Да, и еще, все остальные свичи не Cisco. Про VTP - не пинать ;)
Почему у всех юзеров шлюз по умолчанию 192.168.0.1?
У всех юзеров в отдельном VLAN'е должен быть свой шлюз. Ну скажем для VLAN'ы 16 это будет 10.0.16.1. Сначала добейтесь того, чтобы трафик ходил везде, а потом ограничивайте его acl.
>Почему у всех юзеров шлюз по умолчанию 192.168.0.1?
>У всех юзеров в отдельном VLAN'е должен быть свой шлюз. Ну скажем
>для VLAN'ы 16 это будет 10.0.16.1. Сначала добейтесь того, чтобы трафик
>ходил везде, а потом ограничивайте его acl.Это так и есть, я написал что шлюз в текщем положении такой, а в будущем, естественно он у всех будет разным, в зависимости от VLAN.
В тестовом сегменте, не могу как раз трафик заставить бегать через все всем... Ограничить ACL это тоже понятно...
>>Почему у всех юзеров шлюз по умолчанию 192.168.0.1?
>>У всех юзеров в отдельном VLAN'е должен быть свой шлюз. Ну скажем
>>для VLAN'ы 16 это будет 10.0.16.1. Сначала добейтесь того, чтобы трафик
>>ходил везде, а потом ограничивайте его acl.
>
>Это так и есть, я написал что шлюз в текщем положении такой,
>а в будущем, естественно он у всех будет разным, в зависимости
>от VLAN.
>
>В тестовом сегменте, не могу как раз трафик заставить бегать через все
>всем... Ограничить ACL это тоже понятно...А подключившись к каталисту, Вы можите попинговать Ваши интерфейсы с ip адресами?
>А подключившись к каталисту, Вы можите попинговать Ваши интерфейсы с ip адресами?
>да, когда на нем что нибудь висит, когда он активный.
>
>>А подключившись к каталисту, Вы можите попинговать Ваши интерфейсы с ip адресами?
>>
>
>да, когда на нем что нибудь висит, когда он активный.Попробуте сделать следующее:
Подключитесь к порту, напимер interface GigabitEthernet1/0/23, принадлежащему Vlan10
пропишите у себя на машине следующееIP: 10.0.10.2
Mask: 255.255.255.0
GW: 10.0.10.1Затем попробуйте пингануть ip адрес 10.0.10.1, если результат будет положительный,
следовательно вы дошли до шлюза данной сети, затем попробуйте пингануть
остальные IP адреса: 192.168.0.16, 10.0.11.1, 10.0.12.1 , 10.0.13.1 и так далее
>Попробуте сделать следующее:Да, уже экспериментировал. Так все работает.
Только вот идея менять на всех хостах в сетке ip адреса меня не очень вдохновляет. К ним многое привязано.
Можеть быть есть варианты без этого?
>
>>Попробуте сделать следующее:
>
>Да, уже экспериментировал. Так все работает.
>
>Только вот идея менять на всех хостах в сетке ip адреса меня
>не очень вдохновляет. К ним многое привязано.
>
>Можеть быть есть варианты без этого?Ну скажем есть как вариант DHCP, но раз к хостам мгого чего привязанно, есть только один вариант, отказаться от использования Vlan-ов :)
Почитайте лучше что такое виланы, для чего они существуют...
В общем понятно - меняем ip, разбиваем сеть...Скажите, на cisce по умолчанию между Vlanами permit any any или deny?
>В общем понятно - меняем ip, разбиваем сеть...
>
>Скажите, на cisce по умолчанию между Vlanами permit any any или deny?
>
Не совсем понятен вопрос...
По умолчанию запретов на маршрутизацию между Vlan нет. Запрет нужно писать самому ручками, так называемые access-list-ы... Тоже советую почитать и разобраться в них, а не то могут быть проблеммы...
>>В общем понятно - меняем ip, разбиваем сеть...
>>
>>Скажите, на cisce по умолчанию между Vlanами permit any any или deny?
>>
>
>
>Не совсем понятен вопрос...Scrappy и всем учавствующим, спасибо за советы и помощь.
В общем то во всем разобрался. Сетку, бьем на подести, access-listами закрываем трафик между Vlanами.
>В общем то во всем разобрался. Сетку, бьем на подести, access-listами закрываем
>трафик между Vlanами.
Вопрос возник в процессе разбиения сетей... Наверное уже не в эту тему, но все же...Конртоллер домена в одной подсети, клиенты (Win98, 2000, XP) в других подсетях. Не все клиенты видят контроллер, в чем может быть проблема?
DNS серевр на всех клиентах одинаковый и записи о домене отдает нормально.
Ограничений нет никаких. Все всем разрешено...
>
>>В общем то во всем разобрался. Сетку, бьем на подести, access-listами закрываем
>>трафик между Vlanами.
>
>
>Вопрос возник в процессе разбиения сетей... Наверное уже не в эту тему,
>но все же...
>
>Конртоллер домена в одной подсети, клиенты (Win98, 2000, XP) в других подсетях.
>Не все клиенты видят контроллер, в чем может быть проблема?
>
>DNS серевр на всех клиентах одинаковый и записи о домене отдает нормально.
>
>Ограничений нет никаких. Все всем разрешено...А поконкретнее...
Для клиентов win 98 Вам нужно поднять WINS. А ещё есть замечательная коммандачка ip helper-address <ip адрес контроллера>
>>
>>>В общем то во всем разобрался. Сетку, бьем на подести, access-listами закрываем
>>>трафик между Vlanами.
>>
>>
>>Вопрос возник в процессе разбиения сетей... Наверное уже не в эту тему,
>>но все же...
>>
>>Конртоллер домена в одной подсети, клиенты (Win98, 2000, XP) в других подсетях.
>>Не все клиенты видят контроллер, в чем может быть проблема?
>>
>>DNS серевр на всех клиентах одинаковый и записи о домене отдает нормально.
>>
>>Ограничений нет никаких. Все всем разрешено...
>
>А поконкретнее...
>Для клиентов win 98 Вам нужно поднять WINS. А ещё есть замечательная коммандачка ip helper-address <ip адрес контроллера>На контроллере должен быть поднят сервис WINS, так как клиенты Win98 не умеют проходить регистрацию по dns, они это делают через wins.
на catalyst
conf t
int vlan X
ip helper-address <ip адрес контроллера>
exit
copy run start
И так на каждом Виланном интерфейсе. Хотя если Вы прописываете в сетевых настройках клиентов статически адрес dns и wins они должны видеть контроллер. Хотя может быть такое что он не будет отображаться в сетевом окружении
>На контроллере должен быть поднят сервис WINS, так как клиенты Win98 не
>умеют проходить регистрацию по dns, они это делают через wins.
>на catalyst
>conf t
>int vlan X
>ip helper-address <ip адрес контроллера>
>exit
>copy run start
>И так на каждом Виланном интерфейсе. Хотя если Вы прописываете в сетевых
>настройках клиентов статически адрес dns и wins они должны видеть контроллер.
>Хотя может быть такое что он не будет отображаться в сетевом
>окруженииСпасибо. Wins помог.