Ситуация такая есть Cisco 2750G-24 EMI в неё заходят 6 Cisco2950 с клиентами и в неё же все сервера. Я поднял VTP домен на 3750 создал на нём необходимое количество VLAN (для каждого отдела свой и для серверов свой). Далее каждый порт на 2950 я завёл в свой VLAN и на 3750 для каждой VLAN создал интерфейс. А теперь внимание вопрос)))) Рабочие станции принадлежащие определённой VLAN должны обязательно быть в той же подсети что и виртуальный интерфейс созданный для этой VLAN или нет. И если это так то зачем вообще создавать эти самые VLAN если подсети будут и так разные и клиенты из разных отделов и так друг друга видеть не будут. Вообще задача такая что клиенты из разных отделов не должны видеть друг друга но должны видеть сервера. Может есть другие решения не хотелось бы прописывать статически каждую машину на то и есть DHCP сервер... Как тут поступить.....
>Ситуация такая есть Cisco 2750G-24 EMI в неё заходят 6 Cisco2950 с
>клиентами и в неё же все сервера. Я поднял VTP домен
>на 3750 создал на нём необходимое количество VLAN (для каждого отдела
>свой и для серверов свой). Далее каждый порт на 2950 я
>завёл в свой VLAN и на 3750 для каждой VLAN создал
>интерфейс. А теперь внимание вопрос)))) Рабочие станции принадлежащие определённой VLAN должны
>обязательно быть в той же подсети что и виртуальный интерфейс созданный
>для этой VLAN или нет.Интерфейс роутера должен быть в одной подсети с рабочей станцией. Для L3-свитча, естественно, то же самое.
>И если это так то зачем
>вообще создавать эти самые VLAN если подсети будут и так разные
>и клиенты из разных отделов и так друг друга видеть не
>будут.Наивный юноша :-)
>Вообще задача такая что клиенты из разных отделов не должны
>видеть друг друга но должны видеть сервера. Может есть другие решения
>не хотелось бы прописывать статически каждую машину на то и есть
>DHCP сервер... Как тут поступить.....Не должны видеть друг друга отделы или сотрудники внутри отделов?
>Не должны видеть друг друга отделы или сотрудники внутри отделов?Не должны видеть друг друга именно отделы, а внутри отдела пусть общаются как хотят.
>Ситуация такая есть Cisco 2750G-24 EMI в неё заходят 6 Cisco2950 с
>клиентами и в неё же все сервера. Я поднял VTP домен
>на 3750 создал на нём необходимое количество VLAN (для каждого отдела
>свой и для серверов свой). Далее каждый порт на 2950 я
>завёл в свой VLAN и на 3750 для каждой VLAN создал
>интерфейс. А теперь внимание вопрос)))) Рабочие станции принадлежащие определённой VLAN должны
>обязательно быть в той же подсети что и виртуальный интерфейс созданный
>для этой VLAN или нет. И если это так то зачем
>вообще создавать эти самые VLAN если подсети будут и так разные
>и клиенты из разных отделов и так друг друга видеть не
>будут. Вообще задача такая что клиенты из разных отделов не должны
>видеть друг друга но должны видеть сервера. Может есть другие решения
>не хотелось бы прописывать статически каждую машину на то и есть
>DHCP сервер... Как тут поступить.....Ответ: Если на рабочей станции просто поменять ИП на ИП из другой подсети то БЕЗ VLAN спокойно будешь шариться по этой сетке и получишь доступ к подсети, если с использованием VLAN то из одного VLAN в другой попасть можно ТОЛЬКО через маршрутизатор, и банальной сменой ИП тут не обойдешь...
>Ответ: Если на рабочей станции просто поменять ИП на ИП из другой
>подсети то БЕЗ VLAN спокойно будешь шариться по этой сетке и
>получишь доступ к подсети, если с использованием VLAN то из одного
>VLAN в другой попасть можно ТОЛЬКО через маршрутизатор, и банальной сменой
>ИП тут не обойдешь...Да об этом я подумал ну там понятно трафик широковещательный сократится но всё же наельзя без выдиления каждому отделу отдельной подсети... И вопрос вдогонку как настроить маршрутизацию между VLANами клиентом с VLANом серверов на 3750 т.е. я понимаю что-то типа
ip route 192.168.11.0 (Подсеть для VLAN N) 255.255.255.0 VLAN 100 (для серверов)
>>Ответ: Если на рабочей станции просто поменять ИП на ИП из другой
>>подсети то БЕЗ VLAN спокойно будешь шариться по этой сетке и
>>получишь доступ к подсети, если с использованием VLAN то из одного
>>VLAN в другой попасть можно ТОЛЬКО через маршрутизатор, и банальной сменой
>>ИП тут не обойдешь...
>
>Да об этом я подумал ну там понятно трафик широковещательный сократится но
>всё же наельзя без выдиления каждому отделу отдельной подсети... И вопрос
>вдогонку как настроить маршрутизацию между VLANами клиентом с VLANом серверов на
>3750 т.е. я понимаю что-то типа
>ip route 192.168.11.0 (Подсеть для VLAN N) 255.255.255.0 VLAN 100 (для серверов)
>
Если все VLAN оканчиваются на одном маршрутере, то маршрутизацию и настраивать-то не придется :)
Только ACL-ки на интерфейсы повесить (для ограничения доступа) и все.