https://www.opennet.ru/openforum/vsluhforumID6/19630.html С КИСКОЙ (2821 точнее) мало знаком, так что сильно не бейте (сразу)! Нашей организации была дана изначально одна сеть например 10.1.1.0\24, другие даже через НАТ низзя. Сейчас в сети 150 компов. Из них 15 в бухгалтерии. Начальник поставил задачу: Всех Бухов ..... с пляжа в отдельную сеть, но на некоторые сервера и мы и они должны ходить. Все бы ничего - Головная контора запретила маску менять - говорят 255.255.255.0 и все тут, а не то под стул пнут. В общем ближе к теме создал VLAN1 общий и VLAN2 буховский на свитче, подвязал их на маршрутизаторе. Создал между ними bridge. Все отлично работает, но проблема - ACL (как я понимаю) применим тока к мосту, а я бы хотел на субинтерфейсах... Как быть подскажите пожалуйста, пните в нужном направлении.<br>ЗАРАНЕЕ ВСЕМ СПАСИБО.<br><br>P.S.<br>Сколько максимум правил в именованом ACL. А то все говорят по разному.<br> https://www.opennet.ru/openforum/vsluhforumID6/19630.html#4 Thu, 17 Sep 2009 09:39:14 GMT &gt;<br>&gt;Private VLAN вам поможет, если ваш свич либо маршрутизатор поддерживает (если нет, <br>&gt;то надо будет покупать). Используя Private VLAN, можно остаться в пределах <br>&gt;выделенной головным офисом ip-сети и ограничить доступ хостов внутри этой сети <br>&gt;друг к другу. <br>&gt;Если с Private VLAN никак не получается, то не вижу проблемы разделить <br>&gt;сеть на 10.1.1.0/25 и 10.1.1.128/25 (соответственно назначить их двум разным VLAN'ам), <br>&gt;а всем остальным отправлять суммарный маршрут к 10.1.1.0/24 <br><br>Спасибо за предложение про Private VLAN слышал не раз. Сейчас поподробнее начну знакомиться с данным зверем!:)<br>По второму предложению не получится - головной оффис запретил маску подсети менять в любом виде. На контроле держат все изменения, хотя выход,который ВЫ предложили, единнственный оставался. Но все равно спасибо.<br>Спасибо ВСЕМ - тему считаю иожно закрыть.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/19630.html#3 Thu, 17 Sep 2009 07:03:38 GMT &gt;[оверквотинг удален]<br>&gt;В общем ближе к теме создал VLAN1 общий и VLAN2 буховский <br>&gt;на свитче, подвязал их на маршрутизаторе. Создал между ними bridge. Все <br>&gt;отлично работает, но проблема - ACL (как я понимаю) применим тока <br>&gt;к мосту, а я бы хотел на субинтерфейсах... Как быть подскажите <br>&gt;пожалуйста, пните в нужном направлении. <br>&gt;ЗАРАНЕЕ ВСЕМ СПАСИБО. <br>&gt;<br>&gt;P.S. <br>&gt;Сколько максимум правил в именованом ACL. А то все говорят по разному. <br>&gt;<br><br>Private VLAN вам поможет, если ваш свич либо маршрутизатор поддерживает (если нет, то надо будет покупать). Используя Private VLAN, можно остаться в пределах выделенной головным офисом ip-сети и ограничить доступ хостов внутри этой сети друг к другу.<br>Если с Private VLAN никак не получается, то не вижу проблемы разделить сеть на 10.1.1.0/25 и 10.1.1.128/25 (соответственно назначить их двум разным VLAN'ам), а всем остальным отправлять суммарный маршрут к 10.1.1.0/24<br><br> https://www.opennet.ru/openforum/vsluhforumID6/19630.html#2 Thu, 17 Sep 2009 01:54:51 GMT &gt;<br>&gt;возьмите для бухов другую сетку. <br>&gt;к примеру 10.1.2.0\27 повесьте на интерфейс маршрутизера айпи адрес из этой <br>&gt;сетки <br>&gt;только тут учтите особенности сети и т.п. !!! <br>&gt;<br><br>Здесь есть проблема - Головная контора настрого запретила использовать прочие IP адреса и NAT в любом его исполнении. Только тот, который по списку нам выдан. С другими IP я экспериментировал - все работает на УРА.<br>Но за ответ СПАСИБО! <br>&gt;<br>&gt;понимаю откуда вопрос но вам достаточно будет <br>&gt;правил в количестве серверов для доступа +адын <br><br>В данный момент у меня в ACL весит примерно 87 правил, если еще на сервера для VLAN1 и VLAN2 понавесить правил, может за 100 перевалить. Мне просто прийдется списки оптимизировать, скорее всего надо начинать прямо сейчас!<br><br>P.S.<br>Вчера попробовал поиграться с ip unnumbered - в принципе должно работать, если есть сервер с DHCP в сети (я так понял, прочитав на ciso.com). Но у меня почему-то не заработало. Может есть какие-нибудь тонкости при настройке ip unnumbered на субинтерфейсах? Заранее Спас https://www.opennet.ru/openforum/vsluhforumID6/19630.html#1 Wed, 16 Sep 2009 13:40:53 GMT &gt;С КИСКОЙ (2821 точнее) мало знаком, так что сильно не бейте (сразу)! <br>&gt;Нашей организации была дана изначально одна сеть например 10.1.1.0\24, другие даже <br>&gt;через НАТ низзя. Сейчас в сети 150 компов. Из них 15 <br>&gt;в бухгалтерии. Начальник поставил задачу: Всех Бухов ..... с пляжа в <br>&gt;отдельную сеть, но на некоторые сервера и мы и они должны <br>&gt;ходить. Все бы ничего - Головная контора запретила маску менять - <br>&gt;говорят 255.255.255.0 и все тут, а не то под стул пнут. <br><br>возьмите для бухов другую сетку. <br>к примеру 10.1.2.0\27 повесьте на интерфейс маршрутизера айпи адрес из этой сетки <br>только тут учтите особенности сети и т.п. !!! <br><br>&gt;В общем ближе к теме создал VLAN1 общий и VLAN2 буховский <br>&gt;на свитче, подвязал их на маршрутизаторе. Создал между ними bridge. Все <br>&gt;отлично работает, но проблема - ACL (как я понимаю) применим тока <br>&gt;к мосту, а я бы хотел на субинтерфейсах... Как быть подскажите <br>&gt;пожалуйста, пните в нужном направлении. <br>&gt;ЗАРАНЕЕ ВСЕМ СПАСИБО. <br>&gt;<br>&gt;P.S. <br>&gt;Сколько максимум правил в и