https://www.opennet.me/openforum/vsluhforumID6/19746.html Всем привет.<br>Есть у D-Link-овских коммутаторов (L2, L3) такая замечательная функция - traffic_segmentation. Она разрешает трафик между указанными портами (остальное - запрещает).<br>Желаю разрешить трафик только трафик между 2-м и 7-м портами, между 3-м и 7-м портами и запретить между 2-м и 3-м. Для Д-линка (DES-3526, DES-3038, DGS-3627G и т.д.) пишу:<br><br>config traffic_segmentation 2-3 forward_list 7<br>config traffic_segmentation 7 forward_list 2-3<br><br>и получаю искомый результат (2 и 3-й порты могут общаться ТОЛЬКО с 7-м портом, но не между собой, 7-й порт может общаться ТОЛЬКО с 2-м или 3-м, остальные порты нас не интересуют).<br><br>А как мне получить такой же результат на цискином оборудовании? Для примера, на каталисте 3750? Прошу привести именно кусок конфига, потому как из абстрактных рассуждений "крутых цискарей" понял, что это сделать можно, но никто из них мне конкретики не дал.<br>Еще могу сказать, что все три порта имеют одинаковую конфигурацию:<br><br>interface GigabitEthernet2/0/2<br> description Port 2<br> swit https://www.opennet.me/openforum/vsluhforumID6/19746.html#6 Thu, 08 Oct 2009 12:50:23 GMT <br>&gt;Смотрите, вообще с точки зрения дизайна сети, нужно чтобы номера VLAN'ов не <br>&gt;перекрывались на разных площадках. Тогда проблемы с общением между портами в <br>&gt;данных VLAN'ах просто не будет. На худой конец данные VLAN'ы можно <br>&gt;убрать из switchport trunk allowed vlan. <br><br>Т.е. в "цискиной сети" (сетке, построенной в соблюдением цискиных требований) такой ситуации случиться не может? Значит "в лоб" мою задачу решить не получится - придется либо переделывать сетку под цискины стандарты, либо пользоваться чем более другим.<br><br><br>&gt;.... На аксессных портах Ваша задача решается с помощью <br>&gt;private-vlan. <br><br>С аксессными портами все понятно. Там и protected port хватает<br><br>Спасибо!<br> https://www.opennet.me/openforum/vsluhforumID6/19746.html#5 Wed, 07 Oct 2009 18:55:14 GMT &gt;[оверквотинг удален]<br>&gt;условия. Я не собираю компромат на тему "что может д-линк-овское железо, <br>&gt;чего не может цискино". Мне просто нужна помощь в решении именно <br>&gt;моей задачи с именно моими условиями.<br>&gt;Если сделать это цискиными средствами нельзя, так и скажите - буду что-то <br>&gt;другое придумывать. <br>&gt;<br>&gt;Предполагаю, что опция protected port тоже не подойдет, потому что мне нужно <br>&gt;неким образом задать список портов, которые имеют доступ к 7-му порту <br>&gt;(2 и 3), а так же ко 2-му (7) и 3-му(7). <br>&gt;<br><br>Смотрите, вообще с точки зрения дизайна сети, нужно чтобы номера VLAN'ов не перекрывались на разных площадках. Тогда проблемы с общением между портами в данных VLAN'ах просто не будет. На худой конец данные VLAN'ы можно убрать из switchport trunk allowed vlan. <br><br>Вообще в транке ходят все вланы, которые разрешены, но внутри транка взаимодействия между вланами нет. На аксессных портах Ваша задача решается с помощью private-vlan.<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/19746.html#4 Wed, 07 Oct 2009 08:20:00 GMT <br>&gt;... Это справедливо <br>&gt;для 2-го Уровня !!! <br>&gt;про трейтий уровень вы ничего не сказали. <br>&gt;так что... не обессудьте. <br><br>traffic_segmentation (у d-link-а) и работает на 2-м уровне. потому про L-3 я ни слова не сказал.<br><br>&gt;и тогда <br>&gt;порт в который воткнут рег1 <br>&gt;пишете switchport trunk allowed vlan 10 <br>&gt;рег2<br>&gt;switchport trunk allowed vlan 20 <br>&gt;<br><br>ну я же явно написал:<br>для всех трех портов, о которых идет речь, конфиг в плане виланов одинаковый<br><br>switchport trunk encapsulation dot1q<br>switchport trunk allowed vlan 3,5,6<br>switchport mode trunk<br><br>Не коим образом не желаю наезжать на цисководов, но, господа, читайте начальные условия. Я не собираю компромат на тему "что может д-линк-овское железо, чего не может цискино". Мне просто нужна помощь в решении именно моей задачи с именно моими условиями.<br>Если сделать это цискиными средствами нельзя, так и скажите - буду что-то другое придумывать.<br><br>Предполагаю, что опция protected port тоже не подойдет, потому что мне нужно неким образом задать список портов, https://www.opennet.me/openforum/vsluhforumID6/19746.html#3 Wed, 07 Oct 2009 07:53:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;interface GigabitEthernet2/0/7 <br>&gt;&gt; description Port 7 <br>&gt;&gt; switchport trunk encapsulation dot1q <br>&gt;&gt; switchport trunk allowed vlan 3,5,6 <br>&gt;&gt; switchport mode trunk <br>&gt;&gt;end <br>&gt;<br>&gt;Это не нужно делать на транковых портах. Если на access-port, то смотрите <br>&gt;в сторону private vlan <br><br>в вашем случае действительно использовать приватные вланы.<br>если хотите через транк сделать то <br>вам нужно что бы на reg1 к примеру ставилась метка влан 10<br>на reg2 влан 20 <br><br>с<br><br>и тогда <br>порт в который воткнут рег1 <br>пишете switchport trunk allowed vlan 10<br>на рег2 <br>switchport trunk allowed vlan 20 <br><br>ну и куда 72-я воткнута там все вланы пропускаем.<br>это если смотреть ваш конфиг.<br>а вобще <br>swi mode acc <br>swi acc vlan 10 <br><br>& на другом <br>swi mode acc <br>swi acc vlan 20<br><br>тогда на регах метить не надо ничего...<br>ну и куда 72 воткнута там транк порт <br><br>итого они будут видеть только 72-у а друг друга нет. Это справедливо для 2-го Уровня !!!<br>про трейтий уровень вы ничего не сказали.<br>так что... https://www.opennet.me/openforum/vsluhforumID6/19746.html#2 Wed, 07 Oct 2009 04:52:25 GMT &gt;Это не нужно делать на транковых портах. Если на access-port, то смотрите <br>&gt;в сторону private vlan <br><br>Так мне это надо делать все равно на каких портах. Т.е. это могут и акксессные порты, и транковые. И виланы я для примера.<br>Кстати, а почему на транковых портах этого делать не нужно? Если у меня схема такая:<br><br> 7 2<br>&lt;inet&gt;==&lt;CISCO 7206&gt;==&lt;catalyst 3750&gt;==&lt;Reg1&gt;<br> &#124;&#124; <br> &#124;&#124;3<br> &lt;Reg2&gt; <br><br>Reg1 и 2 - некие удаленные части сети, имеют общие виланы и не должны общаться между собой (через общие виланы), но должны ходить в инет.<br> https://www.opennet.me/openforum/vsluhforumID6/19746.html#1 Tue, 06 Oct 2009 13:12:44 GMT &gt;[оверквотинг удален]<br>&gt; switchport trunk allowed vlan 3,5,6 <br>&gt; switchport mode trunk <br>&gt;end <br>&gt;<br>&gt;interface GigabitEthernet2/0/7 <br>&gt; description Port 7 <br>&gt; switchport trunk encapsulation dot1q <br>&gt; switchport trunk allowed vlan 3,5,6 <br>&gt; switchport mode trunk <br>&gt;end <br><br>Это не нужно делать на транковых портах. Если на access-port, то смотрите в сторону private vlan<br>