 фильтрация L2,  DrDiesel, 23-Май-03, 19:08 [смотреть все]Пример сетки
c2650<------>ws2950(1)<-------->ws2950(2)
Циска и каталисты связаны trunk'ами. На каталистах сидят клиенты, заведено несколько VLAN'ов. Для одного из них (пусть будет VLAN 11) нужно замутить следующую фишку. Надо чтобы клиенты в нем не видели друг друга, а видели только циску. В пределах одного свича просто, это switchport protected. А как сделать, чтобы клиенты в VLAN 11 с первого каталиста не видели юзеров со второго, а видели только c2650? Как то это дело надо хитро отфильтровать на транковых портах, но пока не не могу придумать как. Или я хочу невозможного?Вообще думается, что надо сделать так, чтобы на втором каталисте в mac-address-table для транкового порта и VLAN 11 была запись только с одним MAC, и чтобы это был MAC с2650. Но вот как это сделать?
|
- фильтрация L2, ВОЛКА, 19:11 , 23-Май-03 (1)
а не проще ли посадить их в отдельные виланы и написать acl на роутере...
- фильтрация L2, DrDiesel, 19:17 , 23-Май-03 (2)
>а не проще ли посадить их в отдельные виланы и написать acl
>на роутере...
Не подходит. VLAN'ов на всех не хватит, у 2950 их максимум 68, а свитчей на самом деле не 2, а больше, и кроме 11го VLAN'а еще есть штук 20 других. Так что на каждого юзера свой VLAN сделать не получится.
- фильтрация L2, ВОЛКА, 19:27 , 23-Май-03 (3)
switchport protected.
что-то я не понял, как это може помочь на одной железке...
- фильтрация L2, DrDiesel, 19:35 , 23-Май-03 (4)
- фильтрация L2, Vlad, 12:15 , 24-Май-03 (5)
эээ
траляляconf t
mac access-list extended port10
permit host x.x.x(клиента клиента) host x.x.x (мак роутера) потом вешаешь на соответветствующий порт
in f0/x
mac access-group portx in клиент сможет посылать пакеты только роутеру
и даже безо всяких вланов
- фильтрация L2, DrDiesel, 18:04 , 24-Май-03 (6)
А это с каким софтом? У меня таких команд на каталисте нету...
- фильтрация L2, Vlad, 20:55 , 24-Май-03 (7)
черт у меня то 2950Т
на ws2950 такого наверно нет ...
- фильтрация L2, DrDiesel, 03:11 , 26-Май-03 (8)
>черт у меня то 2950Т
>на ws2950 такого наверно нет ... Все оказывается есть, просто надо было софт обновить ;-))
- фильтрация L2, DrDiesel, 03:52 , 26-Май-03 (9)
>>черт у меня то 2950Т
>>на ws2950 такого наверно нет ...
>
>Все оказывается есть, просто надо было софт обновить ;-)) Хотя рано обрадовался. mac access-list создается, но на интерфейс не повесить никак, ибо
cisco WS-C2950-24 (RC32300) processor (revision G0) with 21002K bytes of memory.
Processor board ID FOC0701Z2U3
Last reset from system-reset
Running Standard Image
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
24 FastEthernet/IEEE 802.3 interface(s) а надо
mac access-group name in
This command is available only if your switch is running the enhanced software image (EI).
|
Версия для распечатки
