The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"VLAN в связке 3550+2950"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"VLAN в связке 3550+2950"  
Сообщение от Feen email(ok) on 06-Апр-06, 14:35 
Подскажите, пожалуйста, возможно ли на связке 3550+2950 сделать "односторонний" VLAN?
Смысл в чем. Есть несколько VLAN'ов: 101-106. 101 - серверный, доступ есть у всех. 102-105 - видят только 101, друг друга не видят.
И есть VLAN106, администраторский, который должен видеть все остальные, но его быть видно не должно. Вот именно вот этот последний пункт и вызывает сомнения. Такое вообще возможно? Если возможно, то каким образом?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "VLAN в связке 3550+2950"  
Сообщение от silencer (ok) on 06-Апр-06, 14:37 
>Подскажите, пожалуйста, возможно ли на связке 3550+2950 сделать "односторонний" VLAN?
>Смысл в чем. Есть несколько VLAN'ов: 101-106. 101 - серверный, доступ есть
>у всех. 102-105 - видят только 101, друг друга не видят.
>
>И есть VLAN106, администраторский, который должен видеть все остальные, но его быть
>видно не должно. Вот именно вот этот последний пункт и вызывает
>сомнения. Такое вообще возможно? Если возможно, то каким образом?


все это можно сделать аксесс-листами на 3550

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "VLAN в связке 3550+2950"  
Сообщение от Feen email(ok) on 06-Апр-06, 14:41 
Я так и подумал, нарезал VACL.

Не получается. Когда, к примеру VLAN 101 и 102 друг у друга в листах - проблем нет, но когда VLAN 106 есть в листе у 102, а 102 у 106-го нет, то пинг не идет в обе стороны. Что разумно, сам пинг доходит, а reply - не возвращается, поскольку закрыто...

ну...мне так кажется, нет?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "VLAN в связке 3550+2950"  
Сообщение от silencer (ok) on 06-Апр-06, 18:26 
>Я так и подумал, нарезал VACL.
>
>Не получается. Когда, к примеру VLAN 101 и 102 друг у друга
>в листах - проблем нет, но когда VLAN 106 есть в
>листе у 102, а 102 у 106-го нет, то пинг не
>идет в обе стороны. Что разумно, сам пинг доходит, а reply
>- не возвращается, поскольку закрыто...
>
>ну...мне так кажется, нет?


если мне не изменяет память, 3550 поддерживает ip access-lists. С их помошью удобнее доступ разграничить.

Кстати, какая версия иоса?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "VLAN в связке 3550+2950"  
Сообщение от vorch on 07-Апр-06, 10:07 
>Подскажите, пожалуйста, возможно ли на связке 3550+2950 сделать "односторонний" VLAN?
>Смысл в чем. Есть несколько VLAN'ов: 101-106. 101 - серверный, доступ есть
>у всех. 102-105 - видят только 101, друг друга не видят.
>
>И есть VLAN106, администраторский, который должен видеть все остальные, но его быть
>видно не должно. Вот именно вот этот последний пункт и вызывает
>сомнения. Такое вообще возможно? Если возможно, то каким образом?

В extended acl есть возможность установить параметр established. Т.е. будут пропускаться пакеты только в рамках уже установленного соединения. Если такой acl повесить на входящий в управляющий vlan, то инициатором соединения сможет выступать только управляющий vlan. Значит будут и пинги и прочие удовольствия. Я такое делал - вроде работает. Не скажу как это в циске реализовано, но в Linux анализируется syn-флаг. В циске по ходу должно быть тоже самое.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру