forum.opennet.ru - "Catalyst 3550 + VLAN + W2k dc" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Catalyst 3550 + VLAN + W2k dc"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Catalyst 3550 + VLAN + W2k dc"
Сообщение от AVTS2000 on 15-Янв-07, 09:13
Добрый день! Помогите чайнику! Дано: Cisco 3550, в который воткнуты шнурки от хостов юзеров (где-то напрямую, где-то через неуправляемые свитчи). Также в эту циску воткнуты несколько серверов: 1) W2k server -контроллер домена: AD + DHCP (раздаёт клиентам IP)+ DNS + WINS (есть тачки W98). На этом серваке есть две сетевухи (Intel Pro). Одна смотрит в LAN (шнурок от неё идёт в 3550). Вторая для подачи Инета, воткнута в медиа-конвертер, к которому подключено волокно, инет даётся по PPPoE). На контроллере стоит Прокси для раздачи инета. 2) Два Windows 2003 servers - выполняют роль файловых серверов + на одном крутится сервер правовой системы ГАРАНТ и т.д. Они являются рядовыми серверами, обычными членами домена. Сетка 192.168.0.0 /24 IP контроллера - 192.168.0.1 IP Cisco 3550 - 192.168.0.10 IP серваков и некотррых юзерских машин зарезервированы и выдаются по их MAC-адресу. Cisco 3550 крутится в режиме простого свитча. Все интерфейсы находятся в дефолтовом VLAN 1. Задача: Необходимо подключить бухгалтерию (которая щас в отдельной сети 10.10.5.0 - находится в рабочей группе BUHGALTERIA)в общую сетку, т.е. чтобы ихние тачки стали членами домена,видели контроллер и остальные два сервера, получали инет, обновляли антивирь, печатали на сетевой принтер, но при этом к ним никто другой не имел доступ. Почитал форум, нашёл много полезного, но не совсем догоняю как это всё применить именно к моему случаю. Допустим сетке с бухгалтерией выделить адресацию 192.168.1.0 /24 Остальным юзерам 192.168.2.0 /24 Контроллеру и серверам видимо тоже своя сеть - ? Как я это вижу: на 3550 создаем виланы и пихаем в них порты: vlan database (vlan)#vlan 2 (vlan)#vlan 3 (vlan)#vlan 4 vlan)#end conf t (config)#vlan 2 (config-vlan)#name BUHGALTERIA (соnfig-vlan)#int fa 0/2 (config-if)#switchport access vlan 2 (config-if)#end (config)#vlan 3 (config-vlan)#name USERS (соnfig-vlan)#int fa 0/3 (config-if)#switchport access vlan 3 (config-if)#end Далее, как я понял надо создать VLAN, в который будут включены конроллер и серваки, сделать их видимыми для 2 и 3 VLAN. Вопрос в том как это сделать. Читал, что карты Intel Pro умеют работать с VLAN 802.1Q. Чую, что надо создать несколько виртуальных сетевух на контроллере, каждая из которых должна иметь адресацию нужного VLAN на циске. Потом надо прикрутить эти вир. подключения к порту(ам) циски. Также надо на контроллере как-то DHCP настроить на работу с каждой подсетью. Вобщем вопросов куча, а вот практики никакой. Кто чем поможет? Конечно, понимаю что хочу много. Но рамки сжаты по времени. Может, кто поможет?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Catalyst 3550 + VLAN + W2k dc, Botan, 10:51 , 15-Янв-07, (1)

Catalyst 3550 + VLAN + W2k dc, AVTS2000, 11:52 , 15-Янв-07, (2)

Catalyst 3550 + VLAN + W2k dc, user783, 08:24 , 16-Янв-07, (3)

Catalyst 3550 + VLAN + W2k dc, AVTS2000, 11:54 , 16-Янв-07, (4)

Catalyst 3550 + VLAN + W2k dc, Botan, 18:15 , 17-Янв-07, (5)

Catalyst 3550 + VLAN + W2k dc, Den, 18:56 , 17-Янв-07, (6)

Catalyst 3550 + VLAN + W2k dc, AVTS2000, 11:15 , 18-Янв-07, (7)
Catalyst 3550 + VLAN + W2k dc, AVTS2000, 15:49 , 18-Янв-07, (8)

Catalyst 3550 + VLAN + W2k dc, AVTS2000, 09:10 , 20-Янв-07, (9)

Сообщения по теме [Сортировка по времени, UBB]

1. "Catalyst 3550 + VLAN + W2k dc"

Сообщение от Botan (ok) on 15-Янв-07, 10:51

Если ты создаешь отдельные VLAN для некоторый своих групп, то попробуй использовать данный свич в режиме маршрутизации. и на порты навешивать ACL.
Причем ты сможешь сам управлять по IP кому в какую сетку лазить и по какому порту.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Catalyst 3550 + VLAN + W2k dc"

Сообщение от AVTS2000 on 15-Янв-07, 11:52

>Если ты создаешь отдельные VLAN для некоторый своих групп, то попробуй использовать
>данный свич в режиме маршрутизации. и на порты навешивать ACL.
>Причем ты сможешь сам управлять по IP кому в какую сетку лазить
>и по какому порту.
Тоже думал о таком варианте. Я так понимаю ты хочешь сказать "если свич поддерживает роутинг, то зачем придумывать велосипед?" Не подскажешь на примере,  как это реализовать? Кстати, с точки зрения правил решения таких задач это будет наиболее правильным и оптимальным вариантом? Если учитывать такие критерии,  как безопасность, нагрузку на 3550, узкие места...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Catalyst 3550 + VLAN + W2k dc"

Сообщение от user783 on 16-Янв-07, 08:24

>>Если ты создаешь отдельные VLAN для некоторый своих групп, то попробуй использовать
>>данный свич в режиме маршрутизации. и на порты навешивать ACL.
>>Причем ты сможешь сам управлять по IP кому в какую сетку лазить
>>и по какому порту.
>
>Тоже думал о таком варианте. Я так понимаю ты хочешь сказать "если
>свич поддерживает роутинг, то зачем придумывать велосипед?" Не подскажешь на примере,
> как это реализовать? Кстати, с точки зрения правил решения таких
>задач это будет наиболее правильным и оптимальным вариантом? Если учитывать такие
>критерии,  как безопасность, нагрузку на 3550, узкие места...
Однозначно вариант с маршрутизацией более правильный(по крайней мере именно его советуют использовать на всех курсах по CISCO)
Для включения маршрутизации назначаешь gataway на каждый vlan интерфейс
ip address x.x.x.x mask y.y.y.y
далее включаешь любой протокол роутинга (rip,ospf,....)
и рулишь acl для управления доступом....
все...
незабудь у клиентов прописать gateway по умолчанию........

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Catalyst 3550 + VLAN + W2k dc"

Сообщение от AVTS2000 on 16-Янв-07, 11:54

>Однозначно вариант с маршрутизацией более правильный(по крайней мере именно его советуют использовать
>на всех курсах по CISCO)
>Для включения маршрутизации назначаешь gataway на каждый vlan интерфейс
>ip address x.x.x.x mask y.y.y.y
>далее включаешь любой протокол роутинга (rip,ospf,....)
>и рулишь acl для управления доступом....
>все...
>незабудь у клиентов прописать gateway по умолчанию........
Спасибо за подсказку. Насколько я понял это будет выглядеть примерно так:
Допустим сетке с бухгалтерией выделить адресацию 192.168.1.0 /24
Остальным юзерам 192.168.2.0 /24
Контроллеру и серверам тоже свою сеть - 192.168.0.0 /24
IP контроллера домена - 192.168.0.1
Тогда на 3550 наверное должно быть так:
vlan database
(vlan)#vlan 2
(vlan)#vlan 3
(vlan)#vlan 4
(vlan)#end
conf t
(config)#vlan 2
(config-vlan)#name BUHGALTERIA
(соnfig-vlan)#int fa 0/2
(config-if)#switchport access vlan 2
(config-if)#end
(config)#vlan 3
(config-vlan)#name USERS
(соnfig-vlan)#int fa 0/3
(config-if)#switchport access vlan 3
(config)#vlan 4
(config-vlan)#name SERVERS
(соnfig-vlan)#int range  fa 0/4 - 6
(config-if)#switchport access vlan 4
(config-if)#end
(config)#int vlan 2
(config-if)#ip address 192.168.1.0 mask 255.255.255.0
(config-if)#ip helper-address 192.168.0.100 mask 255.255.255.0
(config-if)#end
(config)#int vlan 3
(config-if)#ip address 192.168.2.0 mask 255.255.255.0
(config-if)#ip helper-address 192.168.0.100 mask 255.255.255.0
(config-if)#end
(config)#int vlan 4
(config-if)#ip address 192.168.0.100 mask 255.255.255.0
(config-if)#end
Поправьте если где неправильно.
Вопросы:
1.Нужно ли указывать ip helper-address для 2 и 3 VLAN ?
2.Есть подозрение, что в vlan 4 надо инкапсулировать 802.1q, так как один из портов этого vlan будет подключен к карте IntelPro контроллера. Верно?
3.В DHCP контроллера надо будет создавать три разных пула для 3 подсетей. Будут ли клиенты корреткно получать IP-адреса и другие праметры (шлюз,днс и т.д.)?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Catalyst 3550 + VLAN + W2k dc"

Сообщение от Botan (ok) on 17-Янв-07, 18:15

Я думаю следующее:
1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера, то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает broadcast запрос по протоколу UDP, а так как сервера у тебя в другой сетке (т.е. рутер у тебя broadcast не пропускает), то эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу.
2) объясни неучу, что за Intel Pro?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Catalyst 3550 + VLAN + W2k dc"

Сообщение от Den (??) on 17-Янв-07, 18:56

>Я думаю следующее:
>1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера,
>то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает
>broadcast запрос по протоколу UDP, а так как сервера у тебя
>в другой сетке (т.е. рутер у тебя broadcast не пропускает), то
>эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу.
>
>2) объясни неучу, что за Intel Pro?
несоветовал бы терминировать виланы на сервере, так как нагрузка будет двойная на канал между свитчом и сервером. Зачем изобретать велосипед, когда cisco делает это апаратно с помощью ASIC. Терминируй вланы на циске, а dhcp организуешь на сервере, включив dhcp helper, как было сказано выше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Catalyst 3550 + VLAN + W2k dc"

Сообщение от AVTS2000 on 18-Янв-07, 11:15

>>Я думаю следующее:
>>1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера,
>>то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает
>>broadcast запрос по протоколу UDP, а так как сервера у тебя
>>в другой сетке (т.е. рутер у тебя broadcast не пропускает), то
>>эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу.
>>
>>2) объясни неучу, что за Intel Pro?
>
>несоветовал бы терминировать виланы на сервере, так как нагрузка будет двойная на
>канал между свитчом и сервером. Зачем изобретать велосипед, когда cisco делает
>это апаратно с помощью ASIC. Терминируй вланы на циске, а dhcp
>организуешь на сервере, включив dhcp helper, как было сказано выше.

Спасибо за советы, буду настраивать по такой схеме.
По поводу сетевых адаптеров Intel Pro: они умеют работать с VLAN 802.1q т.е. можно на одном физическом адаптере создать несколько виртуальных и они при этом будут полноценными сетевыми подключениями. Каждому подключению можно присвоить свой IP, VLAN ID и таким образом на тачке где есть Intel Pro можно устроить VLAN-роутер.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Catalyst 3550 + VLAN + W2k dc"

Сообщение от AVTS2000 on 18-Янв-07, 15:49

>>Я думаю следующее:
>>1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера,
>>то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает
>>broadcast запрос по протоколу UDP, а так как сервера у тебя
>>в другой сетке (т.е. рутер у тебя broadcast не пропускает), то
>>эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу.
>>
>>2) объясни неучу, что за Intel Pro?
>
>несоветовал бы терминировать виланы на сервере, так как нагрузка будет двойная на
>канал между свитчом и сервером. Зачем изобретать велосипед, когда cisco делает
>это апаратно с помощью ASIC. Терминируй вланы на циске, а dhcp
>организуешь на сервере, включив dhcp helper, как было сказано выше.

Вобщем сделал я для начала так:
vlan 2 name TEST
exit
conf t
int vlan 2
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.0.10
conf t
int fa 0/5
switchport access vlan 2
end
ip routing
Назначил тестовому хосту:
ip 192.168.2.2 маска 255.255.255.0
шлюз 192.168.2.1
ip контроллера домена 192.168.0.1,
ip циски 192.168.0.10 (соответственно и ip VLAN 1)
все интерфейсы, кроме 5-го находятся в VLAN 1
Не пингуется 192.168.0.1 с тестового хоста 192.168.2.2
Пингуется только 192.168.0.10
Никаких ACL не создавал.
Что не так? Что где забыл? Может данная версия IOS этой модели не поддерживает роутинг между VLAN?
cisco_3550#sh ver
Cisco Internetwork Operating System Software
IOS (tm) C3550 Software (C3550-I9Q3L2-M), Version 12.1(22)EA1a, RELEASE SOFTWARE
(fc1)
Copyright (c) 1986-2004 by cisco Systems, Inc.
Compiled Fri 20-Aug-04 00:30 by yenanh
Image text-base: 0x00003000, data-base: 0x006C5C6C
ROM: Bootstrap program is C3550 boot loader
cisco_3550 uptime is 4 weeks, 4 days, 2 hours, 21 minutes
System returned to ROM by power-on
System restarted at 19:14:59 UTC Sun Dec 17 2006
System image file is "flash:c3550-i9q3l2-mz.121-22.EA1a/c3550-i9q3l2-mz.121-22.E
A1a.bin"
cisco WS-C3550-24 (PowerPC) processor (revision P0) with 65526K/8192K bytes of m
emory.
Processor board ID CAT0848Y2VX
Last reset from warm-reset
Running Layer2/3 Switching Image
Ethernet-controller 1 has 12 Fast Ethernet/IEEE 802.3 interfaces
Ethernet-controller 2 has 12 Fast Ethernet/IEEE 802.3 interfaces
Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interface
Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interface
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)
The password-recovery mechanism is enabled.
384K bytes of flash-simulated non-volatile configuration memory.
........................
Model revision number: P0
Motherboard revision number: A0
Model number: WS-C3550-24-SMI
..................................
cisco_3550#

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Catalyst 3550 + VLAN + W2k dc"

Сообщение от AVTS2000 on 20-Янв-07, 09:10

Отвечаю на свои же вопросы
1) Забыл прописать на контроллере маршрут в VLAN 2:
ip route add 192.168.2.0 mask 255.255.255.0 192.168.0.10.
2) Для получения параметров по DHCP, в качестве ip helper-address на VLAN 2 надо прописать IP контроллера: 192.168.0.1
После этого маршрутизация между VLAN заработала и параметры по DHCP передаются хосту в VLAN 2. Теперь надо настраивать ACL.
Есть следующие вопросы:
Раньше хосты авторизовались на прокси по IP (логин) и MAC (пароль). Теперь, так как тестовый хост находится в другом VLAN, то его mac-адрес бродкастом не передаётся на контроллер (другой VLAN), соответственно встаёт вопрос, какой наиболее надёжный способ авторизации теперь выбрать? Может кто сталкивался с такой проблемой? Что на 3550 можно дополнительно настроить для надёжности в данном случае? Прокся умеют авторизовать по IP+MAC или по logon+password (не очень нравится этот вариант).
Если эти вопросы уже для другой темы, то извините и пните в нужном направлении. Всем спасибо за советы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Catalyst 3550 + VLAN + W2k dc"
Сообщение от Botan (ok) on 15-Янв-07, 10:51
Если ты создаешь отдельные VLAN для некоторый своих групп, то попробуй использовать данный свич в режиме маршрутизации. и на порты навешивать ACL. Причем ты сможешь сам управлять по IP кому в какую сетку лазить и по какому порту.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Catalyst 3550 + VLAN + W2k dc"
	Сообщение от AVTS2000 on 15-Янв-07, 11:52
	>Если ты создаешь отдельные VLAN для некоторый своих групп, то попробуй использовать >данный свич в режиме маршрутизации. и на порты навешивать ACL. >Причем ты сможешь сам управлять по IP кому в какую сетку лазить >и по какому порту. Тоже думал о таком варианте. Я так понимаю ты хочешь сказать "если свич поддерживает роутинг, то зачем придумывать велосипед?" Не подскажешь на примере, как это реализовать? Кстати, с точки зрения правил решения таких задач это будет наиболее правильным и оптимальным вариантом? Если учитывать такие критерии, как безопасность, нагрузку на 3550, узкие места...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Catalyst 3550 + VLAN + W2k dc"
	Сообщение от user783 on 16-Янв-07, 08:24
	>>Если ты создаешь отдельные VLAN для некоторый своих групп, то попробуй использовать >>данный свич в режиме маршрутизации. и на порты навешивать ACL. >>Причем ты сможешь сам управлять по IP кому в какую сетку лазить >>и по какому порту. > >Тоже думал о таком варианте. Я так понимаю ты хочешь сказать "если >свич поддерживает роутинг, то зачем придумывать велосипед?" Не подскажешь на примере, > как это реализовать? Кстати, с точки зрения правил решения таких >задач это будет наиболее правильным и оптимальным вариантом? Если учитывать такие >критерии, как безопасность, нагрузку на 3550, узкие места... Однозначно вариант с маршрутизацией более правильный(по крайней мере именно его советуют использовать на всех курсах по CISCO) Для включения маршрутизации назначаешь gataway на каждый vlan интерфейс ip address x.x.x.x mask y.y.y.y далее включаешь любой протокол роутинга (rip,ospf,....) и рулишь acl для управления доступом.... все... незабудь у клиентов прописать gateway по умолчанию........
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Catalyst 3550 + VLAN + W2k dc"
	Сообщение от AVTS2000 on 16-Янв-07, 11:54
	>Однозначно вариант с маршрутизацией более правильный(по крайней мере именно его советуют использовать >на всех курсах по CISCO) >Для включения маршрутизации назначаешь gataway на каждый vlan интерфейс >ip address x.x.x.x mask y.y.y.y >далее включаешь любой протокол роутинга (rip,ospf,....) >и рулишь acl для управления доступом.... >все... >незабудь у клиентов прописать gateway по умолчанию........ Спасибо за подсказку. Насколько я понял это будет выглядеть примерно так: Допустим сетке с бухгалтерией выделить адресацию 192.168.1.0 /24 Остальным юзерам 192.168.2.0 /24 Контроллеру и серверам тоже свою сеть - 192.168.0.0 /24 IP контроллера домена - 192.168.0.1 Тогда на 3550 наверное должно быть так: vlan database (vlan)#vlan 2 (vlan)#vlan 3 (vlan)#vlan 4 (vlan)#end conf t (config)#vlan 2 (config-vlan)#name BUHGALTERIA (соnfig-vlan)#int fa 0/2 (config-if)#switchport access vlan 2 (config-if)#end (config)#vlan 3 (config-vlan)#name USERS (соnfig-vlan)#int fa 0/3 (config-if)#switchport access vlan 3 (config)#vlan 4 (config-vlan)#name SERVERS (соnfig-vlan)#int range fa 0/4 - 6 (config-if)#switchport access vlan 4 (config-if)#end (config)#int vlan 2 (config-if)#ip address 192.168.1.0 mask 255.255.255.0 (config-if)#ip helper-address 192.168.0.100 mask 255.255.255.0 (config-if)#end (config)#int vlan 3 (config-if)#ip address 192.168.2.0 mask 255.255.255.0 (config-if)#ip helper-address 192.168.0.100 mask 255.255.255.0 (config-if)#end (config)#int vlan 4 (config-if)#ip address 192.168.0.100 mask 255.255.255.0 (config-if)#end Поправьте если где неправильно. Вопросы: 1.Нужно ли указывать ip helper-address для 2 и 3 VLAN ? 2.Есть подозрение, что в vlan 4 надо инкапсулировать 802.1q, так как один из портов этого vlan будет подключен к карте IntelPro контроллера. Верно? 3.В DHCP контроллера надо будет создавать три разных пула для 3 подсетей. Будут ли клиенты корреткно получать IP-адреса и другие праметры (шлюз,днс и т.д.)?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Catalyst 3550 + VLAN + W2k dc"
	Сообщение от Botan (ok) on 17-Янв-07, 18:15
	Я думаю следующее: 1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера, то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает broadcast запрос по протоколу UDP, а так как сервера у тебя в другой сетке (т.е. рутер у тебя broadcast не пропускает), то эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу. 2) объясни неучу, что за Intel Pro?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Catalyst 3550 + VLAN + W2k dc"
	Сообщение от Den (??) on 17-Янв-07, 18:56
	>Я думаю следующее: >1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера, >то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает >broadcast запрос по протоколу UDP, а так как сервера у тебя >в другой сетке (т.е. рутер у тебя broadcast не пропускает), то >эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу. > >2) объясни неучу, что за Intel Pro? несоветовал бы терминировать виланы на сервере, так как нагрузка будет двойная на канал между свитчом и сервером. Зачем изобретать велосипед, когда cisco делает это апаратно с помощью ASIC. Терминируй вланы на циске, а dhcp организуешь на сервере, включив dhcp helper, как было сказано выше.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Catalyst 3550 + VLAN + W2k dc"
	Сообщение от AVTS2000 on 18-Янв-07, 11:15
	>>Я думаю следующее: >>1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера, >>то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает >>broadcast запрос по протоколу UDP, а так как сервера у тебя >>в другой сетке (т.е. рутер у тебя broadcast не пропускает), то >>эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу. >> >>2) объясни неучу, что за Intel Pro? > >несоветовал бы терминировать виланы на сервере, так как нагрузка будет двойная на >канал между свитчом и сервером. Зачем изобретать велосипед, когда cisco делает >это апаратно с помощью ASIC. Терминируй вланы на циске, а dhcp >организуешь на сервере, включив dhcp helper, как было сказано выше. Спасибо за советы, буду настраивать по такой схеме. По поводу сетевых адаптеров Intel Pro: они умеют работать с VLAN 802.1q т.е. можно на одном физическом адаптере создать несколько виртуальных и они при этом будут полноценными сетевыми подключениями. Каждому подключению можно присвоить свой IP, VLAN ID и таким образом на тачке где есть Intel Pro можно устроить VLAN-роутер.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Catalyst 3550 + VLAN + W2k dc"
	Сообщение от AVTS2000 on 18-Янв-07, 15:49
	>>Я думаю следующее: >>1) Если юзеры с VLAN 3 и VLAN 2 используют DHCP сервера, >>то ip helper-address нужен, т.к. DHCP протокол (со стороны клиента) отсылает >>broadcast запрос по протоколу UDP, а так как сервера у тебя >>в другой сетке (т.е. рутер у тебя broadcast не пропускает), то >>эта команда она перенапрявляет весь broadcast UDP траффик по указанному адресу. >> >>2) объясни неучу, что за Intel Pro? > >несоветовал бы терминировать виланы на сервере, так как нагрузка будет двойная на >канал между свитчом и сервером. Зачем изобретать велосипед, когда cisco делает >это апаратно с помощью ASIC. Терминируй вланы на циске, а dhcp >организуешь на сервере, включив dhcp helper, как было сказано выше. Вобщем сделал я для начала так: vlan 2 name TEST exit conf t int vlan 2 ip address 192.168.2.1 255.255.255.0 ip helper-address 192.168.0.10 conf t int fa 0/5 switchport access vlan 2 end ip routing Назначил тестовому хосту: ip 192.168.2.2 маска 255.255.255.0 шлюз 192.168.2.1 ip контроллера домена 192.168.0.1, ip циски 192.168.0.10 (соответственно и ip VLAN 1) все интерфейсы, кроме 5-го находятся в VLAN 1 Не пингуется 192.168.0.1 с тестового хоста 192.168.2.2 Пингуется только 192.168.0.10 Никаких ACL не создавал. Что не так? Что где забыл? Может данная версия IOS этой модели не поддерживает роутинг между VLAN? cisco_3550#sh ver Cisco Internetwork Operating System Software IOS (tm) C3550 Software (C3550-I9Q3L2-M), Version 12.1(22)EA1a, RELEASE SOFTWARE (fc1) Copyright (c) 1986-2004 by cisco Systems, Inc. Compiled Fri 20-Aug-04 00:30 by yenanh Image text-base: 0x00003000, data-base: 0x006C5C6C ROM: Bootstrap program is C3550 boot loader cisco_3550 uptime is 4 weeks, 4 days, 2 hours, 21 minutes System returned to ROM by power-on System restarted at 19:14:59 UTC Sun Dec 17 2006 System image file is "flash:c3550-i9q3l2-mz.121-22.EA1a/c3550-i9q3l2-mz.121-22.E A1a.bin" cisco WS-C3550-24 (PowerPC) processor (revision P0) with 65526K/8192K bytes of m emory. Processor board ID CAT0848Y2VX Last reset from warm-reset Running Layer2/3 Switching Image Ethernet-controller 1 has 12 Fast Ethernet/IEEE 802.3 interfaces Ethernet-controller 2 has 12 Fast Ethernet/IEEE 802.3 interfaces Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interface Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interface 24 FastEthernet/IEEE 802.3 interface(s) 2 Gigabit Ethernet/IEEE 802.3 interface(s) The password-recovery mechanism is enabled. 384K bytes of flash-simulated non-volatile configuration memory. ........................ Model revision number: P0 Motherboard revision number: A0 Model number: WS-C3550-24-SMI .................................. cisco_3550#
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Catalyst 3550 + VLAN + W2k dc"
	Сообщение от AVTS2000 on 20-Янв-07, 09:10
	Отвечаю на свои же вопросы 1) Забыл прописать на контроллере маршрут в VLAN 2: ip route add 192.168.2.0 mask 255.255.255.0 192.168.0.10. 2) Для получения параметров по DHCP, в качестве ip helper-address на VLAN 2 надо прописать IP контроллера: 192.168.0.1 После этого маршрутизация между VLAN заработала и параметры по DHCP передаются хосту в VLAN 2. Теперь надо настраивать ACL. Есть следующие вопросы: Раньше хосты авторизовались на прокси по IP (логин) и MAC (пароль). Теперь, так как тестовый хост находится в другом VLAN, то его mac-адрес бродкастом не передаётся на контроллер (другой VLAN), соответственно встаёт вопрос, какой наиболее надёжный способ авторизации теперь выбрать? Может кто сталкивался с такой проблемой? Что на 3550 можно дополнительно настроить для надёжности в данном случае? Прокся умеют авторизовать по IP+MAC или по logon+password (не очень нравится этот вариант). Если эти вопросы уже для другой темы, то извините и пните в нужном направлении. Всем спасибо за советы.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]