форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Реорганизация сети для чайников 2950"
Сообщение от solshark (ok) on 04-Окт-05, 16:56  (MSK)
Здрасте. Есть циска 2950. Есть машина(Gentoo+squid+dhcp), через которую куча других смотрят в Сеть. Нужно разделить на подсети, причем подсети друг друга не должны видеть, но должны получять Интернет через тот же гейт. Делить нужно циской. Читал факи, там прикладные конкретные вопросы, причем узко специфические. Почитал справочник Хилла. Подумалось, что нужно сделать несколько VLAN, порты на циске сделать static и... В общем, не знаю, с чего начать. Боюсь нарушить надолго инфраструктуру рабочую. Итак - 10.5.1.1 - шлюз в Сеть. 10.5.1.255, 20.5.2.255, 10.5.3.255 - подсети, которые делает dhcp. Как бы все это организовать, чтобы не вывести сеть из строя?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Реорганизация сети для чайников 2950"
Сообщение от Nailer (??) on 04-Окт-05, 17:01  (MSK)
>Здрасте. Есть циска 2950. Есть машина(Gentoo+squid+dhcp), через которую куча других смотрят в >Сеть. >Нужно разделить на подсети, причем подсети друг друга не должны видеть, но >должны получять Интернет через тот же гейт. Делить нужно циской. > >Читал факи, там прикладные конкретные вопросы, причем узко специфические. Почитал справочник Хилла. >Подумалось, что нужно сделать несколько VLAN, порты на циске сделать static >и... В общем, не знаю, с чего начать. > >Боюсь нарушить надолго инфраструктуру рабочую. > >Итак - 10.5.1.1 - шлюз в Сеть. > >10.5.1.255, 20.5.2.255, 10.5.3.255 - подсети, которые делает dhcp. > > >Как бы все это организовать, чтобы не вывести сеть из строя? Конфиги забэкапить, начинать делать вечером в пятницу. До утра понедельника у вас будет как минимум два дня и три ночи :-)
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Реорганизация сети для чайников 2950"
	Сообщение от solshark (ok) on 04-Окт-05, 17:46  (MSK)
	>Конфиги забэкапить, начинать делать вечером в пятницу. До утра понедельника у вас >будет как минимум два дня и три ночи :-) К сожалению, это невозможно. У меня режим работы - с 17 до 22. Студент я :) Хоть подскажите, верно ли я рассуждаю. На первый порт циски подключен шлюз в Сеть. Хабы подсетей подключены на второй и третий. Значится, скажем, второму порту я назначаю адрес 10.5.2.1, третьему - 10.5.3.1, так? А как сделать, чтобы они друг друга не видели но при этом видели Сеть? Сорри, может, я что-то не так спрашиваю. Я ведь не админ, я больше Qt/gtk+ программирую. А тут - такая незадача. А, еще... Я когда создам два VLAN, то надо в соотв. настройках портов привязать их к портам? Режим портов - static?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Реорганизация сети для чайников 2950"
	Сообщение от Nailer (??) on 04-Окт-05, 17:50  (MSK)
	> >>Конфиги забэкапить, начинать делать вечером в пятницу. До утра понедельника у вас >>будет как минимум два дня и три ночи :-) > >К сожалению, это невозможно. У меня режим работы - с 17 до >22. Студент я :) Хоть подскажите, верно ли я рассуждаю. >На первый порт циски подключен шлюз в Сеть. >Хабы подсетей подключены на второй и третий. >Значится, скажем, второму порту я назначаю адрес 10.5.2.1, третьему - 10.5.3.1, так? > >А как сделать, чтобы они друг друга не видели но при этом >видели Сеть? >Сорри, может, я что-то не так спрашиваю. Я ведь не админ, я >больше Qt/gtk+ программирую. А тут - такая незадача. >А, еще... Я когда создам два VLAN, то надо в соотв. настройках >портов привязать их к портам? Режим портов - static? сделайте так: conf t int fa0/2 switchport protected exit int fa0/3 switchport protected exit exit wri mem как результат, связности между портами 2 и 3 не будет. На роутере, присоединенном к порту fa0/1, можете настроить secondary ip, а можете юзать один и тот же в обеих подсетях.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Реорганизация сети для чайников 2950"
Сообщение от universite (ok) on 05-Окт-05, 01:22  (MSK)
Как я понял, Циска не в работе и ее надо настроить? в PC втыкай еще одну сетевуху и цепляй ее в Циску. Через консоль или этот кабель ты должен настроить как минимум 4 Vlan'a (3 подсетки + подсетка со шлюзом). www.cisco.com тебе очень поможет в настройках. Скорее всего у тебя на шлюзе реальный адрес и тебе еще придется поднять NAT на сетевухе, которая смотрит в Циску. Сорри, что не совсем подробно, но у меня подобная проблема всплывет только на следующей неделе ...
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Реорганизация сети для чайников 2950"
	Сообщение от Изгой (ok) on 05-Окт-05, 09:37  (MSK)
	> > >Как я понял, Циска не в работе и ее надо настроить? > >в PC втыкай еще одну сетевуху и цепляй ее в Циску. >Через консоль или этот кабель ты должен настроить как минимум 4 Vlan'a >(3 подсетки + подсетка со шлюзом). >www.cisco.com тебе очень поможет в настройках. > >Скорее всего у тебя на шлюзе реальный адрес и тебе еще придется >поднять NAT на сетевухе, которая смотрит в Циску. > >Сорри, что не совсем подробно, но у меня подобная проблема всплывет только >на следующей неделе ... Во многом зависит от топологии твоей сети и оборудования, если к примеру ты хочишь создать 3 подсети и чтоб в друг друга пакеты не ходили, и у тебя одна циска 2950 центральная , и только она одна управляемая а остальное оборудование тупые хабы, то самое простое  это способ уже предложенный с командой port protected, только вот есть ли данная команда на 2950 нужно смотреть, тогда у  тябя на Циске каждая подсеть должна приходить к циске отдельным сегментом, то есть все машины подсети 10.1.1.1 к примеру должны быть строго в одном сегменте , который в свою очередь будет подсоединен к циске к порту на котором будет прописана команда порт протектед, и соответственно остальные две подсетки у тебя должны тоже строго физически разделены и подсоединены к ещё двум портам на циске , к портам на которых прописана команда порт протектед, в таком случае как уже говорилось сегменты не будут обмениваться никакими пакетами.В остальном не понятна твоя топология , не четкая задача , в общем надо писать поподробнее задачу.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Реорганизация сети для чайников 2950"
	Сообщение от routercs on 05-Окт-05, 16:56  (MSK)
	>> >> >>Как я понял, Циска не в работе и ее надо настроить? >> >>в PC втыкай еще одну сетевуху и цепляй ее в Циску. >>Через консоль или этот кабель ты должен настроить как минимум 4 Vlan'a >>(3 подсетки + подсетка со шлюзом). >>www.cisco.com тебе очень поможет в настройках. >> >>Скорее всего у тебя на шлюзе реальный адрес и тебе еще придется >>поднять NAT на сетевухе, которая смотрит в Циску. >> >>Сорри, что не совсем подробно, но у меня подобная проблема всплывет только >>на следующей неделе ... >Во многом зависит от топологии твоей сети и оборудования, если к примеру >ты хочишь создать 3 подсети и чтоб в друг друга пакеты >не ходили, и у тебя одна циска 2950 центральная , и >только она одна управляемая а остальное оборудование тупые хабы, то самое >простое  это способ уже предложенный с командой port protected, только >вот есть ли данная команда на 2950 нужно смотреть, тогда у > тябя на Циске каждая подсеть должна приходить к циске отдельным >сегментом, то есть все машины подсети 10.1.1.1 > к примеру должны быть строго в одном сегменте , который в >свою очередь будет подсоединен к циске к порту на котором будет >прописана команда порт протектед, и соответственно остальные две подсетки у тебя >должны тоже строго физически разделены и подсоединены к ещё двум портам >на циске , к портам на которых прописана команда порт протектед, >в таком случае как уже говорилось сегменты не будут обмениваться никакими >пакетами.В остальном не понятна твоя топология , не четкая задача , >в общем надо писать поподробнее задачу. А не применить ли сюда dot1q? Если Linux понимает ее, то создается на нем два виртуальных подинтерфейса на одном реальном, патчкорд от которого и втыкается в Циску. Дальше создаются два VLAN'a на Циске (в VLAN'ы можно включить и побольше портов, если Циска позволяет). Один порт на Циске (который смотрит на роутер) просто затранковать с использованием dot1q. По крайнем мере такая конфигурация проверена мною, только вместо Линукса был 2600. Если надо конфиги - дам.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Реорганизация сети для чайников 2950"
	Сообщение от solshark (??) on 05-Окт-05, 18:13  (MSK)
	Отвечаю сразу всем. > >Как я понял, Циска не в работе и ее надо настроить? Не. Она работает просто в режиме хрен знает чего. Простой хаб. Всю маршрутизацию делает Gentoo. > >в PC втыкай еще одну сетевуху и цепляй ее в Циску. Уже сделано. >Через консоль или этот кабель ты должен настроить как минимум 4 Vlan'a >(3 подсетки + подсетка со шлюзом). >www.cisco.com тебе очень поможет в настройках. > >Скорее всего у тебя на шлюзе реальный адрес и тебе еще придется >поднять NAT на сетевухе, которая смотрит в Циску. Реального адреса нет. Есть куча локальных петель, quagga (zebra) и т.п. > >Сорри, что не совсем подробно, но у меня подобная проблема всплывет только >на следующей неделе ... Понимаю. >Во многом зависит от топологии твоей сети и оборудования, если к примеру >ты хочишь создать 3 подсети и чтоб в друг друга пакеты >не ходили, и у тебя одна циска 2950 центральная , и >только она одна управляемая а остальное оборудование тупые хабы, то самое >простое  это способ уже предложенный с командой port protected, только >вот есть ли данная команда на 2950 нужно смотреть, тогда у > тябя на Циске каждая подсеть должна приходить к циске отдельным >сегментом, то есть все машины подсети 10.1.1.1 > к примеру должны быть строго в одном сегменте , который в >свою очередь будет подсоединен к циске к порту на котором будет >прописана команда порт протектед, и соответственно остальные две подсетки у тебя >должны тоже строго физически разделены и подсоединены к ещё двум портам >на циске , к портам на которых прописана команда порт протектед, >в таком случае как уже говорилось сегменты не будут обмениваться никакими >пакетами.В остальном не понятна твоя топология , не четкая задача , >в общем надо писать поподробнее задачу. По сути, все так как Вы и сказали. Именно тупые хабы. Пока все подсети существуют вразнобой, но босс сказал, что как только я настрою циску, сразу переключим подсети каждую на свой хаб. Т. е. будет такя ситауция, как Вы и описали. Итак... Мне нужны два подсети - студенты и администрация. Я на циске создаю три - студентам, деканам и та, в которой будет шлюз в Сеть, верно? Значится, допустим подсети у меня 10.5.2.255, 10.5.3.255 и шлюз 10.5.1.1 Скажем, первый порт циски - шлюз. Сейчас у меня тут default VLAN. Второй порт - первая подсеть. Третий - соотв. вторая подсеть. Port protected - есть такое дело. Вы мне подскажите, как быть с ip портов циски. Ну и как разрешить обеим подсетям видеть интернет. Тут предлагался вариант повесить на сетвуху на гейте алиасы. Эт понятно. Но если второй и третий порты - protected - они при этом будут видеть первый?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Реорганизация сети для чайников 2950"
	Сообщение от Nailer (??) on 05-Окт-05, 23:02  (MSK)
	>Отвечаю сразу всем. > >> >>Как я понял, Циска не в работе и ее надо настроить? > >Не. Она работает просто в режиме хрен знает чего. Простой хаб. Всю >маршрутизацию делает Gentoo. >> >>в PC втыкай еще одну сетевуху и цепляй ее в Циску. >Уже сделано. > >>Через консоль или этот кабель ты должен настроить как минимум 4 Vlan'a >>(3 подсетки + подсетка со шлюзом). >>www.cisco.com тебе очень поможет в настройках. >> >>Скорее всего у тебя на шлюзе реальный адрес и тебе еще придется >>поднять NAT на сетевухе, которая смотрит в Циску. > >Реального адреса нет. Есть куча локальных петель, quagga (zebra) и т.п. > >> >>Сорри, что не совсем подробно, но у меня подобная проблема всплывет только >>на следующей неделе ... > >Понимаю. > >>Во многом зависит от топологии твоей сети и оборудования, если к примеру >>ты хочишь создать 3 подсети и чтоб в друг друга пакеты >>не ходили, и у тебя одна циска 2950 центральная , и >>только она одна управляемая а остальное оборудование тупые хабы, то самое >>простое  это способ уже предложенный с командой port protected, только >>вот есть ли данная команда на 2950 нужно смотреть, тогда у >> тябя на Циске каждая подсеть должна приходить к циске отдельным >>сегментом, то есть все машины подсети 10.1.1.1 >> к примеру должны быть строго в одном сегменте , который в >>свою очередь будет подсоединен к циске к порту на котором будет >>прописана команда порт протектед, и соответственно остальные две подсетки у тебя >>должны тоже строго физически разделены и подсоединены к ещё двум портам >>на циске , к портам на которых прописана команда порт протектед, >>в таком случае как уже говорилось сегменты не будут обмениваться никакими >>пакетами.В остальном не понятна твоя топология , не четкая задача , >>в общем надо писать поподробнее задачу. > >По сути, все так как Вы и сказали. Именно тупые хабы. Пока >все подсети существуют вразнобой, но босс сказал, что как только я >настрою циску, сразу переключим подсети каждую на свой хаб. Т. е. >будет такя ситауция, как Вы и описали. > >Итак... Мне нужны два подсети - студенты и администрация. Я на циске >создаю три - студентам, деканам и та, в которой будет шлюз >в Сеть, верно? > >Значится, допустим подсети у меня 10.5.2.255, 10.5.3.255 и шлюз 10.5.1.1 > >Скажем, первый порт циски - шлюз. Сейчас у меня тут default VLAN. > > >Второй порт - первая подсеть. Третий - соотв. вторая подсеть. > >Port protected - есть такое дело. > >Вы мне подскажите, как быть с ip портов циски. Ну и как >разрешить обеим подсетям видеть интернет. Тут предлагался вариант повесить на сетвуху >на гейте алиасы. Эт понятно. Но если второй и третий порты >- protected - они при этом будут видеть первый? protected порты не видят только друг друга..
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Реорганизация сети для чайников 2950"
	Сообщение от Изгой (??) on 06-Окт-05, 09:54  (MSK)
	>>Отвечаю сразу всем. >> >>> >>>Как я понял, Циска не в работе и ее надо настроить? >> >>Не. Она работает просто в режиме хрен знает чего. Простой хаб. Всю >>маршрутизацию делает Gentoo. >>> >>>в PC втыкай еще одну сетевуху и цепляй ее в Циску. >>Уже сделано. >> >>>Через консоль или этот кабель ты должен настроить как минимум 4 Vlan'a >>>(3 подсетки + подсетка со шлюзом). >>>www.cisco.com тебе очень поможет в настройках. >>> >>>Скорее всего у тебя на шлюзе реальный адрес и тебе еще придется >>>поднять NAT на сетевухе, которая смотрит в Циску. >> >>Реального адреса нет. Есть куча локальных петель, quagga (zebra) и т.п. >> >>> >>>Сорри, что не совсем подробно, но у меня подобная проблема всплывет только >>>на следующей неделе ... >> >>Понимаю. >> >>>Во многом зависит от топологии твоей сети и оборудования, если к примеру >>>ты хочишь создать 3 подсети и чтоб в друг друга пакеты >>>не ходили, и у тебя одна циска 2950 центральная , и >>>только она одна управляемая а остальное оборудование тупые хабы, то самое >>>простое  это способ уже предложенный с командой port protected, только >>>вот есть ли данная команда на 2950 нужно смотреть, тогда у >>> тябя на Циске каждая подсеть должна приходить к циске отдельным >>>сегментом, то есть все машины подсети 10.1.1.1 >>> к примеру должны быть строго в одном сегменте , который в >>>свою очередь будет подсоединен к циске к порту на котором будет >>>прописана команда порт протектед, и соответственно остальные две подсетки у тебя >>>должны тоже строго физически разделены и подсоединены к ещё двум портам >>>на циске , к портам на которых прописана команда порт протектед, >>>в таком случае как уже говорилось сегменты не будут обмениваться никакими >>>пакетами.В остальном не понятна твоя топология , не четкая задача , >>>в общем надо писать поподробнее задачу. >> >>По сути, все так как Вы и сказали. Именно тупые хабы. Пока >>все подсети существуют вразнобой, но босс сказал, что как только я >>настрою циску, сразу переключим подсети каждую на свой хаб. Т. е. >>будет такя ситауция, как Вы и описали. >> >>Итак... Мне нужны два подсети - студенты и администрация. Я на циске >>создаю три - студентам, деканам и та, в которой будет шлюз >>в Сеть, верно? >> >>Значится, допустим подсети у меня 10.5.2.255, 10.5.3.255 и шлюз 10.5.1.1 >> >>Скажем, первый порт циски - шлюз. Сейчас у меня тут default VLAN. >> >> >>Второй порт - первая подсеть. Третий - соотв. вторая подсеть. >> >>Port protected - есть такое дело. >> >>Вы мне подскажите, как быть с ip портов циски. Ну и как >>разрешить обеим подсетям видеть интернет. Тут предлагался вариант повесить на сетвуху >>на гейте алиасы. Эт понятно. Но если второй и третий порты >>- protected - они при этом будут видеть первый? > >protected порты не видят только друг друга.. Значит так как разрулить эту ситуацию по минимуму, 3 подсети втыкаешь на своём свиче в 3 порта, каждую сетку в свой порт естественно , на них пишешь команду протектед, один порт без команджы протектед втыкаешь в свою сетевуху на сервере , на этой сетевухе поднимаешь три шлюза или скока те надо ( смотря какая маршрутизация нужна и смотря какая опереционка , ну тут я не помошник) В общем каждый шлюз должен соответствовать нужным подсетям ,  ещё одна сетевуха на внешний гейт настраивается , прописываешь маршрутизацию на серваке если надо , и вперёд с песней , по моему так.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Реорганизация сети для чайников 2950"
	Сообщение от solshark (ok) on 17-Окт-05, 19:43  (MSK)
	>Значит так как разрулить эту ситуацию по минимуму, >3 подсети втыкаешь на своём свиче в 3 порта, каждую сетку в >свой порт естественно , на них пишешь команду протектед, один порт >без команджы протектед втыкаешь в свою сетевуху на сервере , на >этой сетевухе поднимаешь три шлюза или скока те надо ( смотря >какая маршрутизация нужна и смотря какая опереционка , ну тут я >не помошник) В общем каждый шлюз должен соответствовать нужным подсетям , > ещё одна сетевуха на внешний гейт настраивается , прописываешь маршрутизацию >на серваке если надо , и вперёд с песней , по >моему так. Сделал, как Вы и говорили. Все заработало на ура. Респект. Но вот начальство... Теперь нужно, чтобы второй и третий порты видели друг-друга, а четвертый - нет. При этом все должны видеть первый порт (шлюз в Сеть).
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.