forum.opennet.ru - "Как разделить совсем VLAN-ы?" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Как разделить совсем VLAN-ы?"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Как разделить совсем VLAN-ы?"
Сообщение от GreatFoolDad (ok) on 20-Апр-06, 14:12
Есть маршрутизатор (3725). На нем заведено много VLAN-ов. ! interface FastEthernet0/0.102 encapsulation dot1Q 102 ip address 10.200.0.65 255.255.255.224 ip access-group 100 in no ip redirects ip accounting output-packets ip nat inside rate-limit input access-group 115 64000 4000 4000 conform-action transmit exceed-action drop rate-limit input access-group 116 64000 4000 4000 conform-action transmit exceed-action drop rate-limit input access-group 118 64000 4000 4000 conform-action transmit exceed-action drop rate-limit input access-group 124 64000 4000 4000 conform-action transmit exceed-action drop rate-limit input access-group 125 64000 4000 4000 conform-action transmit exceed-action drop rate-limit input access-group 119 512000 64000 96000 conform-action transmit exceed-action drop rate-limit input access-group 134 256000 16000 16000 conform-action transmit exceed-action drop rate-limit input access-group 117 128000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 115 64000 4000 4000 conform-action transmit exceed-action drop rate-limit output access-group 116 64000 4000 4000 conform-action transmit exceed-action drop rate-limit output access-group 118 64000 4000 4000 conform-action transmit exceed-action drop rate-limit output access-group 124 64000 4000 4000 conform-action transmit exceed-action drop rate-limit output access-group 125 64000 4000 4000 conform-action transmit exceed-action drop rate-limit output access-group 119 512000 64000 96000 conform-action transmit exceed-action drop rate-limit output access-group 134 256000 16000 16000 conform-action transmit exceed-action drop rate-limit output access-group 117 128000 8000 8000 conform-action transmit exceed-action drop ip policy route-map tst2 no ip mroute-cache no cdp enable . . . ! interface FastEthernet0/0.106 encapsulation dot1Q 106 ip address 10.200.0.105 255.255.255.252 ip access-group 100 in no ip redirects ip accounting output-packets ip nat inside rate-limit input 64000 4000 4000 conform-action transmit exceed-action drop rate-limit output 64000 4000 4000 conform-action transmit exceed-action drop ip policy route-map tst2 no ip mroute-cache no cdp enable ! . . . и так далее.... Проблема такая: клиент из одного вилана может беспроблемно добраться до любого шлюза любого вилана. Причем делает он это через шлюз своего вилана. Подскажите, как закрыть это общение между виланами через маршрутизатор. А еще бы очень хотелось, чтобы клиенты из одного вилана, но на разных свичах, тоже не могли общаться между собой напрямую. Конечно можно на свичах понаделать ACL-ов, которые будут: 1. permit host host (gateway для данного вилана) 2. deny все серые адреса 3. permin все остальное Но, по-моему, это идеологически неправильно. Хотя и работает. Короче, клиент должен видеть только свой гейтвэй и весь инет...
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Как разделить совсем VLAN-ы?, slava.ru, 17:23 , 20-Апр-06, (1)

Сообщения по теме [Сортировка по времени, UBB]

1. "Как разделить совсем VLAN-ы?"

Сообщение от slava.ru (??) on 20-Апр-06, 17:23

>Есть маршрутизатор (3725). На нем заведено много VLAN-ов.
>
>!
>interface FastEthernet0/0.102
> encapsulation dot1Q 102
> ip address 10.200.0.65 255.255.255.224
> ip access-group 100 in
> no ip redirects
> ip accounting output-packets
> ip nat inside
> rate-limit input access-group 115 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 116 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 118 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 124 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 125 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 119 512000 64000 96000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 134 256000 16000 16000 conform-action transmit exceed-action drop
>
> rate-limit input access-group 117 128000 8000 8000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 115 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 116 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 118 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 124 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 125 64000 4000 4000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 119 512000 64000 96000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 134 256000 16000 16000 conform-action transmit exceed-action drop
>
> rate-limit output access-group 117 128000 8000 8000 conform-action transmit exceed-action drop
>
> ip policy route-map tst2
> no ip mroute-cache
> no cdp enable
>
>.
>.
>.
>!
>interface FastEthernet0/0.106
> encapsulation dot1Q 106
> ip address 10.200.0.105 255.255.255.252
> ip access-group 100 in
> no ip redirects
> ip accounting output-packets
> ip nat inside
> rate-limit input 64000 4000 4000 conform-action transmit exceed-action drop
> rate-limit output 64000 4000 4000 conform-action transmit exceed-action drop
> ip policy route-map tst2
> no ip mroute-cache
> no cdp enable
>!
>.
>.
>.
>
>и так далее....
>Проблема такая:
>клиент из одного вилана может беспроблемно добраться до любого шлюза любого вилана.
>
>Причем делает он это через шлюз своего вилана.
>Подскажите, как закрыть это общение между виланами через маршрутизатор.
>А еще бы очень хотелось, чтобы клиенты из одного вилана, но на
>разных свичах, тоже не могли общаться между собой напрямую.
>Конечно можно на свичах понаделать ACL-ов, которые будут:
>1. permit host host (gateway для данного вилана)
>2. deny все серые адреса
>3. permin все остальное
>
>Но, по-моему, это идеологически неправильно. Хотя и работает.
>
>Короче, клиент должен видеть только свой гейтвэй и весь инет...
В твоем случае лучше всего настроить несколько VRF на роутере. Транки остануться, но, используя VRF ты сможеш контролировать обмен трафиком между VRF.
Про VRF можно почитать на cisco.com. В двух словах это виртуальный (в памяти кошки) процесс роутинга, со своей независимой таблицей маршрутизации.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как разделить совсем VLAN-ы?"
Сообщение от slava.ru (??) on 20-Апр-06, 17:23
>Есть маршрутизатор (3725). На нем заведено много VLAN-ов. > >! >interface FastEthernet0/0.102 > encapsulation dot1Q 102 > ip address 10.200.0.65 255.255.255.224 > ip access-group 100 in > no ip redirects > ip accounting output-packets > ip nat inside > rate-limit input access-group 115 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit input access-group 116 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit input access-group 118 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit input access-group 124 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit input access-group 125 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit input access-group 119 512000 64000 96000 conform-action transmit exceed-action drop > > rate-limit input access-group 134 256000 16000 16000 conform-action transmit exceed-action drop > > rate-limit input access-group 117 128000 8000 8000 conform-action transmit exceed-action drop > > rate-limit output access-group 115 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit output access-group 116 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit output access-group 118 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit output access-group 124 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit output access-group 125 64000 4000 4000 conform-action transmit exceed-action drop > > rate-limit output access-group 119 512000 64000 96000 conform-action transmit exceed-action drop > > rate-limit output access-group 134 256000 16000 16000 conform-action transmit exceed-action drop > > rate-limit output access-group 117 128000 8000 8000 conform-action transmit exceed-action drop > > ip policy route-map tst2 > no ip mroute-cache > no cdp enable > >. >. >. >! >interface FastEthernet0/0.106 > encapsulation dot1Q 106 > ip address 10.200.0.105 255.255.255.252 > ip access-group 100 in > no ip redirects > ip accounting output-packets > ip nat inside > rate-limit input 64000 4000 4000 conform-action transmit exceed-action drop > rate-limit output 64000 4000 4000 conform-action transmit exceed-action drop > ip policy route-map tst2 > no ip mroute-cache > no cdp enable >! >. >. >. > >и так далее.... >Проблема такая: >клиент из одного вилана может беспроблемно добраться до любого шлюза любого вилана. > >Причем делает он это через шлюз своего вилана. >Подскажите, как закрыть это общение между виланами через маршрутизатор. >А еще бы очень хотелось, чтобы клиенты из одного вилана, но на >разных свичах, тоже не могли общаться между собой напрямую. >Конечно можно на свичах понаделать ACL-ов, которые будут: >1. permit host host (gateway для данного вилана) >2. deny все серые адреса >3. permin все остальное > >Но, по-моему, это идеологически неправильно. Хотя и работает. > >Короче, клиент должен видеть только свой гейтвэй и весь инет... В твоем случае лучше всего настроить несколько VRF на роутере. Транки остануться, но, используя VRF ты сможеш контролировать обмен трафиком между VRF. Про VRF можно почитать на cisco.com. В двух словах это виртуальный (в памяти кошки) процесс роутинга, со своей независимой таблицей маршрутизации.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]