форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Прошу помощи у ALL с VLAN"		+/–
Сообщение от alexsterh (ok) on 16-Сен-09, 16:38
С КИСКОЙ (2821 точнее) мало знаком, так что сильно не бейте (сразу)! Нашей организации была дана изначально одна сеть например 10.1.1.0\24, другие даже через НАТ низзя. Сейчас в сети 150 компов. Из них 15 в бухгалтерии. Начальник поставил задачу: Всех Бухов ..... с пляжа в отдельную сеть, но на некоторые сервера и мы и они должны ходить. Все бы ничего - Головная контора запретила маску менять - говорят 255.255.255.0 и все тут, а не то под стул пнут. В общем ближе к теме создал VLAN1 общий и VLAN2 буховский на свитче, подвязал их на маршрутизаторе. Создал между ними bridge. Все отлично работает, но проблема - ACL (как я понимаю) применим тока к мосту, а я бы хотел на субинтерфейсах... Как быть подскажите пожалуйста, пните в нужном направлении. ЗАРАНЕЕ ВСЕМ СПАСИБО. P.S. Сколько максимум правил в именованом ACL. А то все говорят по разному.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Прошу помощи у ALL с VLAN"		+/–
Сообщение от mario (ok) on 16-Сен-09, 17:40
>С КИСКОЙ (2821 точнее) мало знаком, так что сильно не бейте (сразу)! >Нашей организации была дана изначально одна сеть например 10.1.1.0\24, другие даже >через НАТ низзя. Сейчас в сети 150 компов. Из них 15 >в бухгалтерии. Начальник поставил задачу: Всех Бухов ..... с пляжа в >отдельную сеть, но на некоторые сервера и мы и они должны >ходить. Все бы ничего - Головная контора запретила маску менять - >говорят 255.255.255.0 и все тут, а не то под стул пнут. возьмите для бухов другую сетку. к примеру 10.1.2.0\27  повесьте на интерфейс маршрутизера айпи адрес из этой сетки только тут учтите особенности сети и т.п. !!! >В общем ближе к теме создал VLAN1 общий и VLAN2 буховский >на свитче, подвязал их на маршрутизаторе. Создал между ними bridge. Все >отлично работает, но проблема - ACL (как я понимаю) применим тока >к мосту, а я бы хотел на субинтерфейсах... Как быть подскажите >пожалуйста, пните в нужном направлении. >ЗАРАНЕЕ ВСЕМ СПАСИБО. > >P.S. >Сколько максимум правил в именованом ACL. А то все говорят по разному. понимаю откуда вопрос но вам достаточно будет правил в количестве серверов для доступа +адын
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Прошу помощи у ALL с VLAN"		+/–
	Сообщение от alexsterh (ok) on 17-Сен-09, 05:54
	> >возьмите для бухов другую сетку. >к примеру 10.1.2.0\27  повесьте на интерфейс маршрутизера айпи адрес из этой >сетки >только тут учтите особенности сети и т.п. !!! > Здесь есть проблема - Головная контора настрого запретила использовать прочие IP адреса и NAT в любом его исполнении. Только тот, который по списку нам выдан. С другими IP я экспериментировал - все работает на УРА. Но за ответ СПАСИБО! > >понимаю откуда вопрос но вам достаточно будет >правил в количестве серверов для доступа +адын В данный момент у меня в ACL весит примерно 87 правил, если еще на сервера для VLAN1 и  VLAN2 понавесить правил, может за 100 перевалить. Мне просто прийдется списки оптимизировать, скорее всего надо начинать прямо сейчас! P.S. Вчера попробовал поиграться с ip unnumbered - в принципе должно работать, если есть сервер с DHCP в сети (я так понял, прочитав на ciso.com). Но у меня почему-то не заработало. Может есть какие-нибудь тонкости при настройке ip unnumbered на субинтерфейсах? Заранее Спасибо ВСЕМ!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Прошу помощи у ALL с VLAN"		+/–
Сообщение от vnn (ok) on 17-Сен-09, 11:03
>[оверквотинг удален] >В общем ближе к теме создал VLAN1 общий и VLAN2 буховский >на свитче, подвязал их на маршрутизаторе. Создал между ними bridge. Все >отлично работает, но проблема - ACL (как я понимаю) применим тока >к мосту, а я бы хотел на субинтерфейсах... Как быть подскажите >пожалуйста, пните в нужном направлении. >ЗАРАНЕЕ ВСЕМ СПАСИБО. > >P.S. >Сколько максимум правил в именованом ACL. А то все говорят по разному. > Private VLAN вам поможет, если ваш свич либо маршрутизатор поддерживает (если нет, то надо будет покупать). Используя Private VLAN, можно остаться в пределах выделенной головным офисом ip-сети и ограничить доступ хостов внутри этой сети друг к другу. Если с Private VLAN никак не получается, то не вижу проблемы разделить сеть на 10.1.1.0/25 и 10.1.1.128/25 (соответственно назначить их двум разным VLAN'ам), а всем остальным отправлять суммарный маршрут к 10.1.1.0/24
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Прошу помощи у ALL с VLAN"		+/–
	Сообщение от alexsterh (ok) on 17-Сен-09, 13:39
	> >Private VLAN вам поможет, если ваш свич либо маршрутизатор поддерживает (если нет, >то надо будет покупать). Используя Private VLAN, можно остаться в пределах >выделенной головным офисом ip-сети и ограничить доступ хостов внутри этой сети >друг к другу. >Если с Private VLAN никак не получается, то не вижу проблемы разделить >сеть на 10.1.1.0/25 и 10.1.1.128/25 (соответственно назначить их двум разным VLAN'ам), >а всем остальным отправлять суммарный маршрут к 10.1.1.0/24 Спасибо за предложение про Private VLAN слышал не раз. Сейчас поподробнее начну знакомиться с данным зверем!:) По второму предложению не получится - головной оффис запретил маску подсети менять в любом виде. На контроле держат все изменения, хотя выход,который ВЫ предложили, единнственный оставался. Но все равно спасибо. Спасибо ВСЕМ - тему считаю иожно закрыть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема