форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Оборудование Lucent, Nortell и др.)
Изначальное сообщение		[ Отслеживать ]

"Организация VLAN на Alcatel Lucent 6850"	+/–
Сообщение от Рихард (ok) on 10-Янв-13, 15:19
Имеется в наличии железка Alcatel Lucent 6850-40. Есть три подсети 10.0.80.0(VID1), 10.0.81.0(VID2) и 10.0.127.0(VID3) Имеется шлюз с файрволом на фряхе 10.0.80.253 Пока на интерфейсах вланов включен forward все работает, инет раздается. Но вланы видят друг друга и толку от них никакого. Как только его выключаем естественно связь обрывается. Не понимаю как и где настраивается таблица маршрутизации? Нужно ли для этого создавать правила в policy rule или все придется на файерволе прописывать? Подскажите в каком направлении копать, мануалы есть, но не совсем понимаю логику.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Организация VLAN на Alcatel Lucent 6850"	+/–
Сообщение от fantom (??) on 10-Янв-13, 15:26
> Имеется в наличии железка Alcatel Lucent 6850-40. > Есть три подсети 10.0.80.0(VID1), 10.0.81.0(VID2) и 10.0.127.0(VID3) > Имеется шлюз с файрволом на фряхе 10.0.80.253 > Пока на интерфейсах вланов включен forward все работает, инет раздается. Но вланы > видят друг друга и толку от них никакого. > Как только его выключаем естественно связь обрывается. > Не понимаю как и где настраивается таблица маршрутизации? > Нужно ли для этого создавать правила в policy rule или все придется > на файерволе прописывать? > Подскажите в каком направлении копать, мануалы есть, но не совсем понимаю логику. Начните с теории... В простейшем варианте - файрволом запретите трафик между нужными интерфейсами.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Рихард (ok) on 10-Янв-13, 15:35
	> Начните с теории... > В простейшем варианте - файрволом запретите трафик между нужными интерфейсами. А что нужно прописать, чтобы мои вланы ходили через вышеуказанный шлюз? Или тоже надо прописывать правило для файервола?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от fantom (??) on 10-Янв-13, 15:39
	>> Начните с теории... >> В простейшем варианте - файрволом запретите трафик между нужными интерфейсами. > А что нужно прописать, чтобы мои вланы ходили через вышеуказанный шлюз? > Или тоже надо прописывать правило для файервола? Вы так и не описали, чего хотите добиться.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Рихард (ok) on 10-Янв-13, 15:51
	> Вы так и не описали, чего хотите добиться. 1. Необходимо выпустить вланы в интернет через указанный шлюз. когда включен форвардинг в инет все ходят, только вот и к друг другу тоже, что собственно логично. Если я форвард на интерфейсе отключаю, связь влана с миром пропадает. Я так понимаю что нужно ему явно указать куда и через что ходить. Как мне это сделать?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от fantom (??) on 10-Янв-13, 16:15
	>> Вы так и не описали, чего хотите добиться. > 1. Необходимо выпустить вланы в интернет через указанный шлюз. когда включен форвардинг > в инет все ходят, только вот и к друг другу тоже, > что собственно логично. Если я форвард на интерфейсе отключаю, связь влана > с миром пропадает. Я так понимаю что нужно ему явно указать > куда и через что ходить. Как мне это сделать? если используется ipfw то например правилом вроде ipfw add 00102 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via <int_vlan2> ipfw add 00103 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via <int_vlan3>
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Рихард (ok) on 10-Янв-13, 16:41
	> ipfw add 00102 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via > <int_vlan2> > ipfw add 00103 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via > <int_vlan3> Так если я форвардинг отключу, то и файервол не увижу. Надо же сказать влану куда и через что ходить. Я понимаю это настраивается непосредственно на маршрутизаторе.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от fantom (??) on 10-Янв-13, 17:53
	>> ipfw add 00102 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via >> <int_vlan2> >> ipfw add 00103 deny ip from 10.0.0.0/8 via <int_vlan1> to 10.0.0.0/8 via >> <int_vlan3> > Так если я форвардинг отключу, то и файервол не увижу. Надо же > сказать влану куда и через что ходить. Я понимаю это настраивается > непосредственно на маршрутизаторе. "шлюз" и "маршрутизатор" это у вас одно и то же или нет?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Рихард (ok) on 10-Янв-13, 18:15
	> "шлюз" и "маршрутизатор" это у вас одно и то же или нет? шлюз это физическая машина из подсети 10.0.80.0(тобишь VID1). На нем настроен виртуальный интерфейс с вланами. Маршрутизатор это и есть мой Alcatel. На нем уже физические вланы. Эта конфигурация до меня была. То есть каждому интерфейсу на Alcatele соответствует виртуальный интерфейс на шлюзе через которые вланы в интернет смотрят. Я вот чего не могу понять, мне маршруты между вланами прописывать и открывать закрывать доступ на фряхе надо через файервол или можно как то физически это реализовать. И режим интерфейса forward на алкателе для чего нужен вообще? Если я его активирую все работает во все стороны, в какие только можно: все вланы между собой общаются. Как мне их изолировать?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от fantom (??) on 11-Янв-13, 10:53
	>[оверквотинг удален] > интерфейс с вланами. > Маршрутизатор это и есть мой Alcatel. На нем уже физические вланы. > Эта конфигурация до меня была. То есть каждому интерфейсу на Alcatele соответствует > виртуальный интерфейс на шлюзе через которые вланы в интернет смотрят. Я > вот чего не могу понять, мне маршруты между вланами прописывать и > открывать закрывать доступ на фряхе надо через файервол или можно как > то физически это реализовать. И режим интерфейса forward на алкателе для > чего нужен вообще? Если я его активирую все работает во все > стороны, в какие только можно: все вланы между собой общаются. Как > мне их изолировать? 1. разбритесь с терминологией! То что вы упорно называете коммутатор маршрутизатором говорит о весьма поверхностном представлении о задачах как первого, так и второго (или же вы чего-то не договариваете). 2. приведенные выше правила какраз блокируют доступ из vlan1 в vkan-ы 2 и 3, по аналогии можно составить правила для блокировки трафика между остальными интерфейсами.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Рихард (ok) on 11-Янв-13, 12:57
	> 1. разбритесь с терминологией! То что вы упорно называете коммутатор маршрутизатором говорит > о весьма поверхностном представлении о задачах как первого, так и второго > (или же вы чего-то не договариваете). > 2. приведенные выше правила какраз блокируют доступ из vlan1 в vkan-ы 2 > и 3, по аналогии можно составить правила для блокировки трафика между > остальными интерфейсами. В общем я не понимаю зачем при такой железке использовать программный маршрутизатор. На данный момент на фряхе три интерфейса: два провайдера и один внутренний. Она же и почтовик и шлюз и файервол. Я хочу, чтобы она выполняла функции только файервола, а маршрутизация осуществлялась посредством Alcatel. Соответственно возникает вопрос, как мне прописать в алкателе правила для вланов.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Рихард (ok) on 11-Янв-13, 13:08
	Я ошибочно полагал что сей девайс является маршрутизатором, в связи с чем и возникло сие недоразумение. Придется доделывать существующую схему
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от fantom (??) on 11-Янв-13, 14:26
	> Я ошибочно полагал что сей девайс является маршрутизатором, в связи с чем > и возникло сие недоразумение. Придется доделывать существующую схему Опишите полную схему! Куда интерфейсы с VLAN-ами "прикручены" (на какой железке)??? Если Алькатель у вас L3 коммутатор и на нем "приземлены" VLAN-ы - то там и надо ACL-ы настраивать, а если он чисто L2 функцию выполняет - то ACL надо на фре крутить, но если вам надо запретить трафик между подсетями внутренними - то нет смысла вообще за3действовать L3 функционал алькателя, т.к. весь трафик все равно уйдет на шлюз... Так или иначе точка отказа у вас все равно одна (фря) и зачем городить в таком случае лишний уровень в виде L3 свича с ACL-ами не совсем понятно, но не невозможно Как-то так получается.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Рихард (ok) on 11-Янв-13, 16:18
	>[оверквотинг удален] > Если Алькатель у вас L3 коммутатор и на нем "приземлены" VLAN-ы - > то там и надо ACL-ы настраивать, а если он чисто L2 > функцию выполняет - то ACL надо на фре крутить, но если > вам надо запретить трафик между подсетями внутренними - то нет смысла > вообще за3действовать L3 функционал алькателя, т.к. весь трафик все равно уйдет > на шлюз... > Так или иначе точка отказа у вас все равно одна (фря) и > зачем городить в таком случае лишний уровень в виде L3 свича > с ACL-ами не совсем понятно, но не невозможно > Как-то так получается. VLAN-ы созданы на Alcatel-е и созданы на фряхе. На Alcatele на интерфейсах надо forward отключать?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	14. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Рихард (ok) on 13-Янв-13, 21:46
	> VLAN-ы созданы на Alcatel-е и созданы на фряхе. На Alcatele на интерфейсах > надо forward отключать? Параметр "forward" полностью запрещает доступ к интерфейсу(на Alcatel-e) на аппаратном уровне? Тогда логично установить его в "on"  и далее управлять доступом средствами файервола шлюза(в данном случае фряхи). Я правильно рассуждаю? Ответа в документации я не нашел. Там только написано что он явно открывает или закрывает форвардинг на данном интерфейсе. А что именно это значит в данном случае я не понял! Может кто работал с таким оборудованием. Могу процитировать доку если надо, может я что не так понял.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Hohol (ok) on 29-Авг-13, 16:16
	Помогите пожалуйста с проблемой. Есть ли возможность присвоить VLAN определенной подсети? Например, чтобы все пакеты с адресом назначения из подсети 192.168.0.0/24 присваивались VLAN 101. Все для того, чтобы в одном коммутаторе связать подразделения работающие по L2 и по L3.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Организация VLAN на Alcatel Lucent 6850"	+/–
	Сообщение от Рихард (ok) on 30-Авг-13, 14:35
	> Помогите пожалуйста с проблемой. > Есть ли возможность присвоить VLAN определенной подсети? Например, чтобы все пакеты с > адресом назначения из подсети 192.168.0.0/24 присваивались VLAN 101. Что значит присваивались? У VLAN-а уже есть свой адрес(интерфейс), который ты назначили при его создании. Все остальные манипуляции с подсетями это маршрутизация. Или я не правильно понял суть вопроса?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема