URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13296
[ Назад ]

Исходное сообщение
"можно ли так настроить catalyst"
Отправлено L , 10-Апр-07 15:15

схема такая: есть cisco pix, через который надо подключить три внешние сети,
за outside интерфейс хочу поставить cisco catalyst 2950, на котором настроить vlan-ы, порты 2950 хочу соединить с тремя маршрутизаторами cisco 2611,
то есть примерно получается так на интерфейсе каталиста, который соединен с пиксом, настроить vlan 2,3,4, на других интерфейсах каталиста поднять на каждом по одному vlan 2, 3, 4. Будет ли так работать?
  локалка
    |
   pix
    |
c a t a l y s t
|           |          |
2611  2611  2611
|           |           |
сеть1 сеть2 сеть3
сеть1 с адресами вида 192.168.1.0/24,
сеть2 с адресами вида 172.16.0.0/24,
сеть3 с адресами вида 10.1.1.0/24.
вообщем-то окончательная задача такая: для компьютеров в локалке
обеспечить доступ к сетям 1,2,3 через pix.

Содержание

можно ли так настроить catalyst,vofffka, 15:20 , 10-Апр-07
- можно ли так настроить catalyst,L, 15:29 , 10-Апр-07
  - можно ли так настроить catalyst,L, 16:31 , 10-Апр-07
    - можно ли так настроить catalyst,Изгой, 17:18 , 10-Апр-07
      - можно ли так настроить catalyst,Изгой, 17:20 , 10-Апр-07
        
        можно ли так настроить catalyst,vofffka, 17:31 , 10-Апр-07
        
        можно ли так настроить catalyst,Изгой, 10:06 , 11-Апр-07
        
        можно ли так настроить catalyst,vofffka, 10:21 , 11-Апр-07
        
        можно ли так настроить catalyst,Изгой, 10:42 , 11-Апр-07

Сообщения в этом обсуждении

"можно ли так настроить catalyst"
Отправлено vofffka , 10-Апр-07 15:20

Не вижу никаких проблем. Cisco PIX поддерживает trunk encapsulation.
Только VLAN 1 лучше сразу заменить на какой-то другой, так как этот VLAN является умолчанием для всех портов у которых нет VLAN.
Настраиваеш Cisco Catalyst 2950:
Int fa0/1
switchport mode trunk
switchport trunk allowed vlan 2,3,4
no shut
int fa0/2
switchport mode access
switchport access vlan 2
no shut
... Со стороны PIX главное правильно настроить security-levels и форвардинги между ними.

"можно ли так настроить catalyst"
Отправлено L , 10-Апр-07 15:29

спасибо за такой быстрый ответ, скажите еще плиз, мне не совсем понятно с таблицей маршрутизации, как каталист узнает пакет к какой сети отправлять на какой маршрутизатор или это через адресацию вланов?

"можно ли так настроить catalyst"
Отправлено L , 10-Апр-07 16:31

уточню еще последний свой вопрос:
вы сказали что pix поддерживает trunk encapsulation,
то есть сами vlan-ы должны быть также описаны уже во внутренней сети, перед inside интерфейсом пикса?

"можно ли так настроить catalyst"
Отправлено Изгой , 10-Апр-07 17:18

>уточню еще последний свой вопрос:
>вы сказали что pix поддерживает trunk encapsulation,
>то есть сами vlan-ы должны быть также описаны уже во внутренней сети,
>перед inside интерфейсом пикса?

2950 никак это должен делать пикс обмен между вланами

"можно ли так настроить catalyst"
Отправлено Изгой , 10-Апр-07 17:20

>>уточню еще последний свой вопрос:
>>вы сказали что pix поддерживает trunk encapsulation,
>>то есть сами vlan-ы должны быть также описаны уже во внутренней сети,
>>перед inside интерфейсом пикса?
>
>
>2950 никак это должен делать пикс обмен между вланами

а вот может ли делать это пикс ??

"можно ли так настроить catalyst"
Отправлено vofffka , 10-Апр-07 17:31

>>>уточню еще последний свой вопрос:
>>>вы сказали что pix поддерживает trunk encapsulation,
>>>то есть сами vlan-ы должны быть также описаны уже во внутренней сети,
>>>перед inside интерфейсом пикса?
>>
>>
>>2950 никак это должен делать пикс обмен между вланами
>
>
>а вот может ли делать это пикс ??
Конечно может.
VLAN это 2-й уровень, роутинг на 3-м. Коммутатору незачем знать ip адресса. Он просто интерфейсы с одинаковым номером VLAN будет считать одной сетью, а с другим номером - другой сетью.

"можно ли так настроить catalyst"
Отправлено Изгой , 11-Апр-07 10:06

>>>>уточню еще последний свой вопрос:
>>>>вы сказали что pix поддерживает trunk encapsulation,
>>>>то есть сами vlan-ы должны быть также описаны уже во внутренней сети,
>>>>перед inside интерфейсом пикса?
>>>
>>>
>>>2950 никак это должен делать пикс обмен между вланами
>>
>>
>>а вот может ли делать это пикс ??
>
>Конечно может.
>
>VLAN это 2-й уровень, роутинг на 3-м. Коммутатору незачем знать ip адресса.
>Он просто интерфейсы с одинаковым номером VLAN будет считать одной сетью,
>а с другим номером - другой сетью.
Ну как разные сети будут обмениваться если они в разных вланах ?? значить надо что б кто то их на третьем разруливал ... так ?? или не так ??? Теория вланов это как бы расделения общего широковещательного домена на 2 уровне , если у нас 3 роутера в разных сетях , и в разных вланах , то есть на свиче 2950 они занесены как в влан 2 , влан 3 , влан 4 , то как они будут с друг другом взаимодействоавать ?
Я так понял Локалка - дальше пикс а дальше коммутатор 2950 а от него 3 роутера 2611 ,
Тогда на пиксе должны быть указаны на внешнем гетевее 3 адреса для роутеров которых у нас количестве 3 чтоб было взаимодействие или не так ??
То есть стандартная схема ( пиксы не пробывал) Это роутер вместо Пикса на нём по саб интерфейсам гетевей с адресами сетей с инкапсуляцией dog1.q ( по памяти) на 2950 подаёться транк на этот интерфейс . В общем примерно так . Может задача в другом ??

"можно ли так настроить catalyst"
Отправлено vofffka , 11-Апр-07 10:21

>Ну как разные сети будут обмениваться если они в разных вланах ??
>значить надо что б кто то их на третьем разруливал ...
>так ?? или не так ??? Теория вланов это как бы
>расделения общего широковещательного домена на 2 уровне , если у нас
>3 роутера в разных сетях , и в разных вланах ,
>то есть на свиче 2950 они занесены как в влан 2
>, влан 3 , влан 4 , то как они
>будут с друг другом взаимодействоавать ?
>
>Я так понял Локалка - дальше пикс а дальше коммутатор 2950
>а от него 3 роутера 2611 ,
>Тогда на пиксе должны быть указаны на внешнем гетевее 3 адреса для
>роутеров которых у нас количестве 3 чтоб было взаимодействие или не
>так ??
>То есть стандартная схема ( пиксы не пробывал) Это роутер вместо Пикса
>на нём по саб интерфейсам гетевей с адресами сетей с инкапсуляцией
>dog1.q ( по памяти) на 2950 подаёться транк на этот интерфейс
>. В общем примерно так . Может задача в другом ??
>

Да какая разница Router это будет или PIX, если обы умеют роутить сети. На PIXe оконечиваешь 3 VLANa айпишниками и вперед. В качестве gateway, для юзеров, указываешь локальный (inside) интерфейс PIXa.

"можно ли так настроить catalyst"
Отправлено Изгой , 11-Апр-07 10:42

>>Ну как разные сети будут обмениваться если они в разных вланах ??
>>значить надо что б кто то их на третьем разруливал ...
>>так ?? или не так ??? Теория вланов это как бы
>>расделения общего широковещательного домена на 2 уровне , если у нас
>>3 роутера в разных сетях , и в разных вланах ,
>>то есть на свиче 2950 они занесены как в влан 2
>>, влан 3 , влан 4 , то как они
>>будут с друг другом взаимодействоавать ?
>>
>>Я так понял Локалка - дальше пикс а дальше коммутатор 2950
>>а от него 3 роутера 2611 ,
>>Тогда на пиксе должны быть указаны на внешнем гетевее 3 адреса для
>>роутеров которых у нас количестве 3 чтоб было взаимодействие или не
>>так ??
>>То есть стандартная схема ( пиксы не пробывал) Это роутер вместо Пикса
>>на нём по саб интерфейсам гетевей с адресами сетей с инкапсуляцией
>>dog1.q ( по памяти) на 2950 подаёться транк на этот интерфейс
>>. В общем примерно так . Может задача в другом ??
>>
>
>
>Да какая разница Router это будет или PIX, если обы умеют роутить
>сети. На PIXe оконечиваешь 3 VLANa айпишниками и вперед. В качестве
>gateway, для юзеров, указываешь локальный (inside) интерфейс PIXa.
Ну если Пикса так может проблем нет