На Catalyste2950 порты разделенны на 2 LAN. Но если поднять одну, вторая падает (любая). Там надо прописать что-то вроде протокола внутрененней маршрутизации, но что именно я не знаю. Может кто подскажет, что там не хватает?
2950 L2 switch
Да это я знаю, читал похожую тему, т.е. Vlan не может быть или что?
Нет, это значит, что самостоятельно он не может маршрутизировать
между VLANS.
Спасибо, с этим понятно. Т.е. для маршрутизации нужен иаршрутизатор, он есть, но задание в том чтобы между свитчём и маршрутизатором поставить PIX 515.
Я сделал так: один два порта в одном влане (ПК и внутренний firewall, два порта в другом велане (внешний firewall и маршр.) Такую схему вообще можно заставить работать, или надо подключать напрямую: ПК-switch-firewall-router?
>Спасибо, с этим понятно. Т.е. для маршрутизации нужен иаршрутизатор, он есть, но
>задание в том чтобы между свитчём и маршрутизатором поставить PIX 515.
>
>Я сделал так: один два порта в одном влане (ПК и внутренний
>firewall, два порта в другом велане (внешний firewall и маршр.) Такую
>схему вообще можно заставить работать, или надо подключать напрямую: ПК-switch-firewall-router?Не совсем понял... running-config и sh vlan покажите у 2950.
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
333 VLAN0333 active Fa0/9, Fa0/10
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default activeVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
333 enet 100333 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Building configuration...Current configuration : 1613 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
!
ip subnet-zero
!
spanning-tree extend system-id
!
!
interface FastEthernet0/1
no ip address
!
interface FastEthernet0/2
no ip address
!
interface FastEthernet0/3
no ip address
!
interface FastEthernet0/4
no ip address
!
interface FastEthernet0/5
no ip address
!
interface FastEthernet0/6
no ip address
!
interface FastEthernet0/7
no ip address
!
interface FastEthernet0/8
no ip address
!
interface FastEthernet0/9
switchport access vlan 333
no ip address
!
interface FastEthernet0/10
interface FastEthernet0/10
switchport access vlan 333
no ip address
!
interface FastEthernet0/11
no ip address
!
interface FastEthernet0/12
no ip address
!
interface FastEthernet0/13
no ip address
!
interface FastEthernet0/14
no ip address
!
interface FastEthernet0/15
no ip address
!
interface FastEthernet0/16
no ip address
!
interface FastEthernet0/17
no ip address
--More--
no ip address
!
interface FastEthernet0/18
no ip address
!
interface FastEthernet0/19
no ip address
!
interface FastEthernet0/20
no ip address
!
interface FastEthernet0/21
no ip address
!
interface FastEthernet0/22
no ip address
!
interface FastEthernet0/23
no ip address
!
interface FastEthernet0/24
no ip address
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface Vlan1
ip address 221.244.169.35 255.255.255.0
no ip route-cache
shutdown
!
interface Vlan333
ip address 10.237.238.218 255.255.255.248
no ip route-cache
!
ip http server
!
!
line con 0
line vty 5 15
!
end
>interface Vlan1
> ip address 221.244.169.35 255.255.255.0
> no ip route-cache
> shutdown
>!
>interface Vlan333
> ip address 10.237.238.218 255.255.255.248
> no ip route-cacheвот это не правильно. У этого свитча может быть только один manage VLAN
(с ip address).
T.e через который к нему можно по телнету.
Насчёт IP вы конечно правы, признаю свою ошибку, но можнт подскажите можно такую схему реализовать:PC---switch----router
| |
Vlan1| |Vlan2
| |
firewall
Комп и внутр firewall в 1 влане, марш и внешний firewall в 333 влане, как такое сделать ума не приложу, так предложили вместо линии pc--switch--firewall-router--
>Насчёт IP вы конечно правы, признаю свою ошибку, но можнт подскажите можно
>такую схему реализовать:
>
>PC---switch----router
> | |
>Vlan1| |Vlan2
> | |
> firewall
>Комп и внутр firewall в 1 влане, марш и внешний firewall в
>333 влане, как такое сделать ума не приложу, так предложили вместо
>линии pc--switch--firewall-router--два вилани на каталисте
один назовём inside
другой outsideтеперь втыкаем е0 пикса в outside vlan
e1 пикса в inside vlanроутер втыкаем в outside vlan, прописываем на роутере маршрутизацию...
на пиксе default route на ip address маршрутизаторавсех пользователей засовываем в inside vlan, в качестве default gw для них указываем e1 пикса.
если хотим сделать dirty dmz, то машины, которые хотим засунуть в этот dmz засовываем в outside vlan.
Спасибо, это всё понятно, но что прописывать на свитче?
У меня поднят только один влан, если поднимаешь, другой падает
На свитче один IP и DG для свитча-маршрутизатор?
www.cisco.comвиланы, о которых вы говорите, используются только для управления свичем.
и может быть только один управляющий vlan.
По умолчанию все порты в 1 вилане, он же управляющий.
Я создаю ещё один вилан, к нему приписываю два порта (внешний пикс и маршрутизатор)
На влане 1 я задаю IP свитча и dg - маршрутизатор, или пикс внутренний?
И теоретически неплохо бы заработать, но нужно ли прописать чтобы пакеты из влана 1 передавались в влан 2? В описания это требуется, но на других каталистах, а как на это включить, непонятно. Это что-то вроде протокола моста?
Т.е. проблемма в том что один из вланов всё время опущен, и поднять не получается.
Если так хочется поднять interface VLAN, тогда надо купить 3550EMI :)
мда....
pix у Вас передаёт пакеты из VLAN1 в VLAN333, иначе какого фига вы его ставите..?