URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6817
[ Назад ]

Исходное сообщение
"2950 ограничение трафика по портам vlan access-group"
Отправлено billy , 14-Дек-04 15:18

Смотрел несколько тем, последнюю, наиболее близкую:
http://www.opennet.me/openforum/vsluhforumID6/6704.html,
но ответа для себя не нашел, а т.к. я сталкиваюсь с кисками раз в пол-года, то спецом в теме не являюсь.
Есть 2950 catalyst
на ем 24 порта.
1-й в инет (общий) пусть это vlan 1
далее идут 5-10 мелких сетей, которые не должны пересекаться м/у собой, но д. иметь доступ к порту №1
2-й к сети alpha
    По моим соображениям, он должен быть сконфигурирован так:
    Switch# configure terminal
    Switch(config)# interface fastethernet0/2
    Switch(config-if)# switchport mode access
    Switch(config-if)# switchport access vlan 1
    Switch(config-if)# end
3-й к сети betta
    Switch# configure terminal
    Switch(config)# interface fastethernet0/3
    Switch(config-if)# switchport mode access
    Switch(config-if)# switchport access vlan 1
    Switch(config-if)# end
и т.д.
Но при этом нет запрета на доступ м/у 2-м и 3-м портами.
Сначала пробовал сделать отдельный vlan для каждого порта, а порту №1 присвоить членство во всех вланах, но на один
порт можно установить только 1 влан.
Меня тогда спасло внедрение прокси сервера, но вопрос остался:
"5-10 мелких сетей, которые не должны пересекаться м/у собой, но д. иметь доступ к порту №1"
Подскажите, плз.

Содержание

2950 ограничение трафика по портам vlan access-group,billy, 15:37 , 14-Дек-04
- 2950 ограничение трафика по портам vlan access-group,StSphinx, 17:06 , 14-Дек-04
  - 2950 ограничение трафика по портам vlan access-group,billy, 17:27 , 14-Дек-04
    - 2950 ограничение трафика по портам vlan access-group,StSphinx, 17:43 , 14-Дек-04
      - 2950 ограничение трафика по портам vlan access-group,billy, 18:00 , 14-Дек-04
        
        2950 ограничение трафика по портам vlan access-group,billy, 11:25 , 15-Дек-04
        
        2950 ограничение трафика по портам vlan access-group,Изгой, 16:30 , 11-Янв-05
        2950 ограничение трафика по портам vlan access-group,StSphinx, 16:52 , 11-Янв-05
        
        2950 ограничение трафика по портам vlan access-group,Spider2k, 08:52 , 12-Янв-05
        
        2950 ограничение трафика по портам vlan access-group,Изгой, 12:28 , 12-Янв-05
        
        2950 ограничение трафика по портам vlan access-group,Nailer, 12:34 , 12-Янв-05
        
        2950 ограничение трафика по портам vlan access-group,Изгой, 12:55 , 12-Янв-05
        
        2950 ограничение трафика по портам vlan access-group,Nailer, 13:09 , 12-Янв-05
        
        2950 ограничение трафика по портам vlan access-group,Изгой, 13:23 , 12-Янв-05
        
        2950 ограничение трафика по портам vlan access-group,Nailer, 15:11 , 12-Янв-05
        
        2950 ограничение трафика по портам vlan access-group,Изгой, 15:45 , 12-Янв-05
        
        2950 ограничение трафика по портам vlan access-group,billy, 17:27 , 12-Янв-05

Сообщения в этом обсуждении

"2950 ограничение трафика по портам vlan access-group"
Отправлено billy , 14-Дек-04 15:37

Есть еще идея, но ее сейчас воплотить не могу, только завтра.
configure terminal
interface fastethernet0/2
switchport protected
end
configure terminal
interface fastethernet0/3
switchport protected
end
Согласно документации,
A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that
is also a protected port. Traffic cannot be forwarded between protected ports at Layer 2; ( from Catalyst 2950 and Catalyst 2955 Switch
Software Configuration Guide)
Может, это и все? Хотелось бы знать заранее.

"2950 ограничение трафика по портам vlan access-group"
Отправлено StSphinx , 14-Дек-04 17:06

>Есть еще идея, но ее сейчас воплотить не могу, только завтра.
>
>configure terminal
>interface fastethernet0/2
>switchport protected
>end
>
>configure terminal
>interface fastethernet0/3
>switchport protected
>end
>
>Согласно документации,
>A protected port does not forward any traffic (unicast, multicast, or broadcast)
>to any other port that
>is also a protected port. Traffic cannot be forwarded between protected ports
>at Layer 2; ( from Catalyst 2950 and Catalyst 2955 Switch
>
>Software Configuration Guide)
>Может, это и все? Хотелось бы знать заранее.
Варианты:
1) Роутер с ARP-proxy(если имеем клиентов из одной подсети на разных портах) на не protected порту и protected порты у клиентов
2) Роутер терминирующий VLAN'ы , на trunk'e и клиенты в разных VLAN'ах
На 2950 это вроде бы все варианты.
По обоим случаям можно найти информацию на opennet.ru + cisco.com

"2950 ограничение трафика по портам vlan access-group"
Отправлено billy , 14-Дек-04 17:27

>Варианты:
>
>1) Роутер с ARP-proxy(если имеем клиентов из одной подсети на разных портах)
>на не protected порту и protected порты у клиентов
>2) Роутер терминирующий VLAN'ы , на trunk'e и клиенты в разных VLAN'ах
>
>
>На 2950 это вроде бы все варианты.
>По обоим случаям можно найти информацию на opennet.ru + cisco.com
router поставить не имею возможности, а насчет protected port?

"2950 ограничение трафика по портам vlan access-group"
Отправлено StSphinx , 14-Дек-04 17:43

>>Варианты:
>>
>>1) Роутер с ARP-proxy(если имеем клиентов из одной подсети на разных портах)
>>на не protected порту и protected порты у клиентов
>>2) Роутер терминирующий VLAN'ы , на trunk'e и клиенты в разных VLAN'ах
>>
>>
>>На 2950 это вроде бы все варианты.
>>По обоим случаям можно найти информацию на opennet.ru + cisco.com
>
>router поставить не имею возможности, а насчет protected port?
С protected port покатит только если у тебя "один порт - одна подсеть", тогда F0/1 должен быть не protected и должно все работать. Если нет(см. про подсети), то нужно иметь роутер с ARP-proxy, чтобы рабочие станции в одной подсети(на разных портах) видели друг друга.

"2950 ограничение трафика по портам vlan access-group"
Отправлено billy , 14-Дек-04 18:00

порт-сеть. так что надеюсь, можно обойтись protected port.
киска у меня 2950 с SI (Standart Image) следовательно, acl-списки с контролем по подсетям здесь не должны пойти. а жалко. Если бы EI то можно было бы настроить фильтр по IP.
в общем, завтра попробую. спасибо!
PS Если у кого будут мысли на эту тему, пишите :)

"2950 ограничение трафика по портам vlan access-group"
Отправлено billy , 15-Дек-04 11:25

Кстати, еще вот придумал. Только я не уверен, что это будет работать
т.к. у меня Catalyst 2950 SI, т.е. уровень 2. так ведь?
interface fastethernet 0/2
access-group 2 in
swith port access vlan 2
interface fastethernet 0/3
access-group 3 in
swith port access vlan 2
access-list 2 permit 192.168.2.0 255.255.255.0
access-list 2 deny any
access-list 3 permit 192.168.3.0 255.255.255.0
access-list 3 deny any
или это невозможно в принципе на 2950-24(24 порта) SI?

"2950 ограничение трафика по портам vlan access-group"
Отправлено Изгой , 11-Янв-05 16:30

>Кстати, еще вот придумал. Только я не уверен, что это будет работать
>
>т.к. у меня Catalyst 2950 SI, т.е. уровень 2. так ведь?
>
>interface fastethernet 0/2
>access-group 2 in
>swith port access vlan 2
>
>interface fastethernet 0/3
>access-group 3 in
>swith port access vlan 2
>
>access-list 2 permit 192.168.2.0 255.255.255.0
>access-list 2 deny any
>Читаю ответы и удивляюсь ответами.. сам не профи , такое ощущение что здесь редкая птица конкретно помогает , сам ищу всякие интересные варианты на каталисты серии 2900 хл , возможно у тебя и будет работать вариант с акцесс листами но свичи категории 2 не фильтруют вроде бы трафик по IP адресам , у меня ничего не получилась....
А ты не пробывал создать мультивлан ??? к примеру схематично 23 порта это жестко привязаны к одному влану а 24 порт назначить как мультивлан включающий все порты , правда на этом порту мне как кажется надо настроить маршрутизатор ( можно использовать комп с люниксом и двумя сетевыми карточками)
>access-list 3 permit 192.168.3.0 255.255.255.0
>access-list 3 deny any
>
>или это невозможно в принципе на 2950-24(24 порта) SI?

"2950 ограничение трафика по портам vlan access-group"
Отправлено StSphinx , 11-Янв-05 16:52

>Кстати, еще вот придумал. Только я не уверен, что это будет работать
>
>т.к. у меня Catalyst 2950 SI, т.е. уровень 2. так ведь?
>
>interface fastethernet 0/2
>access-group 2 in
>swith port access vlan 2
>
>interface fastethernet 0/3
>access-group 3 in
>swith port access vlan 2
>
>access-list 2 permit 192.168.2.0 255.255.255.0
>access-list 2 deny any
>
>access-list 3 permit 192.168.3.0 255.255.255.0
>access-list 3 deny any
>
>или это невозможно в принципе на 2950-24(24 порта) SI?
Документация говорит, что это возможно, но практика показала,что увы - нет.
Так что проще обойтись указанными выше вариантами.

"2950 ограничение трафика по портам vlan access-group"
Отправлено Spider2k , 12-Янв-05 08:52

Есть еще такой изврат:
interface fastethernet0/2 (подсети кот др др не видят)
switchport protected
swith port access vlan 1
interface fastethernet0/3 (подсети кот др др не видят)
switchport protected
swith port access vlan 1
interface fastethernet0/4 (подсети кот др др не видят)
switchport protected
swith port access vlan 1

interface fastethernet0/5 по interface fastethernet0/12
swith port access vlan 10 (подсеть альфа)
interface fastethernet0/13 по interface fastethernet0/18
swith port access vlan 11 (подсеть бетта)
interface fastethernet0/19 по interface fastethernet0/24
swith port access vlan 12 (подсеть гамма)
И воткнуть пачкорды:
interface fastethernet0/5 в interface fastethernet0/2
interface fastethernet0/13 в interface fastethernet0/3
interface fastethernet0/19 в interface fastethernet0/4
Правда 6 портов пропадет даром....

"2950 ограничение трафика по портам vlan access-group"
Отправлено Изгой , 12-Янв-05 12:28

Может так попробывать , если я правильно понял вопрос,
interface fastethernet0/1
switсhport multi vlan 1-23 ( Первый порт - содержит все разделённые вланы и патчем соединяется с прокси сервером тут я ноль )
switchport mode multi
interface fastethernet0/2 (подсети кот др др не видят)

swithport access vlan 1
switchport mode access
interface fastethernet0/3 (подсети кот др др не видят)
swithport access vlan 2
switchport mode access
и так до 24 порта ..
Я сам не испытывал , но интерестно что получиться , будет ли разделение на cisco  и использование одного сервера?? В общем и тут я 0 но надо же когда то что то изучать..

"2950 ограничение трафика по портам vlan access-group"
Отправлено Nailer , 12-Янв-05 12:34

Нету на 2950 мультивиланов. По идее, switchport protected должен спасти гиганта мысли ;-)

"2950 ограничение трафика по портам vlan access-group"
Отправлено Изгой , 12-Янв-05 12:55

>Нету на 2950 мультивиланов. По идее, switchport protected должен спасти гиганта мысли
>;-)
Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в один влан а так как свич не маршрутизатор , разброс пакетов пойдёт во все порты или я чего то не заметил - обьясните если не сложно в чём соль..
у нас 3 влана отдельных на 3 портах соединяем с 3 портами на которых прописан влан под номером 1 в итоге все становятся общим вланом 1 и трафик летает сквозь VLANы как хочет или я ошибаюсь??? Если учесть что на другой стороне стоит маршрутизатор разбивший сеть на подсети то на него ляжет отсеивание трафика других подсетей ... Обьясните в чём соль , если можно поподробнее..

"2950 ограничение трафика по портам vlan access-group"
Отправлено Nailer , 12-Янв-05 13:09

>Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в
>один влан а так как свич не маршрутизатор , разброс
>пакетов пойдёт во все порты или я чего то не заметил
>- обьясните если не сложно в чём соль..
>у нас 3 влана отдельных на 3 портах соединяем с 3 портами
>на которых прописан влан под номером 1 в итоге все становятся
>общим вланом 1 и трафик летает сквозь VLANы как хочет или
>я ошибаюсь???
Нет, не ошибаетесь, но тогда у меня встречный вопрос - нахрена вообще вланы делать, если их потом соединять?
Если нужно получить схему "все с первым, никто друг с другом", то все порты ставим в первый влан, аксесс мод, на всех, кроме первого, вбиваем switchport protected, и наслаждаемся. Даже броадкасты не долетают :-) Единственное, от чего таким образом не защитишься - это от подмены ip.
Если хотите более гибко разграничивать доступ между подсетями - каждую в свой влан, первый порт в транк, к нему цепляем рутер и рутим на нем, фильтруя acl-ями то, что нам надо.
Первый случай подходит под поставленную в первом посте задачу :-)

"2950 ограничение трафика по портам vlan access-group"
Отправлено Изгой , 12-Янв-05 13:23

>
>>Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в
>>один влан  а так как свич не маршрутизатор , разброс
>>пакетов пойдёт во все порты или я чего то не заметил
>>- обьясните если не сложно в чём соль..
>>у нас 3 влана отдельных на 3 портах соединяем с 3 портами
>>на которых прописан влан под номером 1 в итоге все становятся
>>общим вланом 1 и трафик летает сквозь VLANы как хочет или
>>я ошибаюсь???
>
>Нет, не ошибаетесь, но тогда у меня встречный вопрос - нахрена вообще
>вланы делать, если их потом соединять?
>
>Если нужно получить схему "все с первым, никто друг с другом", то
>все порты ставим в первый влан, аксесс мод, на всех, кроме
>первого, вбиваем switchport protected, и наслаждаемся. Даже броадкасты не долетают :-)
>Единственное, от чего таким образом не защитишься - это от подмены
>ip.
>
>Если хотите более гибко разграничивать доступ между подсетями - каждую в свой
>влан, первый порт в транк, к нему цепляем рутер и рутим
>на нем, фильтруя acl-ями то, что нам надо.
>
>Первый случай подходит под поставленную в первом посте задачу :-)
Да но без соединения портов патчами друг с другом и потерей портов я правильно понял??
то есть
interface fastethernet0/2 (общий VLAN свыходом в инет )
switchport protected
swith port access vlan 1
interface fastethernet0/3 (подсети кот др др не видят)
swith port access vlan 1
switchport mode access
interface fastethernet0/4 (подсети кот др др не видят)
swith port access vlan 1
switchport mode access
и так далее по портам..
Получаем все в 1 и никто с друг с другом правильно ??

"2950 ограничение трафика по портам vlan access-group"
Отправлено Nailer , 12-Янв-05 15:11

>>
>>>Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в
>>>один влан а так как свич не маршрутизатор , разброс
>>>пакетов пойдёт во все порты или я чего то не заметил
>>>- обьясните если не сложно в чём соль..
>>>у нас 3 влана отдельных на 3 портах соединяем с 3 портами
>>>на которых прописан влан под номером 1 в итоге все становятся
>>>общим вланом 1 и трафик летает сквозь VLANы как хочет или
>>>я ошибаюсь???
>>
>>Нет, не ошибаетесь, но тогда у меня встречный вопрос - нахрена вообще
>>вланы делать, если их потом соединять?
>>
>>Если нужно получить схему "все с первым, никто друг с другом", то
>>все порты ставим в первый влан, аксесс мод, на всех, кроме
>>первого, вбиваем switchport protected, и наслаждаемся. Даже броадкасты не долетают :-)
>>Единственное, от чего таким образом не защитишься - это от подмены
>>ip.
>>
>>Если хотите более гибко разграничивать доступ между подсетями - каждую в свой
>>влан, первый порт в транк, к нему цепляем рутер и рутим
>>на нем, фильтруя acl-ями то, что нам надо.
>>
>>Первый случай подходит под поставленную в первом посте задачу :-)
>
>Да но без соединения портов патчами друг с другом и потерей портов
>я правильно понял??
>то есть
>interface fastethernet0/2 (общий VLAN свыходом в инет )
>switchport protected
>swith port access vlan 1
>
>interface fastethernet0/3 (подсети кот др др не видят)
>
>swith port access vlan 1
>
>switchport mode access
>interface fastethernet0/4 (подсети кот др др не видят)
>
>swith port access vlan 1
>switchport mode access
>и так далее по портам..
>
>Получаем все в 1 и никто с друг с другом правильно ??
>
Не так.
порты, в конфиг которых вбито switchport protected, взаимно не видят друг друга. Порт, в котором вбито switchport protected, и порт без switchport protected друг друга видят.
Вот такой конфиг:
conf t
interface FastEthernet0/1 (общий)
switchport access vlan 1

interface FastEthernet0/2 (приватный)
switchport protected
switchport access vlan 1
interface FastEthernet0/3 (приватный)
switchport protected
switchport access vlan 1
interface FastEthernet0/4 (приватный)
switchport protected
switchport access vlan 1
и т.д.
интерфейсы fa0/2, fa0/3, fa0/4 видят в такой конфигурации только fa0/1. fa0/1 видит всех.

"2950 ограничение трафика по портам vlan access-group"
Отправлено Изгой , 12-Янв-05 15:45

>>>
>>>>Да но соединяя vlanoвые порты через патчи мы превращаем эти порты в
>>>>один влан а так как свич не маршрутизатор , разброс
>>>>пакетов пойдёт во все порты или я чего то не заметил
>>>>- обьясните если не сложно в чём соль..
>>>>у нас 3 влана отдельных на 3 портах соединяем с 3 портами
>>>>на которых прописан влан под номером 1 в итоге все становятся
>>>>общим вланом 1 и трафик летает сквозь VLANы как хочет или
>>>>я ошибаюсь???
>>>
>>>Нет, не ошибаетесь, но тогда у меня встречный вопрос - нахрена вообще
>>>вланы делать, если их потом соединять?
>>>
>>>Если нужно получить схему "все с первым, никто друг с другом", то
>>>все порты ставим в первый влан, аксесс мод, на всех, кроме
>>>первого, вбиваем switchport protected, и наслаждаемся. Даже броадкасты не долетают :-)
>>>Единственное, от чего таким образом не защитишься - это от подмены
>>>ip.
>>>
>>>Если хотите более гибко разграничивать доступ между подсетями - каждую в свой
>>>влан, первый порт в транк, к нему цепляем рутер и рутим
>>>на нем, фильтруя acl-ями то, что нам надо.
>>>
>>>Первый случай подходит под поставленную в первом посте задачу :-)
>>
>>Да но без соединения портов патчами друг с другом и потерей портов
>>я правильно понял??
>>то есть
>>interface fastethernet0/2 (общий VLAN свыходом в инет )
>>switchport protected
>>swith port access vlan 1
>>
>>interface fastethernet0/3 (подсети кот др др не видят)
>>
>>swith port access vlan 1
>>
>>switchport mode access
>>interface fastethernet0/4 (подсети кот др др не видят)
>>
>>swith port access vlan 1
>>switchport mode access
>>и так далее по портам..
>>
>>Получаем все в 1 и никто с друг с другом правильно ??
>>
>
>Не так.
>порты, в конфиг которых вбито switchport protected, взаимно не видят друг друга.
>Порт, в котором вбито switchport protected, и порт без switchport protected
>друг друга видят.
>
>Вот такой конфиг:
>
>conf t
>interface FastEthernet0/1 (общий)
>switchport access vlan 1
>
>
>interface FastEthernet0/2 (приватный)
>switchport protected
>switchport access vlan 1
>
>interface FastEthernet0/3 (приватный)
>switchport protected
>switchport access vlan 1
>
>interface FastEthernet0/4 (приватный)
>switchport protected
>switchport access vlan 1
>
>и т.д.
>
>интерфейсы fa0/2, fa0/3, fa0/4 видят в такой конфигурации только fa0/1. fa0/1 видит
>всех.
Вот спасибо большое теперь всё понятно...

"2950 ограничение трафика по портам vlan access-group"
Отправлено billy , 12-Янв-05 17:27

Точно! Оригинально! Жалко, что не проверить сейчас. Спасибо!