URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 8874
[ Назад ]

Исходное сообщение
"Взаимодействие между VLAN"
Отправлено XRay , 05-Окт-05 16:53

Уважаемые, подскажите как осуществить следующую схему:
Имеется один влан с серверами и несколько вланов с клиентскими машинами. Как сделать так, чтобы каждый из клиентских вланов мог взаимодействовать только с вланом серверов, но не могли взаимодействовать между собой.

Содержание

Взаимодействие между VLAN,Totem, 16:55 , 05-Окт-05
- Взаимодействие между VLAN,XRay, 17:02 , 05-Окт-05
  - Взаимодействие между VLAN,routercs, 17:12 , 05-Окт-05
    - Взаимодействие между VLAN,XRay, 11:15 , 06-Окт-05
    - Взаимодействие между VLAN,silencer, 13:50 , 07-Окт-05
  - Взаимодействие между VLAN,Totem, 17:28 , 05-Окт-05
Взаимодействие между VLAN,Nailer, 14:07 , 07-Окт-05
- Взаимодействие между VLAN,XRay, 14:34 , 07-Окт-05
  - Взаимодействие между VLAN,Nailer, 14:42 , 07-Окт-05
    - Взаимодействие между VLAN,XRay, 14:50 , 07-Окт-05

Сообщения в этом обсуждении

"Взаимодействие между VLAN"
Отправлено Totem , 05-Окт-05 16:55

>Уважаемые, подскажите как осуществить следующую схему:
>Имеется один влан с серверами и несколько вланов с клиентскими машинами. Как
>сделать так, чтобы каждый из клиентских вланов мог взаимодействовать только с
>вланом серверов, но не могли взаимодействовать между собой.
Access list написать соотсетствующим образом.

"Взаимодействие между VLAN"
Отправлено XRay , 05-Окт-05 17:02

>>Уважаемые, подскажите как осуществить следующую схему:
>>Имеется один влан с серверами и несколько вланов с клиентскими машинами. Как
>>сделать так, чтобы каждый из клиентских вланов мог взаимодействовать только с
>>вланом серверов, но не могли взаимодействовать между собой.
>Access list написать соотсетствующим образом.
Дык это ты представь писать для каждого влана отдельный ACL... тогда конфиг будет в Mb исчисляться... :) Должны же быть другие варианты...

"Взаимодействие между VLAN"
Отправлено routercs , 05-Окт-05 17:12

>>>Уважаемые, подскажите как осуществить следующую схему:
>>>Имеется один влан с серверами и несколько вланов с клиентскими машинами. Как
>>>сделать так, чтобы каждый из клиентских вланов мог взаимодействовать только с
>>>вланом серверов, но не могли взаимодействовать между собой.
>>Access list написать соотсетствующим образом.
>
>Дык это ты представь писать для каждого влана отдельный ACL... тогда конфиг
>будет в Mb исчисляться... :) Должны же быть другие варианты...
Как по мне, один ACL на интерфейс - это не так уж и сложно...
Создается стандартный АСL (с № от 1 до 100):
(например, нужно запретить доступ к сети 192.168.2.0/24 из сети 192.168.1.0/24):
access-list 1 deny 192.168.1.0 255.255.255.0
access-list 1 permit any
и вешается на интерфейс, сморящий в сеть 192.168.2.0/24 со значением in:
ip access-group 1 in
Аналогично делается на втором интерфейсе.

"Взаимодействие между VLAN"
Отправлено XRay , 06-Окт-05 11:15

>>>>Уважаемые, подскажите как осуществить следующую схему:
>>>>Имеется один влан с серверами и несколько вланов с клиентскими машинами. Как
>>>>сделать так, чтобы каждый из клиентских вланов мог взаимодействовать только с
>>>>вланом серверов, но не могли взаимодействовать между собой.
>>>Access list написать соотсетствующим образом.
>>
>>Дык это ты представь писать для каждого влана отдельный ACL... тогда конфиг
>>будет в Mb исчисляться... :) Должны же быть другие варианты...
>Как по мне, один ACL на интерфейс - это не так уж
>и сложно...
>Создается стандартный АСL (с № от 1 до 100):
>(например, нужно запретить доступ к сети 192.168.2.0/24 из сети 192.168.1.0/24):
>access-list 1 deny 192.168.1.0 255.255.255.0
>access-list 1 permit any
>и вешается на интерфейс, сморящий в сеть 192.168.2.0/24 со значением in:
>ip access-group 1 in
>
>Аналогично делается на втором интерфейсе.
А есть еще vlan maps... я только пока не прокурил эту тему, но они не подойдут для решения этой задачи?

"Взаимодействие между VLAN"
Отправлено silencer , 07-Окт-05 13:50

>Как по мне, один ACL на интерфейс - это не так уж
>и сложно...
>Создается стандартный АСL (с № от 1 до 100):
>(например, нужно запретить доступ к сети 192.168.2.0/24 из сети 192.168.1.0/24):
>access-list 1 deny 192.168.1.0 255.255.255.0
>access-list 1 permit any
>и вешается на интерфейс, сморящий в сеть 192.168.2.0/24 со значением in:
>ip access-group 1 in
>
>Аналогично делается на втором интерфейсе.
Если из каждого влана нужно открывать доступ только в влан с серверами, тогда проще так:
access-list 101 permit ip any <сеть с серверами>
access-list 101 deny ip any any log (эту строчку можно и не писать)

"Взаимодействие между VLAN"
Отправлено Totem , 05-Окт-05 17:28

>Дык это ты представь писать для каждого влана отдельный ACL... тогда конфиг
>будет в Mb исчисляться...
Это для сетей масштаба солнечной системы.

"Взаимодействие между VLAN"
Отправлено Nailer , 07-Окт-05 14:07

>Уважаемые, подскажите как осуществить следующую схему:
>Имеется один влан с серверами и несколько вланов с клиентскими машинами. Как
>сделать так, чтобы каждый из клиентских вланов мог взаимодействовать только с
>вланом серверов, но не могли взаимодействовать между собой.

Оборудование-то у вас какое? ;-)

"Взаимодействие между VLAN"
Отправлено XRay , 07-Окт-05 14:34

>>Уважаемые, подскажите как осуществить следующую схему:
>>Имеется один влан с серверами и несколько вланов с клиентскими машинами. Как
>>сделать так, чтобы каждый из клиентских вланов мог взаимодействовать только с
>>вланом серверов, но не могли взаимодействовать между собой.
>
>
>Оборудование-то у вас какое? ;-)
Catalyst 3750 EMI
Написал ACL`s :
C3750_4_1#show ip access-lists 5
Standard IP access list 5
    1 deny   192.168.100.0, wildcard bits 0.0.0.255
    2 deny   172.16.0.0, wildcard bits 0.0.255.255
    3 deny   192.168.42.0, wildcard bits 0.0.0.255
    4 deny   192.168.210.0, wildcard bits 0.0.0.255
    5 deny   192.168.212.0, wildcard bits 0.0.0.255
    6 deny   192.168.213.0, wildcard bits 0.0.0.255
    7 deny   192.168.214.0, wildcard bits 0.0.0.255
    50 permit any (1308 matches)
C3750_4_1#
Интерфейс :
C3750_4_1#sh ru int vl 15
Building configuration...
Current configuration : 103 bytes
!
interface Vlan15
description 117
ip address 192.168.215.1 255.255.255.0
ip access-group 5 in
end
C3750_4_1#
Проверяю :
root@ms# nmap -sP 192.168.100.1-254
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-10-07 15:03 UTC
Host 192.168.100.8 appears to be up.
Host 192.168.100.9 appears to be up.
Host 192.168.100.11 appears to be up.
Host 192.168.100.15 appears to be up.
Host 192.168.100.16 appears to be up.
Host 192.168.100.18 appears to be up.
Host 192.168.100.19 appears to be up.
Host 192.168.100.24 appears to be up.
Host 192.168.100.100 appears to be up.
Host 192.168.100.254 appears to be up.
Nmap finished: 254 IP addresses (10 hosts up) scanned in 2.302 seconds
root@ms#
В чем прикол непонятно....

"Взаимодействие между VLAN"
Отправлено Nailer , 07-Окт-05 14:42

>>>Уважаемые, подскажите как осуществить следующую схему:
>>>Имеется один влан с серверами и несколько вланов с клиентскими машинами. Как
>>>сделать так, чтобы каждый из клиентских вланов мог взаимодействовать только с
>>>вланом серверов, но не могли взаимодействовать между собой.
>>
>>
>>Оборудование-то у вас какое? ;-)
>
>Catalyst 3750 EMI
>
>Написал ACL`s :
>
>C3750_4_1#show ip access-lists 5
>Standard IP access list 5
>    1 deny   192.168.100.0, wildcard bits 0.0.0.255
>
>    2 deny   172.16.0.0, wildcard bits 0.0.255.255
>
>    3 deny   192.168.42.0, wildcard bits 0.0.0.255
>
>    4 deny   192.168.210.0, wildcard bits 0.0.0.255
>
>    5 deny   192.168.212.0, wildcard bits 0.0.0.255
>
>    6 deny   192.168.213.0, wildcard bits 0.0.0.255
>
>    7 deny   192.168.214.0, wildcard bits 0.0.0.255
>
>    50 permit any (1308 matches)
>C3750_4_1#
>
>Интерфейс :
>
>C3750_4_1#sh ru int vl 15
>Building configuration...
>
>Current configuration : 103 bytes
>!
>interface Vlan15
> description 117
> ip address 192.168.215.1 255.255.255.0
> ip access-group 5 in
>end
>
>C3750_4_1#
>
>Проверяю :
>
>root@ms# nmap -sP 192.168.100.1-254
>
>Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-10-07 15:03 UTC
>Host 192.168.100.8 appears to be up.
>Host 192.168.100.9 appears to be up.
>Host 192.168.100.11 appears to be up.
>Host 192.168.100.15 appears to be up.
>Host 192.168.100.16 appears to be up.
>Host 192.168.100.18 appears to be up.
>Host 192.168.100.19 appears to be up.
>Host 192.168.100.24 appears to be up.
>Host 192.168.100.100 appears to be up.
>Host 192.168.100.254 appears to be up.
>Nmap finished: 254 IP addresses (10 hosts up) scanned in 2.302 seconds
>
>root@ms#
>
>В чем прикол непонятно....
Посмотрие описание Private Vlan

"Взаимодействие между VLAN"
Отправлено XRay , 07-Окт-05 14:50

>Посмотрие описание Private Vlan
Уже смотел.... но мне он не подходит, т.к. в сети несколько железок...