Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.79/14: Рейтинг темы: голосов - 14, средняя оценка - 4.79
Discount
2 / 2 / 0
Регистрация: 03.06.2014
Сообщений: 54
1

Cisco настройка VLAN

02.04.2015, 14:34. Просмотров 2880. Ответов 24
Метки нет (Все метки)

Router 3900
Switch SW1 - 2960, SW2 - 2950
Не получается настроить VLAN, т.е. вланы то настроены, но пакеты свободно перемещаются между ними (например можно залезть в расшаренную папку), как запретить доступ между вланами? ведь как я понимаю VLAN для этого и создан, чтобы ограничить доступ между подсетями.

Конфигурация следующая:

Код
Router: имеем два подинтерфейса с разными вланами 130 и 330

interface GigabitEthernet0/1.130
 description test1
 encapsulation dot1Q 130
 ip address 10.50.50.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface GigabitEthernet0/1.330
 description test2
 encapsulation dot1Q 330
 ip address 10.50.0.1 255.255.254.0
 ip nat inside
 ip virtual-reassembly in


SW1:

interface GigabitEthernet1/0/22  - подключается к Router
 description 3900_gi0/1
 switchport trunk allowed vlan 130,330
 switchport mode trunk
 spanning-tree bpdufilter enable

interface GigabitEthernet1/0/5  - подключается к SW2 к порту 1
switchport mode trunk
spanning-tree bpdufilter enable

SW2:

interface FastEthernet0/1   -  подключается к SW1 в порт 5
 switchport trunk allowed vlan 130,330
 switchport mode trunk
!
interface FastEthernet0/2 - компьютер
 switchport access vlan 130
 switchport mode access
!
interface FastEthernet0/3 - компьютер
 switchport access vlan 330
 switchport mode access
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
02.04.2015, 14:34
Ответы с готовыми решениями:

Настройка VLAN на Cisco 2811
Недавно решил объединить всю организацию в одну сеть чтобы был общий доступ в инет(оптоволокно),...

VLAN на базе двух коммутаторов, настройка DHCP (Cisco Packet Tracer)
Добрый день. Нужна помощь по настройке, а точнее найти ошибку в настройке. Мною выполняется...

Cisco sg500-28 и Cisco sf500-48 не проходит vlan
Есть cisco sg500-28 и cisco sf500-48. Также есть IP телевидение которое приходит от провайдера...

VLAN на коммутаторах CISCO (в Cisco Packet Tracer)
Здравствуйте! Имелась схема (во вложении): три коммутатора и три маршрутизатора соединялись...

Cisco SF500 vlan's
ребята, привет. в F1 есть 3 управляемых коммутатора sf 500 в стеке. в F2 коммутатор в отдельном...

24
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
02.04.2015, 16:52 2
ну списками доступа рубите
0
W_Jim
122 / 122 / 17
Регистрация: 21.11.2013
Сообщений: 523
02.04.2015, 23:59 3
Цитата Сообщение от Discount Посмотреть сообщение
ведь как я понимаю VLAN для этого и создан, чтобы ограничить доступ между подсетями.
не совсем правильно понимаете...
0
Иван19902012
58 / 58 / 9
Регистрация: 24.10.2012
Сообщений: 1,176
03.04.2015, 05:48 4
ну так ходить и будет, у Вас же интер влан, объединение на роутере
0
03.04.2015, 05:48
Discount
2 / 2 / 0
Регистрация: 03.06.2014
Сообщений: 54
03.04.2015, 09:42  [ТС] 5
Цитата Сообщение от Иван19902012 Посмотреть сообщение
ну так ходить и будет, у Вас же интер влан, объединение на роутере
Можете поподробней? Я не совсем понимаю что Вы имеете ввиду. Спасибо
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
03.04.2015, 10:14 6
у вас включена маршрутизация между вланами на роутере, сами вланы ограничивают доступ между сетями только на втором уровне, в вашем случае ограничивать доступ необходимо с помощью списков доступа
0
Discount
2 / 2 / 0
Регистрация: 03.06.2014
Сообщений: 54
03.04.2015, 12:04  [ТС] 7
Цитата Сообщение от corlovito Посмотреть сообщение
у вас включена маршрутизация между вланами на роутере, сами вланы ограничивают доступ между сетями только на втором уровне, в вашем случае ограничивать доступ необходимо с помощью списков доступа
Спасибо. Я пока только осваиваю этот процесс.
Данный ACL надо прописать на SW1 ?
Код
ip access-list extended test
permit ip 10.50.50.0 0.0.0.255 10.50.50.0 0.0.0.255
permit ip 10.50.0.0 0.0.0.255 10.50.0.0 0.0.0.255
exit
и повесить его на интерфейс SW1?
Код
int GigabitEthernet1/0/5
ip access-group test in
???
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
03.04.2015, 12:11 8
нет список доступа нужно на Router 3900 настраивать
0
Иван19902012
58 / 58 / 9
Регистрация: 24.10.2012
Сообщений: 1,176
03.04.2015, 12:41 9
на роутере создаем acl запрещающий ходить по подсетям внутри и разрешаем все остальное, привязываем эти acl к подинтерфейсам, радуемся)

Кликните здесь для просмотра всего текста
interface GigabitEthernet0/0.2
encapsulation dot1Q 2
ip address 192.168.50.1 255.255.255.0
ip access-group no_vlan in
!
interface GigabitEthernet0/0.3
encapsulation dot1Q 3
ip address 192.168.100.1 255.255.255.0
ip access-group no_vlan in
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
!
ip access-list extended no_vlan
deny ip 192.168.50.0 0.0.0.255 192.168.100.0 0.0.0.255
permit ip any any
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
03.04.2015, 12:55 10
Цитата Сообщение от Иван19902012 Посмотреть сообщение
interface GigabitEthernet0/0.2
encapsulation dot1Q 2
ip address 192.168.50.1 255.255.255.0
ip access-group no_vlan in
а какой смысл в том чтобы сюда повешать этот список доступа ?
0
Иван19902012
58 / 58 / 9
Регистрация: 24.10.2012
Сообщений: 1,176
03.04.2015, 12:57 11
а куда ты его хочешь повешать? на основной интерфейс?
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
03.04.2015, 13:00 12
Цитата Сообщение от Иван19902012 Посмотреть сообщение
а куда ты его хочешь повешать? на основной интерфейс?
вопрос не в этом в каком случае на интерфейсе GigabitEthernet0/0.2 в направлении IN будет трафик с source из 192.168.50.0 сетки ?, вообщем этот список бесполезен на этом интерфейсе, на этом направлении вот что я хочу сказать
0
Иван19902012
58 / 58 / 9
Регистрация: 24.10.2012
Сообщений: 1,176
03.04.2015, 13:02 13
ну сказал, молодец
0
corlovito
03.04.2015, 13:07
  #14

Не по теме:

Цитата Сообщение от Иван19902012 Посмотреть сообщение
ну сказал, молодец
чем ехидничать думай лучше что людям советуешь

0
Иван19902012
58 / 58 / 9
Регистрация: 24.10.2012
Сообщений: 1,176
03.04.2015, 13:12 15
ну все ладно ладно, умный ты
0
Discount
2 / 2 / 0
Регистрация: 03.06.2014
Сообщений: 54
03.04.2015, 13:16  [ТС] 16
Цитата Сообщение от Иван19902012 Посмотреть сообщение
на роутере создаем acl запрещающий ходить по подсетям внутри и разрешаем все остальное, привязываем эти acl к подинтерфейсам, радуемся)
Правильно?
interface GigabitEthernet0/1.130
description test1
encapsulation dot1Q 130
ip address 10.50.50.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip access-group test in
!
interface GigabitEthernet0/1.330
description test2
encapsulation dot1Q 330
ip address 10.50.0.1 255.255.254.0
ip nat inside
ip virtual-reassembly in
ip access-group test in

ip access-list extended test
deny ip 10.50.0.0 0.0.0.255 10.50.50.0 0.0.0.255
permit ip any any
0
Иван19902012
58 / 58 / 9
Регистрация: 24.10.2012
Сообщений: 1,176
03.04.2015, 13:21 17
deny ip 10.50.0.0 0.0.1.255 10.50.50.0 0.0.0.255
permit any any

Добавлено через 53 секунды
обратная маска должна соответствовать необратной 255.255.254.0=0.0.1.255
0
Discount
2 / 2 / 0
Регистрация: 03.06.2014
Сообщений: 54
03.04.2015, 13:59  [ТС] 18
Цитата Сообщение от Иван19902012 Посмотреть сообщение
deny ip 10.50.0.0 0.0.1.255 10.50.50.0 0.0.0.255
permit any any
Добавлено через 53 секунды
обратная маска должна соответствовать необратной 255.255.254.0=0.0.1.255
А. это я ошибся с 254...там 255...ну хорошо. спасибо. буду пробовать)

Добавлено через 36 минут
Цитата Сообщение от corlovito Посмотреть сообщение
нет список доступа нужно на Router 3900 настраивать
ещё вопрос? А если ACL повесить не на интерфейс роутера, а на VLAN, как показано в этой статье http://litl-admin.ru/cisco/zadacha-2-rulim-vlan-y.html
Код
Switch(config)#int vlan 130
Switch(config-if)#ip access-group test in
0
corlovito
456 / 437 / 75
Регистрация: 26.12.2012
Сообщений: 2,880
03.04.2015, 14:21 19
Цитата Сообщение от Discount Посмотреть сообщение
как показано в этой статье
в той статье свичи третьего уровня используются...вообщем разный дизайн там и у вас
0
Jabbson
Эксперт по компьютерным сетям
3462 / 2505 / 776
Регистрация: 03.11.2009
Сообщений: 7,940
Записей в блоге: 3
04.04.2015, 11:37 20
Цитата Сообщение от corlovito Посмотреть сообщение
Цитата Сообщение от Иван19902012 Посмотреть сообщение
interface GigabitEthernet0/0.2
encapsulation dot1Q 2
ip address 192.168.50.1 255.255.255.0
ip access-group no_vlan in
!
ip access-list extended no_vlan
deny ip 192.168.50.0 0.0.0.255 192.168.100.0 0.0.0.255
permit ip any any
а какой смысл в том чтобы сюда повешать этот список доступа ?
А почему нет?
0
04.04.2015, 11:37
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
04.04.2015, 11:37

Cisco 2921 vlan
Добрый день! Имеется cisco 2921 с одним hwic-2fe. Не могу создать vlan в режиме глобального...

VLAN на router cisco
Добрый день! Помогите настроить vlan и bgp на router cisco. Схема такая :...

Работа с VLAN. Cisco PT
Добрый день! Схема подключения Router(2811)-fa0/0 ---- fa0/1 Switch(2960) --- 6 клиентов....


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.