Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.80/25: Рейтинг темы: голосов - 25, средняя оценка - 4.80
Axe67
0 / 0 / 0
Регистрация: 04.12.2014
Сообщений: 12
1

Cisco Packet Tracer создание сети с DHCP, VLAN и ACL

02.12.2015, 20:04. Просмотров 4636. Ответов 7
Метки нет (Все метки)

Необходимо спроектировать небольшую сеть с 3 подсетями и DNS-сервером.
Изначально имеется сеть 10.13.13.0/24. Я разделил её на подсети и создал VLAN'ы.
VLAN 100 c DNS-сервером, VLAN 200 и VLAN 300 - две аудитории с компьютерами.
Собственно вопросы
1)Я сконфигурировал VLAN'ы но пинг не доходит до роутера, соединенного со свитчем, не знаю в чем проблема.
2)Так же интересно где лучше сконфигурировать DHCP на свитче или роутере, и каким образом назначить пулы под каждый влан. Пока что задал статичные адреса компьютерам.
3) Как задать ACL чтобы можно было подключаться из VLAN 100 с сервером к другим VLAN.

Начальная конфигурация на скрине.
Безымянный.jpg
3.rar
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
02.12.2015, 20:04
Ответы с готовыми решениями:

Voice vlan+vtp+dhcp cisco packet tracer
Компьютеры не получают dhcp автоматический не смотря на создание dhcp poola также постоянно выдает...

VLAN на базе двух коммутаторов, настройка DHCP (Cisco Packet Tracer)
Добрый день. Нужна помощь по настройке, а точнее найти ошибку в настройке. Мною выполняется...

Создание сети (в Cisco Packet Tracer)
люди помогите создать сеть

Стандартный ACL Cisco Packet Tracer 7.1
Здравствуйте! Столкнулся со странной проблемой при изучении ACL на cisco : В теории адреса...

Расширенные ACL (в cisco packet tracer)
Добрый день! Буду признательна, если укажете на ошибки (файл в архиве) Не уверена, что правильно...

7
insect_87
Эксперт по компьютерным сетям
5529 / 4317 / 941
Регистрация: 25.12.2012
Сообщений: 18,330
02.12.2015, 20:37 2
Лучший ответ Сообщение было отмечено Axe67 как решение

Решение

2) я бы сервер отдельный поставил и использовал ip helper-address
3) чтобы накатать acl, надо четко задачу поставить - кому куда можно, кому нельзя
если acl нет - по умолчанию всем все разрешено
*) межвиланную маршрутизацию я бы сделал на 3560
1) на gi0/1 на свитче инкапсуляцию не указал и транк не выставил
Switch(config)#int gi0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
PS у dns-сервера нет адреса
1
Axe67
0 / 0 / 0
Регистрация: 04.12.2014
Сообщений: 12
02.12.2015, 20:59  [ТС] 3
Спасибо, серверу не назначил адрес так как остановился на компьютерах, уже исправил. Поставил транк, но после чего стали пинговаться все устройства во всех вланах. Так и должно быть?
Перечитал задание, DHCP-сервером должен быть роутер, доступ к управлению свитчем и портом должен осуществляться по протоколу SSH и только из VLAN100 (для чего как я понял и нужен ACL), компьютеры должны иметь доступ к сервисам сервера.
0
insect_87
Эксперт по компьютерным сетям
5529 / 4317 / 941
Регистрация: 25.12.2012
Сообщений: 18,330
02.12.2015, 21:23 4
Лучший ответ Сообщение было отмечено Axe67 как решение

Решение

Цитата Сообщение от Axe67 Посмотреть сообщение
Так и должно быть?
да, чтобы кто-то кого-то не видел при твоей схеме, надо access-list'ы повесить
Цитата Сообщение от Axe67 Посмотреть сообщение
компьютеры должны иметь доступ к сервисам сервера.
они и сейчас имеют, а компы из разных vlan должны видеть друг друга?
Цитата Сообщение от Axe67 Посмотреть сообщение
доступ к управлению свитчем
Цитата Сообщение от Axe67 Посмотреть сообщение
и только из VLAN100
а адрес managment свитча в каком vlan будет?
вообще надо полностью четко решить кому куда можно, кому нет
Цитата Сообщение от Axe67 Посмотреть сообщение
DHCP-сервером должен быть роутер
да ради бога
http://habrahabr.ru/post/87920/
два пула делай, серверам статику обычно дают
ну или три пула, адреса серверов в dhcp excluded-address, остальные в сотом влане будут получать адреса по dhcp
lнастраивай сначала dhcp, чтобы выдавал адрес, шлюз и dns в подсети и четко скажи куда кому разрешено, какой влан будет для управления оборудованием (int vlan Х), после этого можно прикинуть по acl
по acl вот почитать что можно http://habrahabr.ru/post/147996/ первая часть статьи
1
02.12.2015, 21:23
Axe67
0 / 0 / 0
Регистрация: 04.12.2014
Сообщений: 12
02.12.2015, 22:31  [ТС] 5
настроил 2 пула на подсети dhcp таким образом
Router(config)#ip dhcp pool CLASS1
Router(dhcp-config)#network 10.13.13.32 255.255.255.240
Router(dhcp-config)#default-router 10.13.13.50
Router(dhcp-config)#dns-server 10.13.13.19
Router(dhcp-config)#ex
Router(config)#ip dhcp pool CLASS2
Router(dhcp-config)#network 10.13.13.48 255.255.255.240
Router(dhcp-config)#default-router 10.13.13.50
Router(dhcp-config)#dns-server 10.13.13.19
Все работает.
Ну и про ACL. По заданию:
"Доступ к управлению свитчем и роутером должен осуществляться только по протоколу SSH и только из сети с сервером (там по сути должен подключаться терминал). В любом классе должен быть доступ к сервисам сервера. Трафик между классами должен быть запрещен."
С ACL плохо знаком, максимум запрещал адреса смежных сетей или хостов в протоколе OSPF.
0
insect_87
Эксперт по компьютерным сетям
5529 / 4317 / 941
Регистрация: 25.12.2012
Сообщений: 18,330
02.12.2015, 23:14 6
Лучший ответ Сообщение было отмечено Axe67 как решение

Решение

Цитата Сообщение от Axe67 Посмотреть сообщение
Трафик между классами должен быть запрещен.
вот один подскажу
Router(config)#access-list 101 deny ip 10.13.13.32 0.0.0.15 10.13.13.48 0.0.0.15
Router(config)#access-list 101 permit ip any any
Router(config)#access-list 102 deny ip 10.13.13.48 0.0.0.15 10.13.13.32 0.0.0.15
Router(config)#access-list 102 permit ip any any
Router(config-subif)#int fa0/1.2
Router(config-subif)#ip access-group 101 in
Router(config-subif)#int fa0/1.3
Router(config-subif)#ip access-group 102 in
теперь друг друга не видят, сервера видят
насчет управления пробуй сам, потом посмотрим на компоновку
Цитата Сообщение от Axe67 Посмотреть сообщение
С ACL плохо знаком
по ссылке читал?
что не получится подскажу

Добавлено через 4 минуты
во-первых реши в каком влане у тебя будут адреса для менеджмента
потом реши, правило для какого протокола написать? (может на какой конкретный порт?)
и в конце концов как разрешить управление только из сети с сервером, куда повесить правило?
1
Axe67
0 / 0 / 0
Регистрация: 04.12.2014
Сообщений: 12
03.12.2015, 14:28  [ТС] 7
Все разграничил, писал правила для udp на 53 порт (dns), но что-то не получилось. Работу приняли так) В понедельник в армию, с вашей помощью сдал экзамены досрочно, огромное спасибо
Тему можно считать закрытой.
0
insect_87
Эксперт по компьютерным сетям
5529 / 4317 / 941
Регистрация: 25.12.2012
Сообщений: 18,330
03.12.2015, 19:51 8
давай! удачи отслужить
0
03.12.2015, 19:51
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
03.12.2015, 19:51

Cisco Packet Tracer. ACL на свичах
Здравствуйте. Помогите понять как применить ACL на свиче в проге. Создавать ACL свич WS-C2950-24...

Создание сети типа RIP в Cisco Packet Tracer
Помогите пожалуйста. Сеть построил, а не соеденить всё до конца. МБ я что-то не так прописываю?...

Cisco packet tracer vlan
Вопрос довольно глупый, но все же. Может ли один и тот же компьютер быть в 2 vlan?


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.