Cisco Packet Trace - Маршрутизация на Коммутаторах

@SENDEJER · Регистрация: 22.05.2013

Author24 — интернет-сервис помощи студентам

есть 2 коммутатора 2 уровня Циско 2960 - 24 портовый, на коммутаторах создано 2 сети, разделены 2 сети с помощью Vlan. В каждом коммутаторе по 2 пк из одной сети и по одному из другой. нужно настроить обмен данными - между этими 2 сетями 1 ПК из сети (ПК67). используя только эти 2 коммутатора 2 уровня. как это сделать??? перечитал многое. пишу что через native vlan, trunk .помогите пожалуйста разобраться.
на портах настроен транк и прописана передача вланов. но как сделать, что бы

@xeonz · 03.11.2016, 12:58

Порт, куда подключен ПК67 в транк. Но еще придется повоевать с самим компом. Потому что сетевую карту нужно тоже в транковый режим переводить (либо делать это каким то сторонним софтом). Со стороны компа по сути одна физическая сетевая карта разобъется на несколько виртуальных, по кол-ву твоих вланов.

@Konev · 03.11.2016, 15:34

SENDEJER, не умеют компьютеры работать с TAGGED!
Если не установлена сетевая карта с поддержкой 802.1q
Возьмите у преподавателя комментарий по этому вопросу, попросите рассказать, как SWITCH способен осуществлять ROUTING меж двух широковещательных доменов.

@xeonz · 03.11.2016, 15:39

Сообщение от Konev

Если не установлена сетевая карта с поддержкой 802.1q

По скольку это зачастую реализовано на уровне драйверов, то зачастую умеют.

@SENDEJER · 03.11.2016, 16:31 **[ТС]**

Сообщение от Konev

Возьмите у преподавателя комментарий по этому вопросу, попросите рассказать, как SWITCH способен осуществлять ROUTING меж двух широковещательных доменов.

спрашивал, сказал мол, нужно поиграться с вланами и на этом все

@insect_87 · 04.11.2016, 10:30

SENDEJER, а вы преподу задайте вопрос: как заставить видеть компьютеры, расположенные в разных локальных сетях, без роутера

@xeonz · 04.11.2016, 10:44

Сообщение от SENDEJER

не изменяя физическую структуру сети (то есть ничего не добавляя : коммутаторов 3 уровня ни роутеров) сделать так, что бы один комп ПК67 был доступен (пинговался) как сети с 1 вланом так и другим (то есть, что бы данный пк принимал пакеты и отправлял)

Вообще странная постановка задачи. Смысл вланов как раз в разделении доступа на L2. То есть просто по определению такого доступа быть не должно. У вас нет устройства третьего уровня в схеме, то есть некому передавать пакеты между вланами. Не изменяя физическую структуру сети есть только два метода, как можно заставить ПК67 обмениваться пакетами с другими вланами - перевести линк между ним и свитчом в транк, что позволит ему получать пакеты всех вланов, либо сделать его порт как assymitric vlan, что кроме d-link железок вроде больше никто не делает (и правильно). Вот прям возьмите эти фразы и выскажите их преподу. Что он на это скажет?

@Korax · 04.11.2016, 21:02

Кабы между Switch1 и Switch2 можно было положить еще пару линков (это же не маршрутизаторы

)...
Тогда можно было бы реализовать через довольно грязный и некорректный трюк

...

@SENDEJER · 04.11.2016, 21:56 **[ТС]**

Сообщение от insect_87

как заставить видеть компьютеры, расположенные в разных локальных сетях, без роуте

спрашивал, говорит мол через аксесс лист

Добавлено через 39 секунд

Сообщение от xeonz

Вот прям возьмите эти фразы и выскажите их преподу.

говорил) сказал мол делали) сделай) вот такая ирония

@xeonz · 05.11.2016, 08:27

Сообщение от SENDEJER

спрашивал, говорит мол через аксесс лист

Access-list служит для блокировок трафика и в некоторых случаях для его "маркировки" (условно говоря), чтобы далее с ним что то сделать (странслировать, отправить дальше через PBR, применить QoS, но это опять таки функции 3го уровня). Сам аксес-лист не обладает свойством действия на трафик.

В общем если препод не валит, а реально знает какой то способ, то этот способ явно не из области реального применения, а какой то хитрозамороченный не документированный, и использовать такие методы в обучении по мне так показатель синдрома вахтера у препода.

@SENDEJER · 05.11.2016, 12:46 **[ТС]**

Сообщение от xeonz

Access-list служит для блокировок трафика и в некоторых случаях дл

да, согласен, а как работать с аксесс листом, подскажи?

@xeonz · 05.11.2016, 18:43

Я не использовал access-list на устройствах второго уровня. Но гугл говорит что также как на L3 устройствах, то есть:

Кликните здесь для просмотра всего текста

switch2(config)#ip access-list standard 1
switch2(config-std-nacl)#deny host 192.168.202.77
switch2(config-std-nacl)#permit any
switch2(config-std-nacl)#exit
switch2(config)#int gi0/25
switch2(config-if)#ip access-group 1 in
switch2(config-if)#end

@SENDEJER · 05.11.2016, 19:47 **[ТС]**

Сообщение от xeonz

Я не использовал access-list на устройствах второго уровня. Но гугл говорит что также как на L3 устройствах, то ест

если правильно понял, это на запрет ?

@xeonz · 05.11.2016, 23:57

Да, запрет для адреса 192.168.202.77.

@SENDEJER · 06.11.2016, 02:04 **[ТС]**

Сообщение от xeonz

Да, запрет для адреса 192.168.202.77.

только запретить можно? а что будет если разрешить? а через аксес лист ничего нельзя тут сделать?

@xeonz · 06.11.2016, 10:06

Для разрешить меняешь местами слова deny и permit. Но в любом случае аксес лист может только уменьшить прохождение трафика. То есть если без него трафик куда то не идет, то аксеслист не заставит его куда то идти. Исключения есть только на L3 устройствах, см ниже.

Добавлено через 5 минут

Сообщение от SENDEJER

а через аксес лист ничего нельзя тут сделать?

Если речь про твою задачу, то на мой взгляд нет. Как я уже говорил ранее, аксес лист у cisco применяется для:
1. Фильтрации трафика (то есть может только запретить часть трафика от полного).
2. "Маркировки" внутри роутера для последующего применения модификаторов/политик типа PBR или QoS (но это все на L3 устройствах).

@SENDEJER · 06.11.2016, 15:40 **[ТС]**

Сообщение от xeonz

Для разрешить меняешь местами слова deny и permit. Но в любом случае аксес лист может только уменьшить прохождение трафика. То есть если без него трафик куда то не идет, то аксеслист не заставит его куда то идти. Исключения есть только на L3 устройствах, см ниже.
Добавлено через 5 минут
Сообщение от SENDEJER
а через аксес лист ничего нельзя тут сделать?
Если речь про твою задачу, то на мой взгляд нет. Как я уже говорил ранее, аксес лист у cisco применяется для:
1. Фильтрации трафика (то есть может только запретить часть трафика от полного).
2. "Маркировки" внутри роутера для последующего применения модификаторов/политик типа PBR или QoS (но это все на L3 устройствах).

большое спасибо

@xeonz 862 / 332 / 43 Регистрация: 16.05.2014 Сообщений: 2,591
	04.11.2016, 10:44	26
	Сообщение от SENDEJER не изменяя физическую структуру сети (то есть ничего не добавляя : коммутаторов 3 уровня ни роутеров) сделать так, что бы один комп ПК67 был доступен (пинговался) как сети с 1 вланом так и другим (то есть, что бы данный пк принимал пакеты и отправлял) Вообще странная постановка задачи. Смысл вланов как раз в разделении доступа на L2. То есть просто по определению такого доступа быть не должно. У вас нет устройства третьего уровня в схеме, то есть некому передавать пакеты между вланами. Не изменяя физическую структуру сети есть только два метода, как можно заставить ПК67 обмениваться пакетами с другими вланами - перевести линк между ним и свитчом в транк, что позволит ему получать пакеты всех вланов, либо сделать его порт как assymitric vlan, что кроме d-link железок вроде больше никто не делает (и правильно). Вот прям возьмите эти фразы и выскажите их преподу. Что он на это скажет? 0

@SENDEJER 15 / 14 / 4 Регистрация: 22.05.2013 Сообщений: 524
	04.11.2016, 21:56 [ТС]	28
	Сообщение от insect_87 как заставить видеть компьютеры, расположенные в разных локальных сетях, без роуте спрашивал, говорит мол через аксесс лист Добавлено через 39 секунд Сообщение от xeonz Вот прям возьмите эти фразы и выскажите их преподу. говорил) сказал мол делали) сделай) вот такая ирония 0

@SENDEJER 15 / 14 / 4 Регистрация: 22.05.2013 Сообщений: 524
	05.11.2016, 19:47 [ТС]	32
	Сообщение от xeonz Я не использовал access-list на устройствах второго уровня. Но гугл говорит что также как на L3 устройствах, то ест если правильно понял, это на запрет ? 0

@xeonz 862 / 332 / 43 Регистрация: 16.05.2014 Сообщений: 2,591
	05.11.2016, 23:57	33
	Да, запрет для адреса 192.168.202.77. 1

@xeonz 862 / 332 / 43 Регистрация: 16.05.2014 Сообщений: 2,591
	06.11.2016, 10:06	35
	Для разрешить меняешь местами слова deny и permit. Но в любом случае аксес лист может только уменьшить прохождение трафика. То есть если без него трафик куда то не идет, то аксеслист не заставит его куда то идти. Исключения есть только на L3 устройствах, см ниже. Добавлено через 5 минут Сообщение от SENDEJER а через аксес лист ничего нельзя тут сделать? Если речь про твою задачу, то на мой взгляд нет. Как я уже говорил ранее, аксес лист у cisco применяется для: 1. Фильтрации трафика (то есть может только запретить часть трафика от полного). 2. "Маркировки" внутри роутера для последующего применения модификаторов/политик типа PBR или QoS (но это все на L3 устройствах). 1

@xeonz 862 / 332 / 43 Регистрация: 16.05.2014 Сообщений: 2,591
	03.11.2016, 12:58	21
	Порт, куда подключен ПК67 в транк. Но еще придется повоевать с самим компом. Потому что сетевую карту нужно тоже в транковый режим переводить (либо делать это каким то сторонним софтом). Со стороны компа по сути одна физическая сетевая карта разобъется на несколько виртуальных, по кол-ву твоих вланов. 0

@Konev [Удалено] 98 / 94 / 12 Регистрация: 12.02.2013 Сообщений: 718
	03.11.2016, 15:34	22
	SENDEJER, не умеют компьютеры работать с TAGGED! Если не установлена сетевая карта с поддержкой 802.1q Возьмите у преподавателя комментарий по этому вопросу, попросите рассказать, как SWITCH способен осуществлять ROUTING меж двух широковещательных доменов. 0

@xeonz 862 / 332 / 43 Регистрация: 16.05.2014 Сообщений: 2,591
	03.11.2016, 15:39	23
	Сообщение от Konev Если не установлена сетевая карта с поддержкой 802.1q По скольку это зачастую реализовано на уровне драйверов, то зачастую умеют. 0

@SENDEJER 15 / 14 / 4 Регистрация: 22.05.2013 Сообщений: 524
	03.11.2016, 16:31 [ТС]	24
	Сообщение от Konev Возьмите у преподавателя комментарий по этому вопросу, попросите рассказать, как SWITCH способен осуществлять ROUTING меж двух широковещательных доменов. спрашивал, сказал мол, нужно поиграться с вланами и на этом все 0

@insect_87 Модератор 11424 / 6993 / 1901 Регистрация: 25.12.2012 Сообщений: 29,398
	04.11.2016, 10:30	25
	SENDEJER, а вы преподу задайте вопрос: как заставить видеть компьютеры, расположенные в разных локальных сетях, без роутера 0

@Korax 860 / 433 / 128 Регистрация: 20.04.2014 Сообщений: 1,117
	04.11.2016, 21:02	27
	Кабы между Switch1 и Switch2 можно было положить еще пару линков (это же не маршрутизаторы )... Тогда можно было бы реализовать через довольно грязный и некорректный трюк ... 0

@xeonz 862 / 332 / 43 Регистрация: 16.05.2014 Сообщений: 2,591
	05.11.2016, 08:27	29
	Сообщение от SENDEJER спрашивал, говорит мол через аксесс лист Access-list служит для блокировок трафика и в некоторых случаях для его "маркировки" (условно говоря), чтобы далее с ним что то сделать (странслировать, отправить дальше через PBR, применить QoS, но это опять таки функции 3го уровня). Сам аксес-лист не обладает свойством действия на трафик. В общем если препод не валит, а реально знает какой то способ, то этот способ явно не из области реального применения, а какой то хитрозамороченный не документированный, и использовать такие методы в обучении по мне так показатель синдрома вахтера у препода. 0

@SENDEJER 15 / 14 / 4 Регистрация: 22.05.2013 Сообщений: 524
	05.11.2016, 12:46 [ТС]	30
	Сообщение от xeonz Access-list служит для блокировок трафика и в некоторых случаях дл да, согласен, а как работать с аксесс листом, подскажи? 0

@xeonz 862 / 332 / 43 Регистрация: 16.05.2014 Сообщений: 2,591
	05.11.2016, 18:43	31
	Я не использовал access-list на устройствах второго уровня. Но гугл говорит что также как на L3 устройствах, то есть: Кликните здесь для просмотра всего текста switch2(config)#ip access-list standard 1 switch2(config-std-nacl)#deny host 192.168.202.77 switch2(config-std-nacl)#permit any switch2(config-std-nacl)#exit switch2(config)#int gi0/25 switch2(config-if)#ip access-group 1 in switch2(config-if)#end 1

@SENDEJER 15 / 14 / 4 Регистрация: 22.05.2013 Сообщений: 524
	06.11.2016, 02:04 [ТС]	34
	Сообщение от xeonz Да, запрет для адреса 192.168.202.77. только запретить можно? а что будет если разрешить? а через аксес лист ничего нельзя тут сделать? 0

	06.11.2016, 15:40

@SENDEJER 15 / 14 / 4 Регистрация: 22.05.2013 Сообщений: 524
	06.11.2016, 15:40 [ТС]	36
	Сообщение от xeonz Для разрешить меняешь местами слова deny и permit. Но в любом случае аксес лист может только уменьшить прохождение трафика. То есть если без него трафик куда то не идет, то аксеслист не заставит его куда то идти. Исключения есть только на L3 устройствах, см ниже. Добавлено через 5 минут Сообщение от SENDEJER а через аксес лист ничего нельзя тут сделать? Если речь про твою задачу, то на мой взгляд нет. Как я уже говорил ранее, аксес лист у cisco применяется для: 1. Фильтрации трафика (то есть может только запретить часть трафика от полного). 2. "Маркировки" внутри роутера для последующего применения модификаторов/политик типа PBR или QoS (но это все на L3 устройствах). большое спасибо 0