Cisco Packet Tracer - VLAN с доступом к серверу

@MournfulRaven · Регистрация: 29.10.2014

Помогите, пожалуйста, додумать ̶л̶а̶б̶у̶ сеть

По заданию нужно организовать 3 виртуальные сети на основе портов одного коммутатора. С этим я справился, но мне захотелось попробовать реализовать доступ из каждого vlan к серверу, при чём компьютеры каждого vlan могут общаться с сервером, а с другими vlan - нет (логично, просто, понятно).
Только в процессе "разработки", после настройки коммутатора и маршика столкнулся с тем, что теперь у меня все друг друга видят и радостно машут ручками

Логично, что теперь все обращаются к маршику и он их радостно перенаправляет, куда нужно. Если обрубить оптику к маршику (которая, к слову, trunk), vlan снова начинает работать.

Карту сети прикладываю, по ней всё должно быть понятно.

Буду рад любой помощи, т.к. в программе еще новичок, а гугл такие сложные запросы с трудом обрабатывает.

Cisco Packet Tracer - VLAN с доступом к серверу

@MournfulRaven · 04.02.2018, 23:36 **[ТС]**

Чтобы проще было, прикрепляю файлик

lw04.7z

@insect_87 · 05.02.2018, 10:27

оптику в транке верни, на роутере настрой ACL и повесь их на интерфейсы

Код

conf t
access-list 102 permit ip 192.168.2.0 0.0.0.255 host 192.168.5.10
access-list 103 permit ip 192.168.3.0 0.0.0.255 host 192.168.5.10
access-list 104 permit ip 192.168.4.0 0.0.0.255 host 192.168.5.10
interface GigabitEthernet0/0.2
ip access-group 102 in
interface GigabitEthernet0/0.3
ip access-group 103 in
interface GigabitEthernet0/0.4
ip access-group 104 in

@MournfulRaven · 05.02.2018, 17:51 **[ТС]**

Спасибо большое!

Единственное, что я не до конца понимаю логику команд. У меня изначально получается, что все хосты имели доступ к серверу и к друг другу.
1) Каким образом ACL запретила обращение хостов между собой? То есть я понимаю, что на вход были поставлены правила на разрешение трафика от подсетей к серверу, а остальной трафик блокируется, так что ли?

2) В таком случае, если мне нужно, гипотетически, через маршрутизатор свзязать две подсети, находящиеся в одной VLAN (если сделать копию хостов и коммутатора), нужно прописывать те же правила на маршике, только для адресации в другие подсети?

3) Не теряется ли при этом смысл от настройки VLAN на портах свитча? Достаточно будет просто раскинуть разные "отделы" в разные подсети и прописать правила через маршик

Может, я слишком заморачиваюсь, просто интересно в этом как можно подробнее разобраться.

@MournfulRaven · 05.02.2018, 21:42 **[ТС]**

Аналогичным образом реализовал одну ветку, спасибо ещё раз.

Скажите, на практике такая сеть имеет право на существование или "сейчас так не делают"?)

@insect_87 · 06.02.2018, 07:48

Сообщение от MournfulRaven

1) Каким образом ACL запретила обращение хостов между собой? То есть я понимаю, что на вход были поставлены правила на разрешение трафика от подсетей к серверу, а остальной трафик блокируется, так что ли?

последним всегда негласно у cisco добавляется правило deny ip any any

Сообщение от MournfulRaven

2) В таком случае, если мне нужно, гипотетически, через маршрутизатор свзязать две подсети, находящиеся в одной VLAN (если сделать копию хостов и коммутатора), нужно прописывать те же правила на маршике, только для адресации в другие подсети?

не понял вопрос, в одном vlan - это по коммутации, в одном vlan маршрутизация не нужна

Сообщение от MournfulRaven

3) Не теряется ли при этом смысл от настройки VLAN на портах свитча? Достаточно будет просто раскинуть разные "отделы" в разные подсети и прописать правила через маршик

vlan можно прокинуть на коммутаторы в разные отделы, думаю понятно, о чем я

Сообщение от MournfulRaven

Аналогичным образом реализовал одну ветку, спасибо ещё раз.

почему же, делают, только в качестве ядра (там, где происходит маршрутизация подсетей) ставят обычно не роутер, а L3 свитч

@MournfulRaven · 06.02.2018, 08:18 **[ТС]**

Всё понятно, благодарю

@pyatanov · 19.04.2018, 17:51

Сообщение от insect_87

Сообщение от MournfulRaven

3) Не теряется ли при этом смысл от настройки VLAN на портах свитча? Достаточно будет просто раскинуть разные "отделы" в разные подсети и прописать правила через маршик

vlan можно прокинуть на коммутаторы в разные отделы, думаю понятно, о чем я

Кроме того без VLAN:
-не получится раздавать адреса при помощи DHCP сервера
-можно получить доступ к компьютерам из другой сети установив соответствующий IP

@MournfulRaven 0 / 0 / 0 Регистрация: 29.10.2014 Сообщений: 16
		1
	Cisco Packet Tracer - VLAN с доступом к серверу 04.02.2018, 21:49. Просмотров 1271. Ответов 7 Метки acl, cisco packet tracer, vlan, сервер (Все метки) Помогите, пожалуйста, додумать ̶л̶а̶б̶у̶ сеть По заданию нужно организовать 3 виртуальные сети на основе портов одного коммутатора. С этим я справился, но мне захотелось попробовать реализовать доступ из каждого vlan к серверу, при чём компьютеры каждого vlan могут общаться с сервером, а с другими vlan - нет (логично, просто, понятно). Только в процессе "разработки", после настройки коммутатора и маршика столкнулся с тем, что теперь у меня все друг друга видят и радостно машут ручками Логично, что теперь все обращаются к маршику и он их радостно перенаправляет, куда нужно. Если обрубить оптику к маршику (которая, к слову, trunk), vlan снова начинает работать. Карту сети прикладываю, по ней всё должно быть понятно. Буду рад любой помощи, т.к. в программе еще новичок, а гугл такие сложные запросы с трудом обрабатывает. 0

@MournfulRaven 0 / 0 / 0 Регистрация: 29.10.2014 Сообщений: 16
	04.02.2018, 23:36 [ТС]	2
	Чтобы проще было, прикрепляю файлик lw04.7z 0

@insect_87 Модератор 4843 / 3926 / 803 Регистрация: 25.12.2012 Сообщений: 16,687
	05.02.2018, 10:27	3
	Сообщение было отмечено MournfulRaven как решение Решение оптику в транке верни, на роутере настрой ACL и повесь их на интерфейсы Код conf t access-list 102 permit ip 192.168.2.0 0.0.0.255 host 192.168.5.10 access-list 103 permit ip 192.168.3.0 0.0.0.255 host 192.168.5.10 access-list 104 permit ip 192.168.4.0 0.0.0.255 host 192.168.5.10 interface GigabitEthernet0/0.2 ip access-group 102 in interface GigabitEthernet0/0.3 ip access-group 103 in interface GigabitEthernet0/0.4 ip access-group 104 in 1

@MournfulRaven 0 / 0 / 0 Регистрация: 29.10.2014 Сообщений: 16
	05.02.2018, 17:51 [ТС]	4
	Спасибо большое! Единственное, что я не до конца понимаю логику команд. У меня изначально получается, что все хосты имели доступ к серверу и к друг другу. 1) Каким образом ACL запретила обращение хостов между собой? То есть я понимаю, что на вход были поставлены правила на разрешение трафика от подсетей к серверу, а остальной трафик блокируется, так что ли? 2) В таком случае, если мне нужно, гипотетически, через маршрутизатор свзязать две подсети, находящиеся в одной VLAN (если сделать копию хостов и коммутатора), нужно прописывать те же правила на маршике, только для адресации в другие подсети? 3) Не теряется ли при этом смысл от настройки VLAN на портах свитча? Достаточно будет просто раскинуть разные "отделы" в разные подсети и прописать правила через маршик Может, я слишком заморачиваюсь, просто интересно в этом как можно подробнее разобраться. 0

@insect_87 Модератор 4843 / 3926 / 803 Регистрация: 25.12.2012 Сообщений: 16,687
	06.02.2018, 07:48	6
	Сообщение от MournfulRaven 1) Каким образом ACL запретила обращение хостов между собой? То есть я понимаю, что на вход были поставлены правила на разрешение трафика от подсетей к серверу, а остальной трафик блокируется, так что ли? последним всегда негласно у cisco добавляется правило deny ip any any Сообщение от MournfulRaven 2) В таком случае, если мне нужно, гипотетически, через маршрутизатор свзязать две подсети, находящиеся в одной VLAN (если сделать копию хостов и коммутатора), нужно прописывать те же правила на маршике, только для адресации в другие подсети? не понял вопрос, в одном vlan - это по коммутации, в одном vlan маршрутизация не нужна Сообщение от MournfulRaven 3) Не теряется ли при этом смысл от настройки VLAN на портах свитча? Достаточно будет просто раскинуть разные "отделы" в разные подсети и прописать правила через маршик vlan можно прокинуть на коммутаторы в разные отделы, думаю понятно, о чем я Сообщение от MournfulRaven Аналогичным образом реализовал одну ветку, спасибо ещё раз. почему же, делают, только в качестве ядра (там, где происходит маршрутизация подсетей) ставят обычно не роутер, а L3 свитч 0

@MournfulRaven 0 / 0 / 0 Регистрация: 29.10.2014 Сообщений: 16
	06.02.2018, 08:18 [ТС]	7
	Всё понятно, благодарю 0

@pyatanov 0 / 0 / 0 Регистрация: 03.03.2017 Сообщений: 1
	19.04.2018, 17:51	8
	Сообщение от insect_87 Сообщение от MournfulRaven 3) Не теряется ли при этом смысл от настройки VLAN на портах свитча? Достаточно будет просто раскинуть разные "отделы" в разные подсети и прописать правила через маршик vlan можно прокинуть на коммутаторы в разные отделы, думаю понятно, о чем я Кроме того без VLAN: -не получится раздавать адреса при помощи DHCP сервера -можно получить доступ к компьютерам из другой сети установив соответствующий IP 0

Опции темы

Cisco Packet Tracer - VLAN с доступом к серверу

Решение