форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
Сообщение от Максимка (??) on 09-Июн-11, 13:31
Собственно имеем сабж 3750 Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(44)SE, RELEASE SOFTWARE (fc1) System image file is "flash:/c3750-advipservicesk9-mz.122-44.SE.bin" пытаюсь сделать на нем изоляцию портов по след схеме: ISP -> порт1 Каталиста -> порт2 Каталиста - > ротутер -> порт 7 Каталиста -> остальные порты для локальных клиентов Порты с 1 по 3 хочу использовать как 1 - вход от провайдера, 2 - выход на роутер, 3 - зеркалирование трафика для анализа также есть резервный провайдер - под него порты 4-6 использовать в дальнейшем, по аналогичной схеме. Настаивал по циско.ком http://www.cisco.com/en/US/docs/switches/metro/catalyst3750m... вот мой конфиг: version 12.2 service nagle no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime service timestamps log datetime localtime no service password-encryption service sequence-numbers no service dhcp ! hostname Catalist3750 ! boot-start-marker boot-end-marker ! logging buffered 262144 logging rate-limit 10 except warnings enable secret 5 ********* enable password ********* ! username admin password 0 ********* aaa new-model ! ! aaa authentication login default local aaa authentication login local_authen local aaa authentication ppp default local aaa authorization exec local_author local aaa authorization network default if-authenticated ! ! aaa session-id common clock timezone UFA 5 switch 1 provision ws-c3750g-24t system mtu routing 1500 vtp mode transparent ip subnet-zero ip icmp rate-limit unreachable 1000 ip icmp rate-limit unreachable DF 1000 ip domain-list steel-prom.ru ip domain-list google.ru ip domain-name Catalyst ip name-server 192.168.1.1 ! spanning-tree mode pvst spanning-tree portfast bpdufilter default no spanning-tree optimize bpdu transmission spanning-tree extend system-id ! vlan internal allocation policy ascending ! vlan 20    private-vlan primary    private-vlan association 501 ! vlan 100   name local    private-vlan isolated ! vlan 501   name ISP_1    private-vlan isolated ! ip tcp selective-ack ip tcp timestamp ! interface GigabitEthernet1/0/1   description ###  IN ISP_1  ###   switchport private-vlan host-association 20 501   switchport mode private-vlan host ! interface GigabitEthernet1/0/2   description ###  OUT ISP_1  ###   switchport private-vlan host-association 20 501   switchport mode private-vlan host ! interface GigabitEthernet1/0/3   description ###  Zerkalo for ISP_1 ###   switchport private-vlan host-association 20 501   switchport mode private-vlan host ! interface GigabitEthernet1/0/4 ! interface GigabitEthernet1/0/5 ! interface GigabitEthernet1/0/6 ! interface GigabitEthernet1/0/7 ! interface GigabitEthernet1/0/8 ! interface GigabitEthernet1/0/9 ! interface GigabitEthernet1/0/10 ! interface GigabitEthernet1/0/11 ! interface GigabitEthernet1/0/12 ! interface GigabitEthernet1/0/13 ! interface GigabitEthernet1/0/14 ! interface GigabitEthernet1/0/15 ! interface GigabitEthernet1/0/16 ! interface GigabitEthernet1/0/17 ! interface GigabitEthernet1/0/18 ! interface GigabitEthernet1/0/19 ! interface GigabitEthernet1/0/20 ! interface GigabitEthernet1/0/21 ! interface GigabitEthernet1/0/22 ! interface GigabitEthernet1/0/23 ! interface GigabitEthernet1/0/24   switchport mode private-vlan host ! interface Vlan1   description ### management interface ###   ip address 192.168.1.3 255.255.255.0   no ip redirects   no ip proxy-arp   no ip route-cache   no ip mroute-cache ! interface Vlan20   no ip address   private-vlan mapping 501 ! ip default-gateway 192.168.1.1 ip classless no ip http server ip http secure-server ! ! ! control-plane ! ! line con 0   exec-timeout 60 0   login authentication local_authen   transport output telnet line vty 0 4   exec-timeout 60 0   privilege level 15   password 123456   authorization exec local_author   login authentication local_authen   transport input telnet line vty 5 15   privilege level 15   password 123456   authorization exec local_author   login authentication local_authen   transport input ssh ! ntp clock-period 36029056 ntp max-associations 1 ntp server 192.168.1.1 ntp server 192.168.1.1 version 2 source Vlan1 end Сейчас получилось изолировать порты 1, 2, 3, от всех остальных, но трафик между ними не гуляет, т.е. они сами от себя тоже изолированные. хотя: В чем ошибка, не могу понять #show vlan private-vlan Primary Secondary Type              Ports ------- --------- ----------------- ------------------------------------------ 20      501       isolated          Gi1/0/1, Gi1/0/2, Gi1/0/3          100       isolated
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
Сообщение от sm00th1980 (ok) on 09-Июн-11, 21:50
вы меня извините но изоляция портов она как бы к вашей задаче мало имеет применение. Всё что вам нужно это использовать обычные виланы без изоляции. И просто каждого ISP засунуть в свой access-port и транков уже их вынуть на роутере. Задействете всего 3 порта + 1 порт отведёте по зеркалирование. Итого 4 порта. И будет у вас трафик отделён друг от друга. А зеркалирование придумано для того что трафик между разными физическими портами в одном и том же вилан не гулял через catalyst а шёл через роутер - где бы вы могли на него накладывать свои политики.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от Максимка (??) on 10-Июн-11, 06:05
	> вы меня извините но изоляция портов она как бы к вашей задаче > мало имеет применение. > Всё что вам нужно это использовать обычные виланы без изоляции. И просто > каждого ISP засунуть в свой access-port и транков уже их вынуть > на роутере. > Задействете всего 3 порта > + 1 порт отведёте по зеркалирование. > Итого 4 порта. И будет у вас трафик отделён друг от друга. хм.. а можно чуток подробнее... а то уже голову сломал как сделать(((
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от Максимка (??) on 10-Июн-11, 06:46
	>> Задействете всего 3 порта >> + 1 порт отведёте по зеркалирование. >> Итого 4 порта. И будет у вас трафик отделён друг от друга. на роутере уже настроено резервирование интернет канала автоматически, т.е. в любом случае с каталиста нужно подать два транка.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от sm00th1980 (ok) on 10-Июн-11, 14:31
	как-то так мне видится пусть: vlan 100 - ISP1 vlan 200 - ISP2 interface GigabitEthernet0/1 description -= ISP1(сюда втыкать ISP1) =- switchport access vlan 100 switchport mode access ! interface GigabitEthernet0/2 description -= ISP2(сюда втыкать ISP2) =- switchport access vlan 200 switchport mode access ! interface GigabitEthernet0/3 description -= ASBR_1(сюда втыкать пограничный роутер - первый интерфейс) =- switchport trunk encapsulation dot1q switchport trunk allowed 100,200 switchport mode trunk ! interface GigabitEthernet0/4 description -= ASBR_2(сюда втыкать пограничный роутер - второй интерфей) =- switchport trunk encapsulation dot1q switchport trunk allowed 100,200 switchport mode trunk ! interface GigabitEthernet0/5 description -= SORM interface =- no shutdown ! monitor session 1 source interface Gi0/1 , Gi0/2 monitor session 1 destination interface Gi0/5
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от Максимка (??) on 10-Июн-11, 14:46
	> пусть: > vlan 100 - ISP1 > vlan 200 - ISP2 немного хотел уточнить по ВЛАНам: их делать  private-vlan isolated или private-vlan community
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от sm00th1980 (ok) on 10-Июн-11, 15:03
	>> пусть: >> vlan 100 - ISP1 >> vlan 200 - ISP2 > немного хотел уточнить по ВЛАНам: > их делать  private-vlan isolated или private-vlan community нет ни private ни изоляцию делать не нужно для них наоборот. Как раз самые обычные виланы должны быть.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от Максимка (??) on 10-Июн-11, 17:10
	> нет ни private ни изоляцию делать не нужно для них наоборот. Как > раз самые обычные виланы должны быть. ой.. заработало, черт, а я именно из за изоляции и т.п. столько бился... все отлично, хотя в консоль Нативе ругается.. не пойму из за чего, вот мой шоу ран выдержка: vlan 100,200 ! ip tcp selective-ack ip tcp timestamp ! ! ! interface GigabitEthernet1/0/1 description -= ISP1(S@DA WTYKATX ISP1) =- switchport access vlan 100 switchport mode access ! interface GigabitEthernet1/0/2 description -= ISP2(S@DA WTYKATX ISP2) =- switchport access vlan 200 switchport mode access ! interface GigabitEthernet1/0/3 description -= ASBR_1(S@DA WTYKATX POGRANI^NYJ ROUTER - PERWYJ INTERFEJS) =- switchport access vlan 100 switchport mode access ! interface GigabitEthernet1/0/4 description -= ASBR_2(S@DA WTYKATX POGRANI^NYJ ROUTER - WTOROJ INTERFEJ) =- switchport access vlan 200 switchport mode access ! interface GigabitEthernet1/0/5 description -= SORM interface =- ! и вот что в консоль валится: 000452: *Mar  1 12:52:56: мP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/0/13 (1), with Catalist3750.Catalyst GigabitEthernet1/0/3 (100). 000453: *Mar  1 12:53:19: мP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/0/3 (100), with Catalist3750.Catalyst GigabitEthernet1/0/13 (1). 000454: *Mar  1 12:53:56: мP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/0/13 (1), with Catalist3750.Catalyst GigabitEthernet1/0/3 (100). 000455: *Mar  1 12:54:19: мP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/0/3 (100), with Catalist3750.Catalyst GigabitEthernet1/0/13 (1). 000456: *Mar  1 12:54:56: мP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/0/13 (1), with Catalist3750.Catalyst GigabitEthernet1/0/3 (100). 000457: *Mar  1 12:55:19: мP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on GigabitEthernet1/0/3 (100), with Catalist3750.Catalyst GigabitEthernet1/0/13 (1).
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от Максимка (??) on 10-Июн-11, 17:25
	а все отбой... я просто делал проверку и пустил пинги через свою сеть т.е. порт 1 - в свитч (не каталист, но в той же сети влан1), порт 2 в комп, порт 13 в свитч, видимо пакеты прибегали на 13 и свитча. вообщем супер! все работает. Единственное, вроде настроил маршрутизатор как мастер обновления времени, а каталист, на то, чтоб обнавлялся с нее, и время чет не синхронизовалось. вот на каталисте: ntp clock-period 36029056 ntp max-associations 1 ntp server 192.168.1.1 ntp server 192.168.1.1 version 2 source Vlan1 на маршрутизаторе: ntp master 1 ntp update-calendar ntp server 130.149.17.21 ntp server 194.87.0.20 ntp server 193.124.22.65 ntp server 194.87.0.28
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от sm00th1980 (ok) on 10-Июн-11, 17:26
	это короче у вас native vlan на двух железках не совпадают. В принципе особо ничего страшного и так будет работать. Но если хотите помучаться - то можно почитать тут: https://www.opennet.ru/openforum/vsluhforumID6/12674.html
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от Максимка (??) on 10-Июн-11, 17:37
	> вы меня извините но изоляция портов она как бы к вашей задаче > мало имеет применение. > Всё что вам нужно это использовать обычные виланы без изоляции. И просто > каждого ISP засунуть в свой access-port и транков уже их вынуть > на роутере. а то что роутер настроен на переход на резервного провайдера автоматом, если падает первый провайдер и обратно переходит на основного, как тот появится... при переходе на транк, менять настройки нужно на маршрутизаторе глобально? вот шоу ран маршрутизатора, на избыточность провайдера: track 1 rtr 1 reachability ! track 2 rtr 2 reachability ! interface FastEthernet0/1 description ###WAN### ip address х,х,х,х 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map my_ip_sec ! interface FastEthernet0/0/0 description ###WAN_REZERV###$ES_LAN$ ip address у,у,у,у 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 шлюз_1 track 1 ip route 0.0.0.0 0.0.0.0 щлюз_2 15 track 2 ip nat inside source route-map MY_NAT interface FastEthernet0/1 overload ip nat inside source route-map MY_NAT_2 interface FastEthernet0/0/0 overload ip sla responder ip sla key-chain ipsla ip sla 1 icmp-echo шлюз_1 source-interface FastEthernet0/1 timeout 2000 threshold 2 frequency 3 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo шлюз_2 source-interface FastEthernet0/0/0 timeout 2000 threshold 2 frequency 3 ip sla schedule 2 life forever start-time now access-list 110 permit ip 192.168.1.0 0.0.0.255 any ! route-map MY_NAT permit 1 match ip address 110 match interface FastEthernet0/1 ! route-map MY_NAT_2 permit 1 match ip address 110 101 match interface FastEthernet0/0/0 !
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	11. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от sm00th1980 (ok) on 10-Июн-11, 18:01
	ну транк нужен если тока нужно сэкономить число портов на роутере - которых обычно не много... но если переходить на транк - то на каталисте останется 1 порт с виланами в сторону роутера а на роутере на одном из его физических интерфейсов надо поднять 2 подинтерфейса и настроить уже на них wan-адреса и rtr
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Конфигурация изолированных частных VLAN на Catalyst 3750"	+/–
	Сообщение от Максимка (??) on 10-Июн-11, 18:16
	> ну транк нужен если тока нужно сэкономить число портов на роутере - > которых обычно не много... > но если переходить на транк - то на каталисте останется 1 порт > с виланами в сторону роутера > а на роутере на одном из его физических интерфейсов надо поднять 2 > подинтерфейса и настроить уже на них wan-адреса и rtr хм... черт, а мы купили специально карточку под второго провайдера... тогда оставляем как есть, не будем на транк переходить. осталось разобраться с временем
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема