- Зачем Маршрутизацию между сетями сложно сделать Или разнесли по VLAN, но остави,
 Andrey (??), 09:01 , 15-Май-19 (1)> другими словами они будут в том же влан что и видеонаблдение,Зачем? Маршрутизацию между сетями сложно сделать?
Или разнесли по VLAN, но оставили одинаковые подсети?
- нет подсети тоже разные хочется просто как-то все это дело упорядочить и разгра, Gunsfeel (ok), 12:02 , 15-Май-19 (2)
>> другими словами они будут в том же влан что и видеонаблдение,
> Зачем? Маршрутизацию между сетями сложно сделать?
> Или разнесли по VLAN, но оставили одинаковые подсети?нет подсети тоже разные. хочется просто как-то все это дело упорядочить и разграничить. на данный момент есть вторая подсеть и видеонаблюдение там и сидит но все в одном влане. также на данный момент и сервера и пользователи и принтеры в одной сети а их компов только 200.
- Можно и так - порт на маршрутизаторе загнать в транк и сделать субинтерфейсы, но, Pofigist (?), 15:04 , 15-Май-19 (3)
> я понял надо на маршрутизаторе прописать сабинтерфейс и создать acl на
> маршрутизаторе. ребята если правильно мыслю подскажите в ту хоть сторону?Можно и так - порт на маршрутизаторе загнать в транк и сделать субинтерфейсы, но как показала практика - возможны неожиданные нюансы... и повышенная нагрузка на маршрутизатор. Лучше сделать так - 4506 это L3 switch, то есть на нем надо поднять RIP/EIGRP/OSPF и начать анонсить подсети, которые назначены VLAN, а на маршрутизаторе - надо принимать эти анонсы. И все заработает. OSPF правда в твоем случае мягко говоря избыточен.
Разграничение доступа по подсетям - man ZBFW, acl в такой роли - плохо, они немного для другого предназначены. Но в принципе - сойдет если правил немного.
Не забудь поднять на всех коммутаторах vtp или если они поддерживают - GVRP/MVRP. Ну и проверь настройки STP... На всякий случай - возможны нюансы с неприятными сюрпризами при переходе от плоской сети к сети с VLAN.
- gt оверквотинг удален ПЛЯЯЯ сколько много новых слов могу скинуть конф, Gunsfeel (ok), 15:53 , 15-Май-19 (4)
>[оверквотинг удален]
> надо поднять RIP/EIGRP/OSPF и начать анонсить подсети, которые назначены VLAN, а
> на маршрутизаторе - надо принимать эти анонсы. И все заработает. OSPF
> правда в твоем случае мягко говоря избыточен.
> Разграничение доступа по подсетям - man ZBFW, acl в такой роли -
> плохо, они немного для другого предназначены. Но в принципе - сойдет
> если правил немного.
> Не забудь поднять на всех коммутаторах vtp или если они поддерживают -
> GVRP/MVRP.
> Ну и проверь настройки STP... На всякий случай - возможны нюансы с
> неприятными сюрпризами при переходе от плоской сети к сети с VLAN. ПЛЯЯЯ....сколько много новых слов)))) могу скинуть конфиг маршрутизатора, L3 коммутатора и L2 коммутатора для наглядности. как по мне так там чет не совсем все верно мне кажется
- Ну давай попробуем На пастебин наверно все же лучше, а ссылки - сюда, Pofigist (?), 16:19 , 15-Май-19 (5)
> ПЛЯЯЯ....сколько много новых слов)))) могу скинуть конфиг маршрутизатора, L3 коммутатора
> и L2 коммутатора для наглядности. как по мне так там чет
> не совсем все верно мне кажется Ну давай попробуем. На пастебин наверно все же лучше, а ссылки - сюда
- 2 халявных создалhttps pastebin com aWKZvQTA это L3 4506https pastebin com M, Gunsfeel (ok), 16:52 , 15-Май-19 (6)
>> ПЛЯЯЯ....сколько много новых слов)))) могу скинуть конфиг маршрутизатора, L3 коммутатора
>> и L2 коммутатора для наглядности. как по мне так там чет
>> не совсем все верно мне кажется
> Ну давай попробуем. На пастебин наверно все же лучше, а ссылки -
> сюда 2 халявных создал https://pastebin.com/aWKZvQTA это L3 4506 https://pastebin.com/MTUbb5gM это маршрутизатор 2821 ну а ниже l2 cisco 2960 switch-reserv#show conf
Using 2896 out of 65536 bytes
!
! Last configuration change at 00:31:35 UTC Mon Mar 1 1993
!
version 15.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname switch-reserv
!
boot-start-marker
boot-end-marker
!
enable secret !
no aaa new-model
system mtu routing 1500
!
!
!
!
crypto pki trustpoint TP-self-signed-3804068992
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3804068992
revocation-check none
rsakeypair TP-self-signed-3804068992
!
!
crypto pki certificate chain TP-self-signed-3804068992
certificate self-signed 01 nvram:IOS-Self-Sig#3.cer
!
!
!
no errdisable detect cause loopback
no errdisable detect cause gbic-invalid
no errdisable detect cause sfp-config-mismatch
no errdisable detect cause pagp-flap
no errdisable detect cause dtp-flap
no errdisable detect cause link-flap
no errdisable detect cause dhcp-rate-limit
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
!
!
interface FastEthernet0/1
switchport mode access
!
interface FastEthernet0/2
switchport mode access
!
interface FastEthernet0/3
switchport mode access
!
interface FastEthernet0/4
switchport mode access
!
interface FastEthernet0/5
switchport mode access
!
interface FastEthernet0/6
switchport mode access
!
interface FastEthernet0/7
switchport mode access
!
interface FastEthernet0/8
switchport mode access
!
interface FastEthernet0/9
switchport mode access
!
interface FastEthernet0/10
switchport mode access
!
interface FastEthernet0/11
switchport mode access
!
interface FastEthernet0/12
switchport mode access
!
interface FastEthernet0/13
switchport mode access
!
interface FastEthernet0/14
switchport mode access
!
interface FastEthernet0/15
switchport mode access
!
interface FastEthernet0/16
switchport mode access
!
interface FastEthernet0/17
switchport mode access
!
interface FastEthernet0/18
switchport mode access
!
interface FastEthernet0/19
switchport mode access
!
interface FastEthernet0/20
switchport mode access
!
interface FastEthernet0/21
switchport mode access
!
interface FastEthernet0/22
switchport mode access
!
interface FastEthernet0/23
switchport mode access
!
interface FastEthernet0/24
switchport mode access
!
interface GigabitEthernet0/1
switchport access vlan 2
switchport trunk native vlan 2
switchport mode trunk
!
interface GigabitEthernet0/2
switchport access vlan 2
switchport trunk native vlan 2
switchport mode trunk
!
interface Vlan1
no ip address
no ip route-cache
!
interface Vlan2
ip address 192.168.10.201 255.255.255.0
no ip route-cache
!
interface Vlan100
no ip address
!
ip default-gateway 192.168.10.1
ip http server
no ip http secure-server
logging esm config
!
line con 0
line vty 0 4
line vty 5 15
!
end
- Они у тебя приватные - сделай пабликом , Pofigist (?), 17:50 , 15-Май-19 (7)
- ок поправиил, Gunsfeel (ok), 05:55 , 16-Май-19 (8)
- хотя у меня есть еще один маршрутизатор могу его впринципе использовать, Gunsfeel (ok), 08:23 , 16-Май-19 (9)
- А смысл Роутинг включается на L3-коммутаторах командой ip routingПосмотреть марш, Pofigist (?), 00:27 , 20-Май-19 (11)
> хотя у меня есть еще один маршрутизатор. могу его впринципе использовать А смысл? Роутинг включается на L3-коммутаторах командой ip routing
Посмотреть маршруты можно командой sh ip route
Простейшая настройка rip выглядит так, для eigrp кстати аналогично:
router rip
version 2
network 169.254.0.0
network 172.30.0.0
network 192.168.1.0
!
Ну тут сетки, которые я аноншу со своего L3-коммутатора, не забываем про автосуммирование маршрутов!
реальный расклад выглядит так:
sw-01#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR Gateway of last resort is 172.30.1.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 172.30.1.1
172.30.0.0/16 is variably subnetted, 8 subnets, 2 masks
C 172.30.1.0/24 is directly connected, Vlan1
L 172.30.1.2/32 is directly connected, Vlan1
C 172.30.10.0/24 is directly connected, Vlan10
L 172.30.10.1/32 is directly connected, Vlan10
C 172.30.20.0/24 is directly connected, Vlan20
L 172.30.20.1/32 is directly connected, Vlan20
C 172.30.60.0/24 is directly connected, Vlan60
L 172.30.60.1/32 is directly connected, Vlan60
Видим что сетки 172.30.1.0/24, 172.30.10.0/24 и далее просуммировались и анонсятся единой сетью /16. На маршрутизаторе:
router rip
version 2
network 172.30.0.0
network 192.168.1.0
gw-01#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override Gateway of last resort is 46.188.30.1 to network 0.0.0.0 S* 0.0.0.0/0 [254/0] via 46.188.30.1
46.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 46.xxx.xxx.xxx/24 is directly connected, GigabitEthernet0/0
L 46.xxx.xxx.xxx/32 is directly connected, GigabitEthernet0/0
172.30.0.0/16 is variably subnetted, 5 subnets, 2 masks
C 172.30.1.0/24 is directly connected, GigabitEthernet0/1
L 172.30.1.1/32 is directly connected, GigabitEthernet0/1
R 172.30.10.0/24 [120/1] via 172.30.1.2, 00:00:09, GigabitEthernet0/1
R 172.30.20.0/24 [120/1] via 172.30.1.2, 00:00:09, GigabitEthernet0/1
R 172.30.60.0/24 [120/1] via 172.30.1.2, 00:00:09, GigabitEthernet0/1 Ну соответственно стоит наверное еще показать настройки интерфейсов... или все понятно? Настройки VTP неплохо описано здесь - http://xgu.ru/wiki/VTP
Оно нужно чтоб коммутаторы обменивались информацией о VLAN и на каждом коммутаторе не приходилось создавать нужные VLAN ручками. Сначала настрой VTP, потом роутинг и после этого - растаскивай подсетки по VLAN
- gt оверквотинг удален спасибо почитаю , Gunsfeel (ok), 06:21 , 20-Май-19 (12)
>[оверквотинг удален]
> R 172.30.20.0/24 [120/1] via 172.30.1.2,
> 00:00:09, GigabitEthernet0/1
> R 172.30.60.0/24 [120/1] via 172.30.1.2,
> 00:00:09, GigabitEthernet0/1
> Ну соответственно стоит наверное еще показать настройки интерфейсов... или все понятно?
> Настройки VTP неплохо описано здесь - http://xgu.ru/wiki/VTP
> Оно нужно чтоб коммутаторы обменивались информацией о VLAN и на каждом коммутаторе
> не приходилось создавать нужные VLAN ручками.
> Сначала настрой VTP, потом роутинг и после этого - растаскивай подсетки по
> VLAN спасибо почитаю))
- Как я понял ты хочешь растащить по разным VLAN вот это безобразие interface Vlan, Pofigist (?), 00:11 , 20-Май-19 (10)
Как я понял ты хочешь растащить по разным VLAN вот это безобразие?
interface Vlan1
ip address 192.168.0.4 255.255.255.0 secondary
ip address 192.168.1.1 255.255.255.0 secondary
ip address 192.168.22.1 255.255.255.0 secondary
ip address 82.135.194.114 255.255.255.240 secondary
ip address 192.168.188.1 255.255.255.0 secondary
ip address 192.168.0.5 255.255.255.0
- это у меня 0 4 резервный шлюз1 1 какая то подсеть хз никогда не использовалась22, Gunsfeel (ok), 06:30 , 20-Май-19 (13)
> Как я понял ты хочешь растащить по разным VLAN вот это безобразие?
> interface Vlan1
> ip address 192.168.0.4 255.255.255.0 secondary
> ip address 192.168.1.1 255.255.255.0 secondary
> ip address 192.168.22.1 255.255.255.0 secondary
> ip address 82.135.194.114 255.255.255.240 secondary
> ip address 192.168.188.1 255.255.255.0 secondary
> ip address 192.168.0.5 255.255.255.0 это у меня
0.4 резервный шлюз 1.1 какая то подсеть хз никогда не использовалась
22.1 сетевое оборудование
194.114 внешний ip
188.1 вторая подсеть рабочая
0.5 - шлюз на данный момент все сидят на сетке 0.0 к 188.1 подключены принтеры, камеры ip, видеорегистраторы, и другое сетевое.
помимо того что нулевая сеть подходит к концу так уже скоро и 188 закончится, все сидит в все равно в одном.
- Ох как все запущено Для начала - сетка 192 168 1 0 24 скорей всего заводилась , Pofigist (?), 11:39 , 20-Май-19 (14)
Ох как все запущено...Для начала - сетка 192.168.1.0/24 скорей всего заводилась потому что многие китайские мыльницы находятся в ней по умолчанию и при этом - не имеют консольного порта для управления. То есть - чисто чтоб удобней их было настраивать. Ну а для начала тебе надо сделать IP & VLAN Plan. То есть взять Exel и в нем сделать табличку, где описываешь все VLAN, назначенные им сети и ее предназначение. Могу скинуть типовую "рыбу", которая с минимальными переделками подходит для практически любой небольшой конторы.
- вот это уже похоже на что то я в конторе недавно работаю а оборудование в та, Gunsfeel (ok), 14:40 , 20-Май-19 (15)
> Ох как все запущено...
> Для начала - сетка 192.168.1.0/24 скорей всего заводилась потому что многие китайские
> мыльницы находятся в ней по умолчанию и при этом - не
> имеют консольного порта для управления. То есть - чисто чтоб удобней
> их было настраивать.
> Ну а для начала тебе надо сделать IP & VLAN Plan. То
> есть взять Exel и в нем сделать табличку, где описываешь все
> VLAN, назначенные им сети и ее предназначение. Могу скинуть типовую "рыбу",
> которая с минимальными переделками подходит для практически любой небольшой конторы.вот это уже похоже на что то )) я в конторе недавно работаю. а оборудование в таком режиме 15 лет.
переодически приходится перезагружать все что есть. еще минус в том что ядро сети одно и маршрутизатор один. на кажды мой эксперимент приходится перезагружаться и соответсвенно пропадает сеть
- Ну давай - VLAN 1 резервируем и не используем Далее назначаем VLAN-ы с шагом 10, Pofigist (?), 21:38 , 20-Май-19 (16)
Ну давай - VLAN 1 резервируем и не используем. Далее назначаем VLAN-ы с шагом 10 - так на всякий случай, мало ли что добавить придется...
Сразу скажу - хороший вариант по разделению "одно подразделение - один vlan" я не рассматриваю, он хорош с точки зрения СБ, но слегка гимороен для ИТ и писать много придется :)
И еще - считаем что стоят нормальные коммутаторы, которые понимают что номер VLAN может достигать 4к, а не 256 мах. как у дешевых китайцев...
VLAN 10 - administrative vlan, в него пихаем все управляющие интерфейсы сетевого железа, IPMI, управляющие интерфейсы кластерных нод и т.д. Обычному юзеру тут делать нефига.
VLAN 20 - servers vlan, сюда пихаем интерфейсы серверов, на которых предоставляются сервисы пользователям, почта, файлопомойка и т.д. Обычно от некие VM. Сразу замечу - правильным подходом будет когда у VM два интерфейса - управляющий (VLAN 10) и пользовательский (VLAN 20). На первый можно зайти по ssh/rdp/vnc и т.д., но нет никаких пользовательских сервисов, на втором - наоборот.
VLAN 30 - printers vlan, здесь живут принтера если их много и пихать их в "серверный" VLAN - нецелесообразно. В отдельный VLAN пихать их целесообразно в том числе по соображениям контроля за печатью - чтоб печатали только через принт-сервер, который этот контроль осуществляет.
VLAN 40 - iSCSI vlan. Сюда пихаем iSCSI, через который обычно идет обмен между нодами кластера и СХД. Ну врятли вы используете FC...
VLAN 50 - CCTV vlan. Создается в том случае, если у вас используется видеонаблюдение с IP-камерами. ой, вот уж что надо пихать в отдельную сеть это камеры - и безам нравится, и способны загадить любую сеть...
VLAN 60 - СКУД vlan. СКУД-ы и прочее безобразие безов, если их контроллеры используют IP. Ибо их оборудование - имеет КРАЙНЕ странные IP-стеки, лучше их заизолировать от греха подальше.Ко всем этим VLAN (кроме 20-го), рабочие станции пользователей доступа в общем случае не имеют и к оборудованию, живущих в этих VLAN (кроме принтеров), пользователи в общем случае не имеют непосредственного доступа. Этажные коммутаторы находятся в запертых и опечатанных ящиках, да-да. :) Теперь пошли VLAN=ы, в которых распологаются пользовательские устройства.. VLAN VoIP - их может быть один или несколько в зависимости от политики безопасности на предприятии. В нем живут IP-Phone и прочая телефония. VLAN WLAN (Wi-Fi) - обычно их минимум два, для сотрудников и гостевой, но может быть и больше - в зависимости от политик безопасности.
VLAN WS - workstation vlan, тут живут рабочие станции пользователей. В простейшем случае - он один, вариант отдельный VLAN на каждое подразделение я рассмотрел выше, но собственно есть промежуточный вариант, который удолетворяет большинство:
VLAN restricted - "огранниченный" vlan, но не в том смысле что он ограничен, а в том смысле что мало кого туда пускают. Это VLAN ИТ-отдела - никаких ограничений, но всем рассказываем "ну мы сами в ограниченном сидим, ибо много куда доступ имеем" IDS/IPS и прочие системы защиты - обязательны. DLP - бесполезны.
VLAN standart - рабочие станции всех обычных сотрудников. Закрытие вконтактников, одноглазников и прочих развлекалочек - на усмотрение начальства, обычно - практикуется. DLP и прочие радости жизни - обычно в полный рост.
VLAN privilege - "привилигерованный" vlan для рабочих станций начальства. Очень жесткий контроль, но вконтактник и прочее - разрешены, что дает ложное ощущение свободы. Наличае DLP упорно отрицается, на самом деле - всегда присутствует. Но это уже забота СБ - DLP обычно управляют они, а не ИТ. Отмечу что именно такие название - важны, ибо вводят в заблуждение обычного пользователя и мешают ему правильно сформулировать свои хотелки на доступ к вконтактнику и торрентам. :)
- Теперь о том как проще всего выбрать для этих VLAN IP-подсети 192 168 - плохие, Pofigist (?), 21:59 , 20-Май-19 (17)
Теперь о том как проще всего выбрать для этих VLAN IP-подсети..
192.168 - "плохие" сети, потому что их очень любят производители всякой китайщины как адреса по умолчанию. В результате нередко возникают коллизии. Плюс к этому иногда прибегает начальник, прочитавший что можно сделать VPN из дома до работы, а дома у него почти 100% что-нибуть из 192.168.ххх.ххх - неудобно. Некоторые "хотелки" могут потребовать ренумерации его сети, которую он сам сделать не в состоянии и т.д. Вообщем этих сетей надо избегать.
10-я сеть. Любима производителями некоторого серьезного сетевого оборудования (например кошки) как сеть по умолчанию для дефолтного конфига и всяческими гордыми ламерообразными админами, которые не могут запомнить 192.168... :) Вообщем по-хорошему стоит выбирать в одном случае - если у тебя несколько десятков удаленных площадок, да и то... под вопросом. :)
И наконец сети 172.16.0.0/16 - 172.31.0.0/16 - мои любимые, можно по разному играться, так чтоб было легко и просто запомнить что-где.
Третий октет - у меня обычно совпадает с номером VLAN, ну с понятными ограничениями разумеется. Далее зависит от наличия филиала, их размеров и их кол-ва. Например при небольшом кол-ве довольно крупных филиалов 172.16 - центральный офис, 172.17 - первый филиал, 172.18 - второй, 172.31 - пировые адреса для тунелей и прочая служебка. Если филиалы маленькие (с плоской сеткой) и их много - выделяем им скажем 172.20. и в третем октете - номер филиала... И т.д. - комбинировать можно по разному.Вот после того как составишь на основе всего вышеизложенного табличку в экселе (или либре - не будем придираться к мелочам) - можно приступать к ренумерации сети и разведении ее по VLAN.
- gt оверквотинг удален спасибо огромное уже приступил маску во вланах использ, Gunsfeel (ok), 15:12 , 21-Май-19 (18)
>[оверквотинг удален]
> понятными ограничениями разумеется. Далее зависит от наличия филиала, их размеров и
> их кол-ва. Например при небольшом кол-ве довольно крупных филиалов 172.16 -
> центральный офис, 172.17 - первый филиал, 172.18 - второй, 172.31 -
> пировые адреса для тунелей и прочая служебка. Если филиалы маленькие
> (с плоской сеткой) и их много - выделяем им скажем 172.20.
> и в третем октете - номер филиала... И т.д. - комбинировать
> можно по разному.
> Вот после того как составишь на основе всего вышеизложенного табличку в экселе
> (или либре - не будем придираться к мелочам) - можно приступать
> к ренумерации сети и разведении ее по VLAN.спасибо огромное. уже приступил. маску во вланах использовать 16?
- Нет разумеется Положим ты выбрал в качестве базы сеть 172 16 0 0 16, следователь, Pofigist (?), 19:48 , 21-Май-19 (19)
Нет разумеется.
Положим ты выбрал в качестве базы сеть 172.16.0.0/16, следовательно на VLAN 10 у тебя будет выделено 172.16.10.0/24 и т.д. если идти по предложенной мной схеме.
Но RIP агрегирует их до /16
- еще один момент в packet tracer схемку сделать или gns3 , Gunsfeel (ok), 11:18 , 23-Май-19 (20)
> Нет разумеется.
> Положим ты выбрал в качестве базы сеть 172.16.0.0/16, следовательно на VLAN 10
> у тебя будет выделено 172.16.10.0/24 и т.д. если идти по предложенной
> мной схеме.
> Но RIP агрегирует их до /16 еще один момент. в packet tracer схемку сделать или gns3 ?
- Мне нравится GNS3, а так - в чем удобней , Pofigist (?), 15:43 , 23-Май-19 (21)
> еще один момент. в packet tracer схемку сделать или gns3 ?Мне нравится GNS3, а так - в чем удобней.
- ок таблицу подготовил указал к какому интерфейсу кто будет подключен теперь я, Gunsfeel (ok), 07:28 , 27-Май-19 (22)
>> еще один момент. в packet tracer схемку сделать или gns3 ?
> Мне нравится GNS3, а так - в чем удобней.ок. таблицу подготовил. указал к какому интерфейсу кто будет подключен. теперь я так понял надо на свичах создать вланы?
- Сначала - подыми VTP чтоб создавать VLAN-ы один раз, а не на каждом коммутаторе , Pofigist (?), 17:35 , 27-Май-19 (23)
>>> еще один момент. в packet tracer схемку сделать или gns3 ?
>> Мне нравится GNS3, а так - в чем удобней.
> ок. таблицу подготовил. указал к какому интерфейсу кто будет подключен. теперь я
> так понял надо на свичах создать вланы?Сначала - подыми VTP чтоб создавать VLAN-ы один раз, а не на каждом коммутаторе.
- получается что vlan 10 administrative будет native vlan , Gunsfeel (ok), 08:57 , 28-Май-19 (24)
>>>> еще один момент. в packet tracer схемку сделать или gns3 ?
>>> Мне нравится GNS3, а так - в чем удобней.
>> ок. таблицу подготовил. указал к какому интерфейсу кто будет подключен. теперь я
>> так понял надо на свичах создать вланы?
> Сначала - подыми VTP чтоб создавать VLAN-ы один раз, а не на
> каждом коммутаторе.получается что vlan 10 administrative будет native vlan?
- ай яй яй пардоньте наоборот native vlan надо убрать в неиспользуемый vlan , Gunsfeel (ok), 09:59 , 28-Май-19 (25)
>>>>> еще один момент. в packet tracer схемку сделать или gns3 ?
>>>> Мне нравится GNS3, а так - в чем удобней.
>>> ок. таблицу подготовил. указал к какому интерфейсу кто будет подключен. теперь я
>>> так понял надо на свичах создать вланы?
>> Сначала - подыми VTP чтоб создавать VLAN-ы один раз, а не на
>> каждом коммутаторе.
> получается что vlan 10 administrative будет native vlan?ай яй яй пардоньте)))) наоборот native vlan надо убрать в неиспользуемый vlan. - Ну по идее после пересборки сети дефолтный нативный влан 1й и не будет использ, Pofigist (?), 11:12 , 28-Май-19 (27)
>> получается что vlan 10 administrative будет native vlan?
> ай яй яй пардоньте)))) наоборот native vlan надо убрать в неиспользуемый vlan. Ну по идее после пересборки сети дефолтный нативный влан (1й) и не будет использоваться :)
- Нет, не обязательно Можно его таковым сделать, но зачем Вообще не так уж много, Pofigist (?), 11:11 , 28-Май-19 (26)
> получается что vlan 10 administrative будет native vlan?Нет, не обязательно. Можно его таковым сделать, но зачем? Вообще не так уж много случаев, когда надо делать native vlan отличным от дефолтного. Не заморачивайтесь с native vlan вообще.
- ок vtp сделал на свичах 2960 gi 0 1-2 сделал транковыми портами на свиче L3 с, Gunsfeel (ok), 12:07 , 28-Май-19 (28)
>> получается что vlan 10 administrative будет native vlan?
> Нет, не обязательно. Можно его таковым сделать, но зачем? Вообще не так
> уж много случаев, когда надо делать native vlan отличным от дефолтного.
> Не заморачивайтесь с native vlan вообще.ок. vtp сделал. на свичах 2960 gi 0/1-2 сделал транковыми портами. на свиче L3 создал все нужные вланы и записал gi1/1-13 в транк порты. также на L3 разрешаю нужные мне vlanы в транке. вопрос о nenogotiate. получается мне надо мои gi0/1-2 на 2960 перевести в nenogotiate?
- у меня на данный момент так в конфиге vlan где сетевое оборудование является, Gunsfeel (ok), 12:10 , 28-Май-19 (29)
>>> получается что vlan 10 administrative будет native vlan?
>> Нет, не обязательно. Можно его таковым сделать, но зачем? Вообще не так у меня на данный момент так в конфиге)))) vlan где сетевое оборудование является нативным - Ну цитирую отсюда - http xgu ru wiki VLAN_в_Cisco Отсюда возникает вопрос - у, Pofigist (?), 10:49 , 29-Май-19 (30)
> вопрос о nenogotiate. получается мне надо мои gi0/1-2 на 2960 перевести в nenogotiate?Ну цитирую отсюда - http://xgu.ru/wiki/VLAN_в_Cisco :
> nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим "не-cisco" оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk'а. Отсюда возникает вопрос - у тебя там не кошка? Если да - то да, если нет - то зачем? - да есть такое один коммутатор не управляемый длинк , Gunsfeel (ok), 11:00 , 29-Май-19 (31)
>> вопрос о nenogotiate. получается мне надо мои gi0/1-2 на 2960 перевести в nenogotiate?
> Ну цитирую отсюда - http://xgu.ru/wiki/VLAN_в_Cisco :
>> nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим "не-cisco" оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk'а.
> Отсюда возникает вопрос - у тебя там не кошка? Если да -
> то да, если нет - то зачем?да есть такое. один коммутатор не управляемый длинк.
- network 169 254 0 0network 172 30 0 0network 192 168 1 0вопрос к чему сеть 169 2, Gunsfeel (ok), 11:11 , 29-Май-19 (32)
network 169.254.0.0
network 172.30.0.0
network 192.168.1.0
вопрос к чему сеть 169.254.0.0? в твоем случае
- Это AutoIP Оборудование, которое не имеет назначенномго IP и не может получить , Pofigist (?), 15:31 , 29-Май-19 (34)
> вопрос к чему сеть 169.254.0.0? в твоем случае Это AutoIP. Оборудование, которое не имеет назначенномго IP и не может получить его по DHCP/BOOTP выбирает адрес из этой сети. Уж не знаю какой магией - наверно случайный и с проверкой что он не занят. :)
Нужна для разборок с некоторыми "полуправляемыми" железками - если что-то пошло не так они берут этот адресс и при этом не имеют консольного порта... Ну вот чтоб не резетить их, а хоть как-то до них добраться и замаршрутизировал эту подсеть :)
- Так а если он не управляемый, то нафига ему информация о VLAN, которую он все ра, Pofigist (?), 15:27 , 29-Май-19 (33)
Так а если он не управляемый, то нафига ему информация о VLAN, которую он все равно не сможет использовать? Порт к которому он подключен должен быть access и все порты неуправляемого коммутатора будет относиться к тому VLAN, к которому относиться тот порт на управляемом коммутаторе, к которому он подключен.
- по поводу RIP у меня один маршрутизатор в сети оно мне надо или тут имеется в, Gunsfeel (ok), 12:10 , 04-Июн-19 (35)
по поводу RIP. у меня один маршрутизатор в сети) оно мне надо? или тут имеется ввиду разделение между подсетями как то маршрутизирует?
- У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор, кот, Pofigist (?), 14:28 , 04-Июн-19 (36)
У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор, который внезапно - тоже маршрутизатор по своей сути :)
Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических маршрутов ручками и соотвественно - снижает шансы накосячить.
- так и есть накосячить как за здрасте еще раз изучу тему rip, попробую состря, Gunsfeel (ok), 14:59 , 04-Июн-19 (37)
> У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор,
> который внезапно - тоже маршрутизатор по своей сути :)
> Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических
> маршрутов ручками и соотвественно - снижает шансы накосячить.так и есть)) накосячить как за здрасте). еще раз изучу тему rip, попробую состряпать маршруты
- получается мне сабинтерфейсы уже не нужны на маршрутизаторе , Gunsfeel (ok), 08:55 , 05-Июн-19 (38)
>> У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор,
>> который внезапно - тоже маршрутизатор по своей сути :)
>> Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических
>> маршрутов ручками и соотвественно - снижает шансы накосячить.
> так и есть)) накосячить как за здрасте). еще раз изучу тему rip,
> попробую состряпать маршруты получается мне сабинтерфейсы уже не нужны на маршрутизаторе?
- если можно покажите настройки интерфейсов на маршрутизаторе, Gunsfeel (ok), 09:35 , 05-Июн-19 (39)
>>> У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор,
>>> который внезапно - тоже маршрутизатор по своей сути :)
>>> Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических
>>> маршрутов ручками и соотвественно - снижает шансы накосячить.
>> так и есть)) накосячить как за здрасте). еще раз изучу тему rip,
>> попробую состряпать маршруты
> получается мне сабинтерфейсы уже не нужны на маршрутизаторе?если можно покажите настройки интерфейсов на маршрутизаторе
- совсем забыл у меня еще ведь и ASA 5505 стоит , Gunsfeel (ok), 11:08 , 05-Июн-19 (41)
>>>> У тебя как я понимаю минимум два маршрутизатора - основной, и L3-коммутатор,
>>>> который внезапно - тоже маршрутизатор по своей сути :)
>>>> Протокол маршрутизации в твом случае позволяет не саморачиваться с пропиской статических
>>>> маршрутов ручками и соотвественно - снижает шансы накосячить.
>>> так и есть)) накосячить как за здрасте). еще раз изучу тему rip,
>>> попробую состряпать маршруты
>> получается мне сабинтерфейсы уже не нужны на маршрутизаторе?
> если можно покажите настройки интерфейсов на маршрутизаторе совсем забыл у меня еще ведь и ASA 5505 стоит))
- Да не нужны при такой схеме , Pofigist (?), 10:51 , 05-Июн-19 (40)
> получается мне сабинтерфейсы уже не нужны на маршрутизаторе?Да не нужны при такой схеме.
- что то пошло не так получается мне теперь надо пропускать через cisco asa вес, Gunsfeel (ok), 11:01 , 10-Июн-19 (42)
>> получается мне сабинтерфейсы уже не нужны на маршрутизаторе?
> Да не нужны при такой схеме.что то пошло не так)) получается мне теперь надо пропускать через cisco asa весь трафик. или же ее можно как маршрутизатор использовать?
- где с тобой можно связаться , Gunsfeel (ok), 11:02 , 10-Июн-19 (43)
где с тобой можно связаться?
- Да Оставь мыло, скайп, да хоть телефон ну вообщем что-то - я свяжусь, Pofigist (?), 14:30 , 10-Июн-19 (44)
Да. Оставь мыло, скайп, да хоть телефон... ну вообщем что-то - я свяжусь
- jiparik1 gmail com, Gunsfeel (ok), 14:52 , 10-Июн-19 (45)
> Да. Оставь мыло, скайп, да хоть телефон... ну вообщем что-то - я
> свяжусь jiparik1@gmail.com
|
Свернуть нити
Пометить прочитанным
Создать тему
