Настроить маршрутизацию между вланами на cat4503., Sat, 05-Фев-11, 00:18 [смотреть все]Прошу помощи в настройке маршрутизации между вланами на коммутаторе. Имеется локальная сеть, построенная на маршрутизаторе 2811, коммутаторе catalyst4503 с платой SUP II+TS и дополнительной платой на 24 гигабитных порта. В этот коммутатор оптикой попартно подключены 3комы и далее к клиентам. Настройки самые простые. Вся сеть находится в диапазоне 192.168.1.х Вот конфиги:Маршрутизатор 2811 (с доп платкой HWIC-4ESW): version 15.1 service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service compress-config ! hostname gw ! boot-start-marker boot system flash c2800nm-adventerprisek9-mz.151-1.T.bin boot-end-marker ! logging buffered 4096 informational enable secret 5 xxx enable password 7 xxx ! aaa new-model ! ! aaa authentication login default local ! ! ! ! ! aaa session-id common ! clock timezone Moscow 3 clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00 clock calendar-valid ! dot11 syslog no ip source-route ! ! ip cef ip dhcp excluded-address 192.168.1.1 192.168.1.49 ip dhcp excluded-address 192.168.1.50 192.168.1.149 ! ip dhcp pool dhcp-pool network 192.168.1.0 255.255.255.0 dns-server 192.168.1.5 domain-name pool.local default-router 192.168.1.4 ! ! ! no ip bootp server ip domain name domain.local ip name-server 8.8.8.8 ip name-server 192.168.1.4 ip inspect tcp reassembly queue length 512 ip inspect tcp reassembly memory limit 700 ip inspect name INSPECT_OUT https ip inspect name INSPECT_OUT ftp ip inspect name INSPECT_OUT dns ip inspect name INSPECT_OUT icmp router-traffic ip inspect name INSPECT_OUT ntp ip inspect name INSPECT_OUT tcp router-traffic ip inspect name INSPECT_OUT udp router-traffic no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! voice-card 0 ! ! ! ! license udi pid CISCO2811 sn xxxx ! username admin privilege 15 secret 5 xxxxxx ! redundancy ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 description "Internet" ip address 81.xxx.xxx.35 255.255.255.248 secondary ip address 81.xxx.xxx.36 255.255.255.248 secondary ip address 81.xxx.xxx.37 255.255.255.248 secondary ip address 81.xxx.xxx.38 255.255.255.248 ip access-group FIREWALL in no ip redirects ip verify unicast reverse-path ip nat outside ip inspect INSPECT_OUT out ip virtual-reassembly max-fragments 64 max-reassemblies 1024 duplex auto speed auto no cdp enable ! interface FastEthernet0/1 no ip address shutdown duplex auto speed auto no mop enabled ! interface FastEthernet0/0/0 description "Main LAN" switchport access vlan 10 no cdp enable ! interface FastEthernet0/0/1 switchport access vlan 10 no cdp enable ! interface FastEthernet0/0/2 switchport access vlan 10 no cdp enable ! interface FastEthernet0/0/3 switchport access vlan 10 no cdp enable ! interface Vlan1 no ip address shutdown ! interface Vlan10 description "VLAN for Main LAN" ip address 192.168.1.4 255.255.255.0 ip nat inside ip virtual-reassembly max-fragments 64 max-reassemblies 1024 no mop enabled ! ip forward-protocol nd no ip http server ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ip dns server ip nat inside source list NAT interface FastEthernet0/0 overload ip nat inside source static tcp 192.168.1.10 80 81.xxx.xxx.35 80 extendable ip nat inside source static tcp 192.168.1.11 80 81.xxx.xxx.36 80 extendable ip route 0.0.0.0 0.0.0.0 86.111.12.33 ! ip access-list extended FIREWALL permit tcp any any eq www ip access-list extended NAT permit ip 192.168.1.0 0.0.0.255 any ! ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 password 7 xxxx transport input ssh ! scheduler allocate 20000 1000 Коммутатор catalyst 4503:
version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service compress-config ! hostname c4503 ! boot-start-marker boot system flash bootflash:cat4500-ipbasek9-mz.122-54.SG.bin boot-end-marker ! logging buffered informational enable secret 5 xxxx ! ! ! aaa new-model ! ! ! ! ! aaa session-id common clock timezone MSK 3 clock summer-time Moscow recurring last Sun Mar 2:00 last Sun Oct 2:00 clock calendar-valid ip subnet-zero ip name-server 192.168.1.5 ! ! no ip bootp server ip vrf mgmtVrf ! ! ! ! power redundancy-mode redundant port-channel load-balance src-dst-port ! ! ! vlan internal allocation policy ascending ! ! ! interface Port-channel1 switchport ! interface Port-channel2 switchport ! interface Port-channel3 switchport ! interface Port-channel4 switchport ! interface FastEthernet1 ip vrf forwarding mgmtVrf no ip address speed auto duplex auto ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface GigabitEthernet1/3 ! interface GigabitEthernet1/4 ! interface GigabitEthernet1/5 ! interface GigabitEthernet1/6 ! interface GigabitEthernet1/7 ! interface GigabitEthernet1/8 ! interface GigabitEthernet1/9 ! interface GigabitEthernet1/10 ! interface GigabitEthernet1/11 ! interface GigabitEthernet1/12 ! interface GigabitEthernet1/13 channel-protocol pagp channel-group 1 mode desirable ! interface GigabitEthernet1/14 channel-protocol pagp channel-group 1 mode desirable ! interface GigabitEthernet1/15 channel-protocol pagp channel-group 2 mode desirable ! interface GigabitEthernet1/16 channel-protocol pagp channel-group 2 mode desirable ! interface GigabitEthernet1/17 channel-protocol pagp channel-group 3 mode desirable ! interface GigabitEthernet1/18 channel-protocol pagp channel-group 3 mode desirable ! interface GigabitEthernet1/19 channel-protocol pagp channel-group 4 mode desirable ! interface GigabitEthernet1/20 channel-protocol pagp channel-group 4 mode desirable ! interface GigabitEthernet2/1 ! interface GigabitEthernet2/2 ! interface GigabitEthernet2/3 ! interface GigabitEthernet2/4 ! interface GigabitEthernet2/5 ! interface GigabitEthernet2/6 ! interface GigabitEthernet2/7 ! interface GigabitEthernet2/8 ! interface GigabitEthernet2/9 ! interface GigabitEthernet2/10 ! interface GigabitEthernet2/11 ! interface GigabitEthernet2/12 ! interface GigabitEthernet2/13 ! interface GigabitEthernet2/14 ! interface GigabitEthernet2/15 ! interface GigabitEthernet2/16 ! interface GigabitEthernet2/17 ! interface GigabitEthernet2/18 ! interface GigabitEthernet2/19 ! interface GigabitEthernet2/20 ! interface GigabitEthernet2/21 ! interface GigabitEthernet2/22 ! interface GigabitEthernet2/23 ! interface GigabitEthernet2/24 ! interface Vlan1 ip address 192.168.1.6 255.255.255.0 ! ! ip default-gateway 192.168.1.4 no ip http server no ip http secure-server ! ! ! control-plane ! ! line con 0 stopbits 1 line vty 0 4 ! ntp clock-period 17179257 ntp update-calendar ntp server 192.168.1.4 Хотелось бы разбить сеть на несколько вланов с разными подсетями: для сотрудников, для серверов, для ip-телефонии и для гостевых подключений. Я так понимаю, что мне необходимо сделать что-то вроде inter-vlan routing. Читал этот мануал: http://xgu.ru/wiki/VLAN_в_Cisco . Но не могу догадаться, как мне грамотнее разрулить создание вланов, чтобы не порушить уже существующую адресацию среди серверов. Потому как по этому мануалу линк между маршрутизатором и коммутатором объединяются в отдельный влан с подсетью, отличной от подсети маршрутизатора. И, соответственно, все остальные вланы будут из других подсетей, что приведет к смене адресов на всех серверах/клиентах. Серверы имеют адреса в пределах 192.168.1.5-49 и перенастраивать их всех не хотелось бы. Также есть много пользователей с адресами .1.50-149, которые тоже трогать не желательно. Можно ли не меняя адреса этих клиентов как-то дополнительно сделать вланы с маршрутизацией между ними? Достаточно будет, если все вланы будут видеть всех. Потом я acl разрулю права доступа. В какую сторону копнуть? Спасибо.
|
- Настроить маршрутизацию между вланами на cat4503., fantom, 10:27 , 07-Фев-11 (1)
>[оверквотинг удален] > вланов, чтобы не порушить уже существующую адресацию среди серверов. Потому > как по этому мануалу линк между маршрутизатором и коммутатором объединяются в > отдельный влан с подсетью, отличной от подсети маршрутизатора. И, соответственно, все > остальные вланы будут из других подсетей, что приведет к смене адресов > на всех серверах/клиентах. Серверы имеют адреса в пределах 192.168.1.5-49 и перенастраивать > их всех не хотелось бы. Также есть много пользователей с адресами > .1.50-149, которые тоже трогать не желательно. Можно ли не меняя адреса > этих клиентов как-то дополнительно сделать вланы с маршрутизацией между ними? Достаточно > будет, если все вланы будут видеть всех. Потом я acl разрулю > права доступа. В какую сторону копнуть? Спасибо.1. НЕ порущив адрессацию - увы невыйдет, какминимум маску менять придется, а если адреса статикой прописаны - как следствие перенастройка всех клиентов и серверов. 2. если SUP на каталисте - L3 - то еще туды-сюды, если только L2 - то учтите, что вся производительность будет ограничена возможностями 2811, а это мегабит 50-60. 3. если минимум изменений АДРЕСОВ, то сервера в подсеть 192.168.1.0/26 (IP-ы 1-62) остальных - по обстоятельствам и отдельным соображениям, но повторюсь - IP в большинстве случаев остануться те ми же, а вот маски и шлюзы перепрописывать все равно придется.
- Настроить маршрутизацию между вланами на cat4503., syd, 18:17 , 07-Фев-11 (2)
ip unnambered + proxy arp и не надо будет менять адреса и перепрописывать маски
- Настроить маршрутизацию между вланами на cat4503., Sat, 00:17 , 08-Фев-11 (3)
> 1. НЕ порущив адрессацию - увы невыйдет, какминимум маску менять придется, а > если адреса статикой прописаны - как следствие перенастройка всех клиентов и > серверов.Хорошо. Может тогда такое сделать, раз уж менять? Серваки не трогаем, клиенты помучаются и получат новые адреса. 192.168.0.х - адреса на маршрутизаторе. 192.168.1.х - адреса влана с серваками 192.168.2.х - клиенты в своем влане 192.168.3.х - VoIP влан. и inter-vlan routing на каталисте сделать. > 2. если SUP на каталисте - L3 - то еще туды-сюды, если > только L2 - то учтите, что вся производительность будет ограничена возможностями > 2811, а это мегабит 50-60. SUP II+TS стоит. у него в фичах написано: Layer 3 Features • Hardware-based IP Cisco Express Forwarding routing at 48 mpps • Static IP routing • Routing Information Protocol (RIP) and RIP2 • Hot Standby Router Protocol (HSRP) • IGMP Versions 1, 2, 3 • IGMP filtering on access and trunk ports • IP multicast routing protocols (Protocol Independent Multicast [PIM], Source Specific Multicast [SSM], Distance Vector Multicast Routing Protocol [DVMRP]) • Cisco Group Multicast Protocol server • Full Internet Control Message Protocol (ICMP) support • ICMP Router Discovery Protocol • IPv6 software switches • EIGRP stub • Virtual Router Redundancy Protocol (VRRP) И далее: • 64-Gbps nonblocking switch fabric • 48-mpps Layer 2 forwarding (hardware) • 48-mpps Layer 3 and Layer 4 forwarding based on Cisco Express Forwarding (hardware) • Layers 2 through 4 hardware-based switch engine (application-specific integrated circuit [ASIC] based) эти обещанные циской 48mpps спасут меня, если каталист в ядре сети будет стоять?
- Настроить маршрутизацию между вланами на cat4503., fantom, 10:01 , 08-Фев-11 (6)
>[оверквотинг удален] > • Virtual Router Redundancy Protocol (VRRP) > И далее: > • 64-Gbps nonblocking switch fabric > • 48-mpps Layer 2 forwarding (hardware) > • 48-mpps Layer 3 and Layer 4 forwarding based on Cisco Express > Forwarding (hardware) > • Layers 2 through 4 hardware-based switch engine (application-specific integrated > circuit [ASIC] based) > эти обещанные циской 48mpps спасут меня, если каталист в ядре сети будет > стоять?Тут уж вам решать :) помониторьте состояние системы - сделайте вывод, скорее всего хватит. Как бить на подсети - это тоже исключительно ваши соображения.
|