VLAN probléma - Packet Tracer 5.3.2

Hálózatok általános

Sziasztok!

A probléma a következő: adott egy router (1841) összekötve egy switch-el (2950), amire 4 gép csatlakozik: PC1-4. Azt szeretném elérni, hogy PC1-2 csak egymást lássa, PC3-4 szintén. Úgy tudom, erre jónak kellene lennie a vlannak. De nem működik.

Amit csináltam:
PC1-2: 10.0.2.1-10.0.2.2 /24 gw 10.0.2.254
PC3-4: 10.0.3.1-10.0.3.2 /24 gw 10.0.3.254

Switch: létrehoztam vlan 2 és vlan 3-t. Hozzárendeltem a megfelelő portokhoz (switchport mode access, switchport access vlan [n]).
Majd jött a trunk a router felé: switchport mode trunk.

Router: alinterfészeket bekonfiguráltam: Fa0/0.1 és Fa0/0.2, encapsulation dot1q [n] majd ip cím megadás. Végül Fa0/0 no shutdown

Jelenleg ez van, elvileg működnie kéne, de sajnos ping mindenki mindenkivel.
Google nem akar segíteni, van ahol pont így írták ahogy én csináltam, valahol a switchport mode trunk elött emlegetnek egy olyat, hogy switchport trunk encapsulation dot1q, de ilyen parancs nálam nincs, csak olyan, hogy switchport trunk allowed|native.

  • 2948 megtekintés

( raron | 2011. 06. 25., szo – 21:31 )

Szerintem a routered át-route-olja a pinget a két VLAN között. Próbálj meg valami ACL-t berakni.

( bigpojnt v | 2011. 06. 25., szo – 21:34 )

Igy elsore szerintem probald router nelkul.

Alapfelvetés:
"Azt szeretném elérni, hogy PC1-2 csak egymást lássa, PC3-4 szintén."
Ha valóban pontosan ez lenne a célod, akkor mire a router? Azaz ha a PC1-2 kizárólag egymással kommunikálhat, akkor minek utána router? Ha más gépek miatt van ott router, miért engeded el odáig a csomagokat (trunk)?

Feltételezés:
"Úgy tudom, erre jónak kellene lennie a vlannak. "
Layer2 szintű kvázi szétválasztásra alkalmasak a vlanok.

A hibás következtetés:
"De nem működik."
Mégis miből gondolod, hogy nem működik? Mi van ha működik, és te nem érted mi történik?

1. Minek a router? Azért mert kipróbáltam router nélkül és működött. Gondoltam akkor tovább lépek és beraktam egy routert. A későbbiekben még szeretném bővíteni ezt a hálózatot úgy, hogy ehhez a meglévő routerhez kapcsolódjon egy másik router, alhálózatokkal. És azt el kéne majd érniük a vlanoknak is.

2. -

3. Lehet rosszul fogalmaztam, akkor inkább azt mondanám, h nem úgy működik, ahogy én szeretném.
Nem vagyok profi, most tanulgatom a dolgokat és nekem ebből ez jött le. De ha nem így van, akkor légyszíves magyarázd el, hogy mi is történik?

"Attól, hogy kinyomtatták, még nem szentírás..."

Nagyon egyszerű.
PC1-en kiadod mondjuk a 

ping 10.0.3.1

parancsot. PC1 IP címe 10.0.2.1 a maszk 255.255.255.0. PC1 látja, hogy a cél IP (amit meg akarsz pingelni) az nem a saját alhálózatában van, így elküldi az alapértelmezett átjárónak vagyis a routernek 10.0.2.254 (lényegében a csomag cél IP-je 10.0.3.1 lesz, a cél MAC címe pedig a router interface-ének a MAC címe.)
A router megkapja a csomagot, látja, hogy hozzákapcsolódik a 10.0.3.0/24 -es hálózat, így kiküldi a csomagot a másik (virtuális) interface-én.
PC3 megkapja.

szerk.: Mi GNS3-al szimuláltunk sokat CCNA tanfolyamon, azzal -ha jól emlékszem- el lehetett érni, hogy a PC egy rendes (azt hiszem qemu-val emulált) gép legyen. Ha ezen elindítasz egy ethereal/wireshark -ot akkor sok mindent meg tudsz nézni a forgalmon.

Akkor a két VLAN-t összefogó router legalább egyik subinterfészére tegyél egy ACL-t, amely tiltja a két subnet közötti kommunikációt, az összes többit pedig engedi. Ez 2 szabály egy ACL-ben, egy vagy két interfészre felhúzva, hogy mindkét irányt szűrje. Ahogy raron is megjegyezte, tényleg nem bonyolult.

Tehát akkor az eredeti felvetéssel szemben mégsem csak az azonos VLAN-okba tartozó gépeknek (PC1-PC2 valamint PC3-PC4) kell látniuk egymást.

Ha a PC1 és PC2 gépeket egy VLAN-ba teszed, a PC3 és PC4 gépeket pedig egy másikba, akkor a két VLAN között közvetlenül semmilyen (sem L2, sem L3) forgalom nem mehet át. Ehhez egy másik eszköz szükséges, pl. bridge vagy router. Neked routered van, ami elmondásod szerint alapesetben route-ol is a két VLAN között. Eddig rendben van.

Ahogy raron is írta az első hozzászólásban, ha a routeren nem minden forgalmat akarsz átengedni a VLAN-ok között, akkor szűrnöd kell a routeren.

( dionusos | 2011. 06. 25., szo – 22:33 )

Szia,

routeren állít be 1-1 ACL-t mindkét irányba, ami tiltja a forgalmat, így a kliensek tudnak "netezni" :), de egymással nem kommunikálhatnak.

Ami szerintem kellene:
pl:
access-list 10 deny 192.168.2.0 0.0.0.255
acces-list 10 permit any
Ezt hozzárendeled a router egyik alinterfészéhez
interface fastethernet 0/0.10
ip access-group 10 out

access-list 20 deny 192.168.1.0 0.0.0.255
acces-list 20 permit any
interface fastethernet 0/0.20
ip access-group 20 out

Én valahogy így csinálnám.

( Cisco | 2011. 06. 26., v – 15:43 )

szia,

routerrel azert tudja mind a 4 PC pingelni egymast mert a router route-ol a 2 vlan kozott. Ez teljesen termeszetes. LeACLezheted, de egyszerubb ha siman nem raksz oda routert.
Amugy mi lenne ott a router funkcioja. Ha elmondod mit szeretnel csinalni pontosan akkor tudok segiteni.

vegig olvasva a thread-et letezik egy olyan parancs ami megmondja hogy melyik vlan-okat engedje at a trunk porton:

switchport trunk allowed vlan 1
switchport mode trunk

igy csak az 1-es vlan fogod engedelyezni(management vlan) a trunk-on es a router nem fog tudni route-olni a 2 vlan kozott.

ez esetben allitanod kell az router subinterface-ein is!

"de egyszerubb ha siman nem raksz oda routert."
"igy csak az 1-es vlan fogod engedelyezni [...] es a router nem fog tudni route-olni a 2 vlan kozott."
Ez így nem lesz jó, mást szeretne.

Ezt írta:
"A későbbiekben még szeretném bővíteni ezt a hálózatot úgy, hogy ehhez a meglévő routerhez kapcsolódjon egy másik router, alhálózatokkal. És azt el kéne majd érniük a vlanoknak is."
Valamint: "2 router 1-1 switch-el, az első routerhez tartozna a 2 vlan, a másikon pedig lenne néhány alhálózat. Mindenkinek el kellene érnie mindenkit, kivéve a két vlant, akik egymást nem érhetnék el."