VLAN access control

Hálózatok általános

Sziasztok!

Abban kérem a segítségeteket (igazából talán csak címszavak is segítenek), hogy hogyan lehet a következő problémát elegánsan megoldani Cisco hw-en? (L3 switch)

Adott egy vlan1 ami a "standard" hálózat, továbbá szeretnék csinálni egy vlan3-at, ami a "Storage" hálózat lenne. Azt szeretném megoldani, hogy az 1-es vlan portjaira kötött gépek közül 1-2 "lásson át" a storage vlanba, de ne minden eszköz.
A switch amire csatlakoztatva van az egész hóbelebanc egy 2db-ból álló 3750-G stack. A dolog szépsége még (bár nem biztos h. érdekes a kérdés kapcsán) h. Etherchannel-nek kellene egy másik Etherchannel-be látnia.

Köszi,
Zoli

  • 1344 megtekintés

( blackluck v | 2009. 07. 15., sze – 10:27 )

Amit keresel az a 802.1q vlan kezeles, egyreszt a switchen kell vtp domaint beallitani, majd az adott portokra kulon beallitani a switchen, h csak 1 vlan legyen (switchport access vlan2) rajta, vagy tobbi is (switchport mode trunk) es ha trunk-olod a portot akkor a szerveren beallitani h le tudja kezelni a 802.1q vlan-okat. OS fuggo, de tobbnyire vlan a csomag neve, meg kernel tamogatas kell benne legyen ha sajat kerneled van (alapbol benne van jo ideje mar) es akkor halozati interface-eknel kell felhuzni mint uj interface-t a pl vlan3-hoz tartozot.

Etherchannel-nel arra figyelj, h azok a portok amiket egybekotsz lacp-vel azok ugyanabban a vlan-ban legyenek (vagy egyforman trunkolve inkabb), kulonben nemigen fog menni.

--
Don't Panic if you see me laughing,
that's not a bug, just a feature.

Jol hangzik a dolog, amit nezegettem meg az Inter-Vlan rounting, de ott policykat megadni eleg cumis...

Mondjuk arra gondoltam h. a VLAN 3-ban az eszkozok IP cime lehetne mondjuk 192.168.3.0/24, a szervereim LAN cime 192.168.1.0/24, a switchen beallitom az inter vlan routingot ugy h. mondjuk 1.254 routeol a 3-as halo fele, csak kicsit macera megmondani h. kit lehet atroutolni es kit nem. Vagy tevedek?

( djsmiley v | 2009. 07. 15., sze – 11:47 )

Jah, és még annyi problémám lenne a dologgal, hogy most VLAN1-ben csücsül (minden port access vlan1) egy komplett blade centerem, ami 4 portos EtherChannel-en konnektál ehhez a stack-hez. Ha ezeket a portokat elkezdem állítgatni, akkor elég necces h. nem lesz csomag veszteség, stb. Tehát a legjobb megoldás mégiscsak az ACL lenne InterVLAN routinggal? (Tudom, hogy szebb a VTP, csak meg kellene oldani)

( petik | 2009. 07. 15., sze – 12:49 )

Szia!

Csinálj 2 vlan-t a switchen, rendeld a megfelelő vlan-hoz a megfelelő access portokat (ezek lehetnek etherchannel portok is), csinálj L3 routingot, és innentől ACL-lel szabályozhatod (IP címekkel) a forgalmat a vlan-ok között.
Vtp nem kell, hiszen a hálózat egy 2 fizikai switchből álló virtuális switch, közös mgmt felülettel, és nincsen más a L2-hálózatban. A vtp-nek akkor van értelme, ha azt akarod elérni, hogy a vlan-okat csak egyszer kelljen létrehozni/törölni, és ez a többi sw-en is automatikusan végbemenjen.

Üdv.

( kalebris | 2009. 07. 16., cs – 15:11 )

hat kicsit nyakatekerten ugyan de private vlannal is meg lehet oldani. vagy vlan ACL-el. Attol fugg, hogy mennyire akarod a portot vagy a hostot limitalni.