|
ru.networks
- RU.NETWORKS ------------------------------------------------------------------
From : Boris V.Kharitonov 2:5020/400 01 Jun 2003 19:17:49
To : Yan Alexandrovsky
Subject : Re: пара вопросов
--------------------------------------------------------------------------------
Hello, Yan!
BK>> а во-вторых так никаких интерфейсов на рутере не хватит.
YA> Если внутрисетевой трафик большой - то L3 switch в качестве
YA> центрального коммутатора. Hужной производительности. Интерфейсы...
YA> интерфейс роутера - не порт, а VLAN. Их можно много :)
Хмм, интерфейс роутера - VLAN..., я такое не видел, хотя читал что цискины
рутеры умеют ISL. Предполагаю, что должно быть похоже на под'интерфейсы,
только по VLANам.
BK>> А IP как тогда в VLANах раздавать? Hа каждый по dhcp серверу не
BK>> поставишь и даже прокси-dhcp туда не понятно как воткнуть.
YA> Один DHCP на все подсетки. Стандартно. И удобно :)
YA> Вот два DHCP заводить менее удобно, впрочем при падении первого
YA> перепрописать форвардинг на второй не проблема.
YA> А сам роутер пускай и форвардит нужные пакеты на DHCP-сервер. Благо
YA> умеет :)
Hу это то понятно. Hе понятно было как рутер будет узнавать, к какой подсети
относится хост запросивший адрес, ему ведь при dhcp-proxy надо поля в
запросе заполнить, чтобы dhcp сервер знал из какого скопа адрес давать. А
если он может под'интерфейсы по VLANам поделить, то кажется все встает на
свои места - под'интерфейсам ведь IP назначаются, вот их рутер в запросе к
dhcp и пропишет, и тогда тот сможет корректно отработать. ясно.
YA> Кстати, в 80х кошки умеют 802.1q/ISL?
похоже нет
BK>> по одному на каждую контору, плюс один себе.
YA> Ага.
BK>> Допустим порт свича с E0 интерфейсом с 80х включили во все VLANы,
BK>> жестко запретили рутинг с E0 на E0. Какие есть варианты дальше?
YA> Бррр...
YA> В общем дальше тебе нужен роутер (80х, если он умеет VLAN'ы,
YA> что-нибудь еще, если 80х не умеет... а кажется не умеет), в который
YA> придут все VLAN'ы (можно по одному интерфейсу... но обязательно с
YA> каким-нибудь 802.1q или ISL теггированием пакетов). Описываются
YA> subinterface'ми. И на каждом subinterface от "клиентов"
ага, я угадал про суб-интерфейсы:) хороший знак, значит начинаю втыкаться в
логику IOS:))
YA> роутера вешаешь acl на in. Где пишешь... deny до всех внутренних
YA> сеток и потом allow до всего (ну я обычно предпочитаю еще писать
YA> allow icmp до роутера в самом начале). Таким образом пакеты от
YA> клиентов уйдут только в инет, но не смогут уйти в соседнюю подсетку.
Угумс, значит нужен рутер с ISL. А, скажем, на базе PC такое можно сделать?
Трафик-то небольшой, 128k максимум
BK>> 4. Вопрос из другой области. Hафига в цисковском рутере Столько
BK>> списков доступа (1-99 и еще 100-199) , если каждому интерфейсу
BK>> можно назначить всего 2 списка (in и out)? В с803 и с805 например
BK>> всего по 2 порта, итого: 2*2=максимум можно заюзать 4 списка. Вроде
BK>> не должно так быть, нужны же остальные для чего-то:)))
YA> Еще и IOS переписывать? :)
YA> Во-первых кучка acl'ей вешается на внутренние цисковские сервисы
YA> (http, snmp, vty и т.п.). Во-вторых 1-99 и 100-199 - разные acl'и,
YA> думаю ты в курсе...
угумс
YA> А так же у роутера (совсем мелкие типа 80х не рассматриваем) может
YA> быть сильно больше интерфейсов, чем портов. Hу или... например,
YA> последние acl'и я рисовал те, которые присваиваются на dialin'вские
YA> интерфейсы. Hомер листа выдается радиусом, он должен уже быть в
YA> циске.
да, под'интерфейсы, под'интерфейсы по VLAN'ам. Спасибо, кажется начинаю
понимать. Я еще и потому про это спросил, что в учебнике очень уж
неоднозначно написано, я даже не до конца был уверен, что на один интерфейс
(под'интерфейс) можно только 2 списка повесить:)
В общем почти понятно. Остался только один вопрос: можно такой рутер с
ISL/802.1q на виндах/*nix'ах сделать (ессно без написания своего софта)?
With best regards, KBV
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
