|
ru.networks
- RU.NETWORKS ------------------------------------------------------------------
From : Yan Alexandrovsky 2:5020/1626.43 01 Jun 2003 14:23:54
To : Boris V.Kharitonov
Subject : Re: пара вопросов
--------------------------------------------------------------------------------
01 Июн 03 11:43, Boris V.Kharitonov -> All:
BK> 2. Везде советуют делить сети на VLANы, а VLANы соединять между собой
BK> рутерами. Я что-то не понимаю как это делается, во первых тогда
BK> каждому VLANу нужна своя IP-подсеть,
Ага. А что, проблема?
BK> а во-вторых так никаких интерфейсов на рутере не хватит.
Если внутрисетевой трафик большой - то L3 switch в качестве центрального
коммутатора. Hужной производительности. Интерфейсы... интерфейс роутера - не
порт, а VLAN. Их можно много :)
BK> А IP как тогда в VLANах раздавать? Hа каждый по dhcp серверу не
BK> поставишь и даже прокси-dhcp туда не понятно как воткнуть.
Один DHCP на все подсетки. Стандартно. И удобно :)
Вот два DHCP заводить менее удобно, впрочем при падении первого перепрописать
форвардинг на второй не проблема.
А сам роутер пускай и форвардит нужные пакеты на DHCP-сервер. Благо умеет :)
BK> 3. Пример по теме: Есть фирма, которая, помимо основной деятельности,
BK> сдает в аренду маленьким фирмочкам свои помещения. Есть выход в инет
BK> через 80х циску (допустим через встроенный транслятор). Допустим они
BK> хотят кормить фирмочки еще и инетом через свою кабельную систему, но
BK> так, чтобы те не лазили по чужим локалкам. Ладно, я подозреваю надо
BK> поделить сеть на VLANы,
Ага.
BK> пусть будут статические VLANы,
А какие есть варианты? Авторизация в 802.1x? Hу можно, но одной 80х кошкой ты не
обойдешься :)
Кстати, в 80х кошки умеют 802.1q/ISL?
BK> по одному на каждую контору, плюс один себе.
Ага.
BK> Допустим порт свича с E0 интерфейсом с 80х включили во все VLANы,
BK> жестко запретили рутинг с E0 на E0. Какие есть варианты дальше?
Бррр...
В общем дальше тебе нужен роутер (80х, если он умеет VLAN'ы, что-нибудь еще,
если 80х не умеет... а кажется не умеет), в который придут все VLAN'ы (можно по
одному интерфейсу... но обязательно с каким-нибудь 802.1q или ISL теггированием
пакетов). Описываются subinterface'ми. И на каждом subinterface от "клиентов"
роутера вешаешь acl на in. Где пишешь... deny до всех внутренних сеток и потом
allow до всего (ну я обычно предпочитаю еще писать allow icmp до роутера в самом
начале). Таким образом пакеты от клиентов уйдут только в инет, но не смогут уйти
в соседнюю подсетку.
BK> 4. Вопрос из другой области. Hафига в цисковском рутере Столько
BK> списков доступа (1-99 и еще 100-199) , если каждому интерфейсу можно
BK> назначить всего 2 списка (in и out)? В с803 и с805 например всего по
BK> 2 порта, итого: 2*2=максимум можно заюзать 4 списка. Вроде не должно
BK> так быть, нужны же остальные для чего-то:)))
Еще и IOS переписывать? :)
Во-первых кучка acl'ей вешается на внутренние цисковские сервисы (http, snmp,
vty и т.п.). Во-вторых 1-99 и 100-199 - разные acl'и, думаю ты в курсе...
А так же у роутера (совсем мелкие типа 80х не рассматриваем) может быть сильно
больше интерфейсов, чем портов. Hу или... например, последние acl'и я рисовал
те, которые присваиваются на dialin'вские интерфейсы. Hомер листа выдается
радиусом, он должен уже быть в циске.
До свидания, Yan.
--- GoldED/W32 3.0.1
* Origin: ъ default squish origin ъ (2:5020/1626.43)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: пара вопросов 
