[slava007]

нужно указать адрес шлюза 192.168.2.1 и проверить межвлановую маршрутизацию на cisco

Код:

conf t (вход в режим глобальной конфигурации)
ip routing

Цитата VictorST:

но при этом чтобы другие компы в сети не могли получить доступ к ПК в VLAN2 »

надо настраивать ACL'ы

Цитата VictorST:

перевести в режим tagged и назначить сей порт в vlan default и vlan2 »

ага

[VictorST]

В общем в принципе сегодня у меня практически всё получилось. Главное, что сеть VLAN 192.168.2.0 заработала и из неё прекрасно доступны все ресурсы основной сети, в том числе и сервер ip-телефонии, НО большая проблема в том, что так же и в обычном порядке можно зайти на компы этой закрытой подсети из основной. Вопрос такой:

Как это можно решить? Создать расширенный ACL на Циске или же что-то сделать на коммутаторе 2 этажа? Или всё вместе?

То есть я хочу опять таки:

Цитата:

но при этом чтобы другие компы в сети не могли получить доступ к ПК в VLAN2

Честно говоря пока у меня идей нет. Ну точнее есть, но их слишком много.

P.S. кстати, проблема была в том, что я не перевёл порт на коммутаторе 3 этажа и который смотрит в маршрутизатор в режим tagged. После этого перевода две сети стали видеть друг друга и в подсети ВЛАН появился Интернет. Забавно также то, что когда я сделал нечто вроде этого:

Цитата:

нужно указать адрес шлюза 192.168.2.1 и проверить межвлановую маршрутизацию на cisco

Интернет после этого в подсети пропал, но сетки по прежнему прекрасно видели друг друга. Дело в том, что до этого товарищ посоветовал мне удалить подинтерфейс с адресом 192.168.2.2 с коммутатора 2 этажа и назначить шлюзом подинтерфейс Циски. Как раз после того, как я это сделал и после того, как назначил поинтефейс Циско (192.168.2.1) шлюзом на клиентских местах, Интернет пропал в подсети 192.168.2.2. Кто-нибудь может объяснить почему?

[slava007]

Я чесно говоря с ваших слов с трудом понимаю, что у вас там происходит. Может вам схему лучше нарисовать со шлюзами, свичами, vlan'ами, магистралями и адресами.
я понял, что у вас есть два vlan'а: default и vlan id2 который почему-то сидит на сабинтерфейсе gi0/1.1вместо gi0/1.2 (хотя это не принципиально).покажите таблицу маршрутизации на свичах если они у вас рутят.

Цитата VictorST:

Как это можно решить? Создать расширенный ACL на Циске или же что-то сделать на коммутаторе 2 этажа? Или всё вместе? »

это зависит от топологии вашей сети.

Цитата VictorST:

но при этом чтобы другие компы в сети не могли получить доступ к ПК в VLAN2 »

надо acl'ами настраивать на свичах или маршрутизаторе я незнаю, это от вашей сети зависит.

Цитата VictorST:

на коммутаторе 3 этажа »

этот откуда взялся?

Цитата VictorST:

Интернет после этого в подсети пропал »

это потому, что видимо у вас шлюз не cisco, а где шлюз, знает только ваш dlink(192.168.2.2) вобщем как вопрос зададите так и ответят.

Цитата VictorST:

Интернет пропал в подсети 192.168.2.2. Кто-нибудь может объяснить почему? »

потому, что такой подсети несуществует!

[VictorST]

Я напутал тут простите. Писал вечером, голова туго соображала. Про то, что коммутатор 2 этажа, который знает где шлюз это вы точно подметили, я там команду делал create iproute default 192.168.1.1/24 . А подинтерфейс на Циске просто видимо не знает связи с двумя физическими интерфейсами (я так полагаю, что нужно сделать команду ip nat inside на этом подинтерфейсе по аналогии с физическим интерфейсом, смотрящим в локалку).

1) А ещё вопрос такой. А я могу команду по заданию маршрута на Циске привязывать к конкретному интерфейсу? Ну например, чтобы мне Циску задать шлюзом по умолчанию в подсети (чтобы она Интернет давала), то я делаю команду ip route 0.0.0.0 0.0.0.0 192.168.115.1, НО я хочу чтобы эта команда действовала не для всей сети, а только для подинтерфейса на Циско для подсети 192.168.2.0?

2) Теперь по поводу ACL. Я так понял, что здесь можно обойтись стандартным листом, который будет применён на подинтерфейс Циски для подсети 192.168.2.0 с такими вот параметрами:

deny 192.168.1.0 0.0.0.255 (запрет на основную сеть)

permit 192.168.2.0 0.0.0.255 (это подсеть в целом)

permit hostname 192.168.1.200 (это комп с шарами)

permit hostname 192.168.1.1 (это маршрутизатор Циско)

permit hostname 192.168.1.201 (это сервер айпи телефонии)

permit hostname 192.168.1.2 (это коммутатор 2 этажа с его адресом на основном интерфейсе из основной сети)

Цитата:

Я чесно говоря с ваших слов с трудом понимаю, что у вас там происходит. Может вам схему лучше нарисовать со шлюзами, свичами, vlan'ами, магистралями и адресами.

Конечно, конечно, я попробую сейчас. Если что не ругайтесь, ибо никогда не делал таких схем. Решил сделать схему в DIA. Если возможно, то дайте сразу советы, как лучше делать такие схемы.

Файл 97364

P.S. а ещё подскажите как поменять имя действующего интерфейса? Ну я хочу gi0/1.1 поменять на gi0/1.2 (чтобы в соответствии с vlanid было).

[slava007]

для того, чтобы нат заработал нужно сначала создать правило и назначить его в нат.

Код:

Router(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 any

например это правило разрешает двигаться пакетам из вашей 192.168.2.0 подсети.

Код:

Router(config)#ip nat inside source list 101 interface fastEthernet 0/0 overload

это говорит о том, что натить нужно подсеть из acl 101. Ну и соответственно назначить на интерфейсы ip nat inside и ip nat outside

Цитата VictorST:

НО я хочу чтобы эта команда действовала не для всей сети, а только для подинтерфейса на Циско для подсети 192.168.2.0? »

маршруты нельзя назначать на интерфейсы.

Цитата VictorST:

2) Теперь по поводу ACL. Я так понял, что здесь можно обойтись стандартным листом, который будет применён на подинтерфейс Циски для подсети 192.168.2.0 с такими вот параметрами: »

попробуйте применить вот это на выходе интерфейса gi0/1.1

Код:

permit ip host 192.168.1.200 192.168.2.0 0.0.0.255
permit ip host 192.168.1.201 192.168.2.0 0.0.0.255
permit ip host 192.168.1.2 192.168.2.0 0.0.0.255
deny ip 192.168.1.0 0.0.0.255 any
permit ip any any

важно соблюдать последовательность

Цитата VictorST:

P.S. а ещё подскажите как поменять имя действующего интерфейса? Ну я хочу gi0/1.1 поменять на gi0/1.2 (чтобы в соответствии с vlanid было). »

Код:

Router(config)#no int gi0/1.1
Router(config)#int gi0/1.2
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#encapsulation dot1Q 2

как-то так.
P.S ссылка на схему битая

[VictorST]

Сегодня с VLAN несколько продвинулся, но всё равно проблем ещё целый воз. Про НАТ всё так и оказалось, как вы сказали, причём оказалось достаточно команды ip nat inside на подинтерфейс, после чего Интернет появился в подсети (ну и конечно со шлюзом 192.168.2.1 в виде подинтерфейса роутера на клиентах).

А самое интересное, что начались проблемы с принтером, с которыми ну я ничего не смог сделать, но смог придумать в чём причина проблем с принтером. Дело в том, что в отделе стоит 2 компа и один в домене (причём домен на Линуксе и делался задолго до меня, причём непонятно как устроен, но там точно Самба примешана), а другой нет. И я не как не мог установить расшаренный принтер (на соседнем компе в домене) на комп вне домена, тот комп просто не видит домена. После удаления настроек ВЛАН всё опять начало работать и домен стал видеться. Ещё по слухам вроде кто-то говорил, что появились проблемы с 1С, что вроде как она ключ перестала какой-то видеть. Логики пока понять не в силах, ибо компы прекрасно пингуют друг друга, шлюз, комп с доменом и прочее в сети (никаких ACL пока не применял).

В итоге я сам сделал искуственную лабораторию из двух компов, ввёл их в подсеть ВЛАН, один в домене, другой вне оного, к одному подключил принтер и ситуация повторилась, НО после того, как я вывел один комп из домена принтер на другом компе в подсети ВЛАН увиделся и установился и заработал. Что же теперь, выкидывать все компы отдела из домена (я вообще не пойму зачем их в своё время туда ввели)? Может быть есть какие-то догадки?

Схему сети прикладываю ещё раз. Простите, что выложил какую-то битую ерунду в первый раз.

[slava007]

Цитата VictorST:

После удаления настроек ВЛАН всё опять начало работать и домен стал видеться »

какие настройки вводили? в какой сети находятся комп с принтером и комп которому нужен принтер? принтер надо шарить по ip

Цитата VictorST:

Ещё по слухам вроде кто-то говорил, что появились проблемы с 1С, что вроде как она ключ перестала какой-то видеть »

тут понимать надо что в каких сетях. по сути у вас влана - это 2 подсети. ключ на 1с может не увидеться если он в другой подсети от платформы(вроде как надо в таком случае в конфиге надо ip адрес ключа указывать) А на схеме это что? что есть или то, что хотите получить?
ps покажите 'sh run' на циске. я бы еще на вашем месте телефонию в отдельный влан положил и qos поставил, чтоб телефония на случай больших нагрузок на сеть не глючила.

[VictorST]

Цитата:

какие настройки вводили? в какой сети находятся комп с принтером и комп которому нужен принтер? принтер надо шарить по ip

Принтер там не сетевой и у него нет отдельного ip. В принципе я так и делал (кстати на всех компах стоят WinXP), то есть компу, на который хочу установить писал адрес компа, к которому принтер был подключен физически. Делаю это в установке принтеров (ну как обычно в ИксПи), пишу в формате" //адрес компа, которому подключено физически/сетевое имя принтера ". Вот так делаю. Пока все в обычном ВЛАН, все проходит без проблем, как только назначаю в новый ВЛАН не принтеры, не домен не видится. Компы оба находились в подсети ВЛАН2 (192.168.2.0), НО к которому принтер подключен физически был ещё и включен в домен, причем вроде как успешно (судя по идентификации в мой компьютер), другой комп не в домене, но в этой же сети. Причем когда устанавливаю принтер запрашивается имя пользователя и пароль, я их ввожу и дальше выдается ошибка. Удаляю все настройки ВЛАН и всё на ура проходит и даже чрез обзор принтеры видятся.

Цитата:

тут понимать надо что в каких сетях. по сути у вас влана - это 2 подсети. ключ на 1с может не увидеться если он в другой подсети от платформы(вроде как надо в таком случае в конфиге надо ip адрес ключа указывать) А на схеме это что? что есть или то, что хотите получить?

Проблема в том, что комп с 1С в одной сети, а комп с которого я пытался запустить в подсети.

Цитата:

А на схеме это что? что есть или то, что хотите получить?

В принципе всё реально, только ВЛАН 2 пока фантастика. В принципе это то, что хочу получить.

[slava007]

Цитата VictorST:

Проблема в том, что комп с 1С в одной сети, а комп с которого я пытался запустить в подсети. »

че?
вобщем я так понял вам не вланами надо заниматься, а самбу настраивать. а это уже отдельная тема и другой форум.