Задать вопрос
site2life
@site2life
cisco

Как организовать правильную маршрутизацию большой сети на Cisco?

Добрый день!
В данный момент уже есть:
Центральный коммутатор Cisco 3750X, к которому звездой подключены коммутаторы Cisco 2960. К последним подключены пользователи.

Для каждого отдела предприятия на Cisco 3750X заведены индивидуальные vlan`ы и между ними настроена маршрутизация. На этом же коммутаторе поднят DHCP-сервер с таким же количеством пулов, как и количество vlan`ов.

В итоге получается, что те компьютеры, которые подключены, скажем, к vlan012, получают IP-адреса из диапазона 10.0.12.1-10.0.12.100. А те компьютеры, которые подключены к vlan015. получат IP-адреса из диапазона 10.0.15.1-10.0.15.100.

В данный момент пакеты между сетями проходят.

Вопрос:
Как сделать так, чтобы пакеты проходили только между конкретным компьютером из vlan012 и конкретным компьютером из vlan015, а остальные компьютеры были доступны друг другу только каждый в своем vlan? Если бы были статические IP-адреса у компьютеров, то решением было бы прописать статические маршруты, а как быть когда IP-раздается автоматически и известно только имя компьютера, которое постоянно.
  • Вопрос задан
  • 3618 просмотров
Комментировать
Подписаться 6 Оценить Комментировать
Решения вопроса 1
vvpoloskin
@vvpoloskin
Инженер связи
Вариантов масса.
Проще сеть логичнее посегментировать) Тех, которым нужен доступ куда-то, выкинуть в отдельный VLAN. Наводящие подсказки: один пул может быть на несколько VLAN-ов, а на VLAN-интерфейсах можно проключать ip unnumbered.
Как вариант, тем компьютерам, которым нужен доступ (если их меньше) поставить IP-шник руками (ну или уж если совсем хочется сделать статические привязки IP-MAC)
Еще вариант, правда сложный, заиспользовать опцию 82 DHCP и dhcp-snooping на коммутаторах.
Еще - промаркировать трафик на абонентских портах каким-нибудь QoS (DSCP например) и сделать эту маркировку критерием DSCP. Это не очень правильный путь, но можно)
Ответ написан
2 комментария
2 комментария
Пригласить эксперта
Ответы на вопрос 2
@divetoh
Для нужных рабочих станций в dhcp настраивается резервирование ip-адреса, на маршрутизаторе настраиваются acl на vlan-интерфейсах, которые пропускают пакеты только с заданных ip-адресов.
Ответ написан
1 комментарий
1 комментарий
@Konkase
Мне кажется посредством одной циски этого не сделать. Возможно придётся поднимать отдельный squid сервер, и там настраивать acl.
Если ставить сервер нет возможности, то можно настроить dhcp на вечный пул mac+ip, получится альтернатива статическим адресам и можно будет настроить acl
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Начальник отдела сетей связи
ПАО «Газпром автоматизация» Санкт-Петербург
от 200 000 до 200 000 ₽
Сетевой администратор
Интер РАО – Управление сервисами Саратов
от 41 000 до 46 000 ₽
Системный администратор
CRAFTER Краснодар
от 80 000 до 100 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Настройка сервера
18 апр. 2024, в 21:56
2000 руб./за проект
Помощь с водпресс
18 апр. 2024, в 21:00
150 руб./за проект
Устранить проблемы с парсерами и отображением новостей
18 апр. 2024, в 20:08
7000 руб./за проект
Ещё заказы