Меню

3com 4200g настройка vlan

amarao_san

amarao

Ощущаю то ли найденную багу, то ли дурную фичу в трикомовских коммутаторах.

Хочется настроить managment vlan.

4200 позволяет назначать ip только для vlan 1 (принципиально).

На порте аплинка говорим, мол, vlan 1 tagged. Назначем ip: 192.168.1.2

Идём на 4200G (который для 4200 аплинк).

interface vlan-interface 1
ip 192.168.1.1

interface GigabitEthernet 1/0/7
link-type trunk
port trunk permit vlan 1

Пинги внутри vlan1 на 4200 ходят, с 4200G связи нет. При этом, мы можем на 4200G написать (vlan’ы те же):

interface GigabitEthernet 1/0/7
link-type hybrid
port hybrid vlan 1 tagged

Я идиот? Или лыжи кривые? Почему hybrid vlan 1 tagged работает, а trunk permit vlan 1 нет?

нереально. Мои заморочки в виланами — это игрушки. Сеть до этого работала вообще без виланов (5 сегментов и коммутаторы в режиме неуправляемых).

Хотя, наверное, у этой разницы trunk/hybrid есть какое-то глубокое значение. Знать бы ещё где почитать.

PS В процессе поиска по текстам ругани коммутаторов наткнулся на контору h3c, которая 1-в-1 тырит с трикомов прошивки 🙂

200 виланами. У них кругом мало поддающиеся логике «особенности». Например SNMP трапы шлются только в Default Vlan, а никак не в указанный менеджмент, что при большом количестве свичей = отказ от SNMP и сислога, так как дефаулт ко всему прочему ещё и регулярно виснет. И такое не только у свичей, с оптическими девайсами помогант только долгое шаманство с прошивками :(.

если не считать L2 протоколов, то после setup большая часть сервисов выключена. А интерфейс конфигурирования тебя спрашивают на этапе setup, предполагается, что он в доверенной сети.

Фичи делятся на конкретные паки (которые стоят разных денег).

Конфиг отлично структурирован (в нём перечисляются фичи, неиспользуемые фичи пропускаются с символом комментария). В любом конфиге легко можно найти нужную фичу.

Обычные/расширенные АЦЛы удобны в разных ситуациях. В принципе, тебя же никто не принуждает к использованию их всех.

источник

3com 4200g настройка vlan

3COM 4200G Swich
Software Version: 3.02.04s56
Bootrom Version: 2.03
Hardware Version: REV.B

На коммутаторе 3COM 4200G создано 3 VLAN

Читайте также:  wiki установка на компьютер

VLAN1 — порты 23, 24, 47,48
VLAN5 — порты 1-22
VLAN7 — порты 25-46

VLAN 1 интерфейс — 192.168.250.253 255.255.255.0
VLAN 5 интерфейс — 192.168.181.100 255.255.255.0
VLAN 7 интерфейс — 192.168.191.100 255.255.255.0

на коммутаторе добавлен маршрут
0.0.0.0 0.0.0.0 192.168.250.201 Vlan-Interface1 netmgmt

В интернет все ходят через шлюз 192.168.250.201
на шлюзе добавлены маршруты
192.168.181.0 mask 255.255.255.0 192.168.250.253
192.168.191.0 mask 255.255.255.0 192.168.250.253

Необходимо запретить
1. VLAN5 и VLAN7 общаться между собой
2. VLAN5 и VLAN7 общаться со всеми узлами VLAN1, кроме шлюза

1.
acl number 3001
rule 1 deny ip source 192.168.181.0 0.0.0.255 destination 192.168.191.0 0.0.0.255
quit

acl number 3002
rule 1 deny ip source 192.168.191.0 0.0.0.255 destination 192.168.181.0 0.0.0.255
quit

packet-filter VLAN 5 inbound ip-group 3001
packet-filter VLAN 7 inbound ip-group 3002

после этого VLAN5 и VLAN7 друг друга больше не видят

2.
пробовал создать правило
deny ip source 192.168.191.0 0.0.0.255 destination 192.168.250.0 0.0.0.255
после этого VLAN7 перестает общаться со всеми узлами VLAN1

разрешающие правила для 192.168.250.201 и 192.168.250.253 ничего не дают

Rule 1 permit ip source 192.168.250.253 0.0.0.0 destination 192.168.191.0 0.0.0.255
Rule 2 permit ip source 192.168.191.0 0.0.0.255 destination 192.168.250.253 0.0.0.0
Rule 3 permit ip source 192.168.250.201 0.0.0.0 destination 192.168.191.0 0.0.0.255
Rule 4 permit ip source 192.168.191.0 0.0.0.255 destination 192.168.250.201 0.0.0.0

в любом порядке, в любом сочетании
до запрещающего правила, после запрещающего правила
даже если я их применяю не к VLAN, а к Global ( в мануале говорится, что у Global приоритет выше)

судя по куче примеров на разных ресурсах выборочно закрывать/открывать узлы из VLAN можно
Что я делаю неправильно?

источник

Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952

Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952

В жизни любого начинающего системного администратора, появляется ситуация когда сетка начинает тормозить, во многих случаях причиной этому бывает кроме физики, неразделенный трафик которой broadcastами захламляет все подряд, когда провайдер воткнут в тот же свич, что и ваша основная сетка. Вот в таких ситуациях и выручают VLAN, что же это такое. (как сбросить на заводские настройки тут)
VLAN (аббр. от англ. Virtual Local Area Network) — логическая («виртуальная») локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная

Читайте также:  настройка по сети песня

сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.

Обозначение членства в VLAN

Для этого существуют следующие решения
по порту(англ. port-based, 802.1Q): порту коммутатора вручную назначается одна VLAN. В случае, если одному порту должны соответствовать несколько VLAN (например, если соединение VLAN проходит через несколько сетевых коммутаторов), то этот порт должен быть членом транка. Только одна VLAN может получать все пакеты, не отнесённые ни к одной VLAN (в терминологии 3Com, Planet, D-Link, Zyxel, HP — untagged, в терминологии Cisco, Juniper — native VLAN). Сетевой коммутатор будет добавлять метки данной VLAN ко всем принятым кадрам не имеющим никаких меток. VLAN, построенные на базе портов, имеют некоторые ограничения.
по MAC-адресу (MAC-based): членство в VLANe основывается на MAC-адресе рабочей станции. В таком случае сетевой коммутатор имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат.
по протоколу (Protocol-based): данные 3-4 уровня в заголовке пакета используются чтобы определить членство в VLANe. Например, IP-машины могут быть переведены в первую VLAN, а AppleTalk-машины во вторую. Основной недостаток этого метода в том, что он нарушает независимость уровней, поэтому, например, переход с IPv4 на IPv6 приведет к нарушению работоспособности сети.
методом аутентификации (англ. authentication based): устройства могут быть автоматически перемещены в VLAN основываясь на данных аутентификации пользователя или устройства при использовании протокола 802.1x.

Облегчается перемещение, добавление устройств и изменение их соединений друг с другом.
Достигается большая степень административного контроля вследствие наличия устройства, осуществляющего между сетями VLAN маршрутизацию на 3-м уровне.
Уменьшается потребление полосы пропускания по сравнению с ситуацией одного широковещательного домена.
Сокращается непроизводственное использование CPU за счет сокращения пересылки широковещательных сообщений.
Предотвращение широковещательных штормов и предотвращение потерь
Теперь давайте настроим 3Com Baseline Switch 2952.

Читайте также:  быстрые дрифт настройки для мта на задний привод

Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-01

Идем в Web интерфейс, вбиваем ip в браузерную строку и логинимся.

В порт 1 подключен кабель от провайдера, который выдал нам пул внешних адресов. Во второй и третий порты подключены 2 физические машины, которые находятся во внутренней сети. Изначально все порты находятся во VLAN 1. Идем в меню Network — VLAN — Create. Добавляем VLAN 2 чтобы изолировать провайдера от нашей внутренней сети.

Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-02

Жмем Modify VLAN. Здесь необходимо первому порту запретить членство VLAN 0001 (чтобы провайдер не видел нашу внутреннюю сеть) и применить настройки (apply)

Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-03

Далее необходимо сконфигурировать VLAN 2. Для этого выбираем из списка VLAN 0002. Делаем первый порт (приходящий от провайдера) нетегированным чтобы его трафик был во VLAN2. А порты 2 и 3 делаем тегированными (зеленый цвет). Применяем настройки.

Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-04

Идем в параметры портов и назначаем нашим внутренним машинам которые находятся на портах 2 и 3 PVID 1

Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-05

Последним шагом осталось проверить параметры. Идем в раздел Port Detail. Отмечаем порты с 1-3

Как через web интерфейс настроить VLAN на коммутаторе 3Com Baseline Switch 2952-06

Видим, что порт 1 (провайдер) находится во VLAN 2 и его трафик обычный (нетегированный)

Порты 2 и 3 тоже являются членами VLAN 2, но трафик VLAN 2 тегированный, плюс эти порты изначально находятся во VLAN 1 (т.е. в нашей локальной сети)

И не забудьте в конце сохранить конфигурацию (Device-Configuration-Save)

источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *