Здравствуйте уважаемые товарищи! Столкнулся с огромной проблемой, которую плохо представляю как решить. Перечитал массу руководств и так и не могу понять всё равно. Дело в том, что я решил по собственной инициативе соорудить VLAN, но я не догадывался, что возникнет такая проблема. Вот описание топологии сети вкратце:

Есть 2 этажа, основная сеть: 192.168.1.0, подсеть VLAN: 192.168.2.0 На рабочих местах в VLAN2 стоит ПК и ip-телефон, который подключен к сетевой розетке и исполняет роль обычного хаба. Ещё характерной особенностью является то, что сетевая розетка ОДНА на одно рабочее место (то есть нет возможности в отдельную розетку подключить телефон, а в другую сетевую ПК).

2 этаж: стоит роутер Cisco 2821 и коммутатор Dlink 3420-52T ( http://www.dlink.ru/ru/products/1/1472.html ). На роутере создан подинтерфейс gi0/1.1 со следующими параметрами (encapsulation dot1q, ip address 192.168.2.1/24). На свиче создан VLAN2 с tag2, создан подинтерфейс с адресом из подсети 192.168.2.2, порт, который идёт к коммутатору внизу (порт 1) переведён в режим tagged и назначен в VLAN default и VLAN2, порты 6, 7, 8, 9, 10 в нетэгированном режиме и приписаны к VLAN2.

1 этаж: стоит коммутатор Dlink 3420-52T. Параметры следующие: создан VLAN2 с tag 2, порт, который идёт к коммутатору вверху переведён в режим tagged (порт 2) и назначен в VLAN default и VLAN2, порты 6, 7, 8, 9, 10 в нетэгированном режиме и приписаны к VLAN2. На рабочих станциях конфиг следующий: 192.168.2.6-10 (с 6 до 10) 255.255.255.0 gateway 192.168.2.2 и ДНС 8.8.8.8

А проблема следующая:

1) как мне сделать так, чтобы я мог из подсети 192.168.2.0 получить доступ к ресурсам основной сети (папки shares, которая находится на 192.168.1.200 и программа, которая расположена на отдельном ПК с Линукс Дебиан и к которой идёт порт 20 с коммутатора на этаже 2 - 192.168.1.201 плюс ещё Интернет хочу в эту подсеть с Циски с адресом на интерфейсе 2 - 192.168.1.203) 192.168.1.0, но при этом чтобы другие компы в сети не могли получить доступ к ПК в VLAN2?

Сейчас из подсети я только пингую адреса из этой же подсети и не более того, сеть 192.168.1.0 вообще не видна.

2) Ещё в силу нехватки портов как мне сделать, чтобы ПК в VLAN2 были положенные в подсети 192.168.2.0, но ip телефоны оставались бы в основной сети - 192.168.1.0? Сервер ip телефонии 192.168.1.251. Может порт, которым этот сервер соединён с коммутатором 2 этажа перевести в режим tagged и назначить сей порт в vlan default и vlan2?

Заранее спасибо за советы! Очень надеюсь на вашу помощь.

нужно указать адрес шлюза 192.168.2.1 и проверить межвлановую маршрутизацию на cisco

conf t (вход в режим глобальной конфигурации)
ip routing
но при этом чтобы другие компы в сети не могли получить доступ к ПК в VLAN2 »
надо настраивать ACL'ы
перевести в режим tagged и назначить сей порт в vlan default и vlan2 »ага

В общем в принципе сегодня у меня практически всё получилось. Главное, что сеть VLAN 192.168.2.0 заработала и из неё прекрасно доступны все ресурсы основной сети, в том числе и сервер ip-телефонии, НО большая проблема в том, что так же и в обычном порядке можно зайти на компы этой закрытой подсети из основной. Вопрос такой:

Как это можно решить? Создать расширенный ACL на Циске или же что-то сделать на коммутаторе 2 этажа? Или всё вместе?

То есть я хочу опять таки:

но при этом чтобы другие компы в сети не могли получить доступ к ПК в VLAN2

Честно говоря пока у меня идей нет. Ну точнее есть, но их слишком много.

P.S. кстати, проблема была в том, что я не перевёл порт на коммутаторе 3 этажа и который смотрит в маршрутизатор в режим tagged. После этого перевода две сети стали видеть друг друга и в подсети ВЛАН появился Интернет. Забавно также то, что когда я сделал нечто вроде этого:

нужно указать адрес шлюза 192.168.2.1 и проверить межвлановую маршрутизацию на cisco

Интернет после этого в подсети пропал, но сетки по прежнему прекрасно видели друг друга. Дело в том, что до этого товарищ посоветовал мне удалить подинтерфейс с адресом 192.168.2.2 с коммутатора 2 этажа и назначить шлюзом подинтерфейс Циски. Как раз после того, как я это сделал и после того, как назначил поинтефейс Циско (192.168.2.1) шлюзом на клиентских местах, Интернет пропал в подсети 192.168.2.2. Кто-нибудь может объяснить почему?

Я чесно говоря с ваших слов с трудом понимаю, что у вас там происходит. Может вам схему лучше нарисовать со шлюзами, свичами, vlan'ами, магистралями и адресами.
я понял, что у вас есть два vlan'а: default и vlan id2 который почему-то сидит на сабинтерфейсе gi0/1.1вместо gi0/1.2 (хотя это не принципиально).покажите таблицу маршрутизации на свичах если они у вас рутят.Как это можно решить? Создать расширенный ACL на Циске или же что-то сделать на коммутаторе 2 этажа? Или всё вместе? »это зависит от топологии вашей сети.но при этом чтобы другие компы в сети не могли получить доступ к ПК в VLAN2 » надо acl'ами настраивать на свичах или маршрутизаторе я незнаю, это от вашей сети зависит.на коммутаторе 3 этажа »этот откуда взялся?Интернет после этого в подсети пропал » это потому, что видимо у вас шлюз не cisco, а где шлюз, знает только ваш dlink(192.168.2.2) вобщем как вопрос зададите так и ответят.
Интернет пропал в подсети 192.168.2.2. Кто-нибудь может объяснить почему? » потому, что такой подсети несуществует!

Я напутал тут простите. Писал вечером, голова туго соображала. Про то, что коммутатор 2 этажа, который знает где шлюз это вы точно подметили, я там команду делал create iproute default 192.168.1.1/24 . А подинтерфейс на Циске просто видимо не знает связи с двумя физическими интерфейсами (я так полагаю, что нужно сделать команду ip nat inside на этом подинтерфейсе по аналогии с физическим интерфейсом, смотрящим в локалку).

1) А ещё вопрос такой. А я могу команду по заданию маршрута на Циске привязывать к конкретному интерфейсу? Ну например, чтобы мне Циску задать шлюзом по умолчанию в подсети (чтобы она Интернет давала), то я делаю команду ip route 0.0.0.0 0.0.0.0 192.168.115.1, НО я хочу чтобы эта команда действовала не для всей сети, а только для подинтерфейса на Циско для подсети 192.168.2.0?

2) Теперь по поводу ACL. Я так понял, что здесь можно обойтись стандартным листом, который будет применён на подинтерфейс Циски для подсети 192.168.2.0 с такими вот параметрами:

deny 192.168.1.0 0.0.0.255 (запрет на основную сеть)

permit 192.168.2.0 0.0.0.255 (это подсеть в целом)

permit hostname 192.168.1.200 (это комп с шарами)

permit hostname 192.168.1.1 (это маршрутизатор Циско)

permit hostname 192.168.1.201 (это сервер айпи телефонии)

permit hostname 192.168.1.2 (это коммутатор 2 этажа с его адресом на основном интерфейсе из основной сети)

Я чесно говоря с ваших слов с трудом понимаю, что у вас там происходит. Может вам схему лучше нарисовать со шлюзами, свичами, vlan'ами, магистралями и адресами.

Конечно, конечно, я попробую сейчас. Если что не ругайтесь, ибо никогда не делал таких схем. Решил сделать схему в DIA. Если возможно, то дайте сразу советы, как лучше делать такие схемы.

97364

P.S. а ещё подскажите как поменять имя действующего интерфейса? Ну я хочу gi0/1.1 поменять на gi0/1.2 (чтобы в соответствии с vlanid было).

для того, чтобы нат заработал нужно сначала создать правило и назначить его в нат. Router(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 any например это правило разрешает двигаться пакетам из вашей 192.168.2.0 подсети.Router(config)#ip nat inside source list 101 interface fastEthernet 0/0 overloadэто говорит о том, что натить нужно подсеть из acl 101. Ну и соответственно назначить на интерфейсы ip nat inside и ip nat outside
НО я хочу чтобы эта команда действовала не для всей сети, а только для подинтерфейса на Циско для подсети 192.168.2.0? »
маршруты нельзя назначать на интерфейсы.
2) Теперь по поводу ACL. Я так понял, что здесь можно обойтись стандартным листом, который будет применён на подинтерфейс Циски для подсети 192.168.2.0 с такими вот параметрами: »
попробуйте применить вот это на выходе интерфейса gi0/1.1
permit ip host 192.168.1.200 192.168.2.0 0.0.0.255
permit ip host 192.168.1.201 192.168.2.0 0.0.0.255
permit ip host 192.168.1.2 192.168.2.0 0.0.0.255
deny ip 192.168.1.0 0.0.0.255 any
permit ip any any
важно соблюдать последовательность
P.S. а ещё подскажите как поменять имя действующего интерфейса? Ну я хочу gi0/1.1 поменять на gi0/1.2 (чтобы в соответствии с vlanid было). »

Router(config)#no int gi0/1.1
Router(config)#int gi0/1.2
Router(config-subif)#ip address 192.168.2.1 255.255.255.0
Router(config-subif)#encapsulation dot1Q 2

как-то так.
P.S ссылка на схему битая

Сегодня с VLAN несколько продвинулся, но всё равно проблем ещё целый воз. Про НАТ всё так и оказалось, как вы сказали, причём оказалось достаточно команды ip nat inside на подинтерфейс, после чего Интернет появился в подсети (ну и конечно со шлюзом 192.168.2.1 в виде подинтерфейса роутера на клиентах).

А самое интересное, что начались проблемы с принтером, с которыми ну я ничего не смог сделать, но смог придумать в чём причина проблем с принтером. Дело в том, что в отделе стоит 2 компа и один в домене (причём домен на Линуксе и делался задолго до меня, причём непонятно как устроен, но там точно Самба примешана), а другой нет. И я не как не мог установить расшаренный принтер (на соседнем компе в домене) на комп вне домена, тот комп просто не видит домена. После удаления настроек ВЛАН всё опять начало работать и домен стал видеться. Ещё по слухам вроде кто-то говорил, что появились проблемы с 1С, что вроде как она ключ перестала какой-то видеть. Логики пока понять не в силах, ибо компы прекрасно пингуют друг друга, шлюз, комп с доменом и прочее в сети (никаких ACL пока не применял).

В итоге я сам сделал искуственную лабораторию из двух компов, ввёл их в подсеть ВЛАН, один в домене, другой вне оного, к одному подключил принтер и ситуация повторилась, НО после того, как я вывел один комп из домена принтер на другом компе в подсети ВЛАН увиделся и установился и заработал. Что же теперь, выкидывать все компы отдела из домена (я вообще не пойму зачем их в своё время туда ввели)? Может быть есть какие-то догадки?

Схему сети прикладываю ещё раз. Простите, что выложил какую-то битую ерунду в первый раз.

После удаления настроек ВЛАН всё опять начало работать и домен стал видеться » какие настройки вводили? в какой сети находятся комп с принтером и комп которому нужен принтер? принтер надо шарить по ipЕщё по слухам вроде кто-то говорил, что появились проблемы с 1С, что вроде как она ключ перестала какой-то видеть » тут понимать надо что в каких сетях. по сути у вас влана - это 2 подсети. ключ на 1с может не увидеться если он в другой подсети от платформы(вроде как надо в таком случае в конфиге надо ip адрес ключа указывать) А на схеме это что? что есть или то, что хотите получить?
ps покажите 'sh run' на циске. я бы еще на вашем месте телефонию в отдельный влан положил и qos поставил, чтоб телефония на случай больших нагрузок на сеть не глючила.

какие настройки вводили? в какой сети находятся комп с принтером и комп которому нужен принтер? принтер надо шарить по ip

Принтер там не сетевой и у него нет отдельного ip. В принципе я так и делал (кстати на всех компах стоят WinXP), то есть компу, на который хочу установить писал адрес компа, к которому принтер был подключен физически. Делаю это в установке принтеров (ну как обычно в ИксПи), пишу в формате" //адрес компа, которому подключено физически/сетевое имя принтера ". Вот так делаю. Пока все в обычном ВЛАН, все проходит без проблем, как только назначаю в новый ВЛАН не принтеры, не домен не видится. Компы оба находились в подсети ВЛАН2 (192.168.2.0), НО к которому принтер подключен физически был ещё и включен в домен, причем вроде как успешно (судя по идентификации в мой компьютер), другой комп не в домене, но в этой же сети. Причем когда устанавливаю принтер запрашивается имя пользователя и пароль, я их ввожу и дальше выдается ошибка. Удаляю все настройки ВЛАН и всё на ура проходит и даже чрез обзор принтеры видятся.

тут понимать надо что в каких сетях. по сути у вас влана - это 2 подсети. ключ на 1с может не увидеться если он в другой подсети от платформы(вроде как надо в таком случае в конфиге надо ip адрес ключа указывать) А на схеме это что? что есть или то, что хотите получить?

Проблема в том, что комп с 1С в одной сети, а комп с которого я пытался запустить в подсети.

А на схеме это что? что есть или то, что хотите получить?

В принципе всё реально, только ВЛАН 2 пока фантастика. В принципе это то, что хочу получить.

Проблема в том, что комп с 1С в одной сети, а комп с которого я пытался запустить в подсети. »че?
вобщем я так понял вам не вланами надо заниматься, а самбу настраивать. а это уже отдельная тема и другой форум.

причём оказалось достаточно команды ip nat inside на подинтерфейс, после чего Интернет появился в подсети

А это всё потому, что у меня был расширенный ACL в котором была подобная запись 192.168.0.0 0.0.255.255 any и именно поэтому мне не понадобилось вот это:

Router(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 any

вобщем я так понял вам не вланами надо заниматься, а самбу настраивать. а это уже отдельная тема и другой форум.

Согласен, проблем много. И вроде получилось почти всё с этим ВЛАН, но бухгалтерия говорит, что я со своими работами по ВЛАН им мешаю работать. Ладно, пусть будут как есть, хотя так хотелось их в ВЛАН вынести и ведь вполне решаемо на самом деле...

slava007:

Вам ещё раз отдельное спасибо за очень толковые советы по этой теме.

, но бухгалтерия говорит, что я со своими работами по ВЛАН им мешаю работать »оно понятно, я б вам тоже так сказал. как говорится "не умеешь, не берись"
ps учите матчасть, будут вопросы - задавайте по существу, а не так типа "вот надумал из говна кофету сделать, но не получается..."