w załączniku przedstawiam sieć którą muszę skofigurować.
Na routerze skonfigurowałem DHCP i ładnie przypisuje komputerą adresy z tym, że gdy zrobie VLANy odrazu przestaje działać, i nie bardzo wiem jak zrobić aby sieć działała. Komputery z jednego VLANa nie mogą mieć dostępu do drugiego. Byłbym wdzięczny gdyby ktoś powiedział jak te VLANy odpowiednio skonfigurować tak żeby DHCP działało.
Na routerze zrobiłeś połączenie router-on-a-stick? Bez routingu, nie będziesz miał komunikcacji między VLANami. Natomiast DHCP może przydzielać adresy różnym podsieciom, ale router musi wiedzieć gdzie przekazywać zapytania rozgłoszeniowe. Z tego co widzę, zadanie wykonujesz w PT. Sprawdź konfigurację protokołu STP. Jeśli robisz to na PT, to albo przystępujesz do CCNA, albo uczą Cię tego w szkole/uczelni, a to są podstawy działania sieci LAN.
Andree1609, proszę zapoznaj się z tą stroną oraz tym tematem, a następnie, używając opcji EDYTUJ , później Użyj pełnego edytora , popraw tytuł tematu, tak aby mówił konkretnie o problemie. W przypadku zignorowania prośby temat poleci do śmietnika.
Z ISL można korzystać, ale z ISL raczej się nie korzysta. Do routingu między VLANami skorzystaj z 802.1q. Tak poza tym dot1q nie korzysta się na przełącznikach, bo one domyślnie korzystają z 802.1q i dlatego nie korzysta się z ISL (chodzi mi o ustawienia enkapsulacji). Dot1q ustawiasz na routerze, ale do tego trzeba utworzyć podinterfejsy, inaczej nie utworzysz połączenia trunk na routerze. Upewnij się, że STP nie blokuje portów. Podejrzewam, że to co jest na zrzucie, to dopiero inicjacja połączenia.
Uporałem się z większością, została mi tylko Access Lista i tu mam problem, muszę zrobić tak aby nie był możliwych ruch miedzy VLAN’ami używając access listy.
Tak wyglądają skonfigurowane VLAN’y, nie wiem dokładnie jak ich użyć komend aby ograniczyć ruch. Zrobiłem co prawda pewne access listy ale nie wiem czy poprawne
ip dhcp pool vlan2
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
ip dhcp pool vlan3
network 192.168.3.0 255.255.255.0
default-router 192.168.3.1
ip dhcp pool vlan4
network 192.168.4.0 255.255.255.0
default-router 192.168.4.1
ip dhcp pool vlan5
network 192.168.5.0 255.255.255.0
default-router 192.168.5.1
ip dhcp pool vlan6
network 192.168.6.0 255.255.255.0
default-router 192.168.6.1
ip dhcp pool vlan7
network 192.168.7.0 255.255.255.0
default-router 192.168.7.1
ip dhcp pool vlan8
network 192.168.8.0 255.255.255.0
default-router 192.168.8.1
Kilka Subinterfejsów
interface FastEthernet0/0.2
description vlan2
encapsulation dot1Q 2
ip address 192.168.2.1 255.255.255.0
ip access-group 100 in
ip nat inside
!
interface FastEthernet0/0.3
description vlan3
encapsulation dot1Q 3
ip address 192.168.3.1 255.255.255.0
ip access-group 101 in
ip nat inside
!
Access-List: Martwi mnie ta ilość bo do każdego VLAN’a wychodzi aż 6 połącząć z acceslisty
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.7.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 100 permit ip any any
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.7.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 101 permit ip any any
W takim przypadku robisz odwrotnie, zezwalasz na ruch i stosujesz na końcu deny. ACL w IOS sprawdzane są po kolei. Nie pasuje, idzie dalej, nie pasuje, trafia na deny, pakiet jest odrzucany. Tobie wystarczą standardowe ACL na wyjście, nie musisz tu używać list rozszerzonych.
access list 2 permit 192.168.2.0 0.0.0.255
access list 2 deny any
access list 3 permit 192.168.3.0 0.0.0.255
access list 3 deny any
Dla podinterfejsów robisz regułę w kierunku wyjścia pakietu.
int fa0/0.2
ip access group 2 out
int fa0/0.3
ip acces group 3 out
Okey dzieki teraz działą jak należy i niema tyle linijek nie potrzebnego configu. Teraz konfiguruje nat. Do głównego router podłączoną mam chmure przez serial 0/1/0 z router poprzez port fastEthernet 0/0 idzie połączenie do głównego switcha.
Tak wygląda konfiguracja portu Fa0/0
interface FastEthernet0/0
description Router1 fastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
Przypisałem też nata do sub-interfejsów
interface FastEthernet0/0.2
description vlan2
encapsulation dot1Q 2
ip address 192.168.2.1 255.255.255.0
ip access-group 1 out
ip nat inside
!
ip nat pool ZEWNETRZNA 1.1.1.10 1.1.1.50 netmask 255.255.255.0
ip nat inside source list 50 interface Serial0/1/0 overload
ip nat inside source static 192.168.1.100 1.1.1.2
ip classless
!
W ACL adresy możesz sumaryzować adres, ale możesz to zrobić jeszcze inaczej. Skoro ruch między VLANami ma być blokowany, zezwalasz tylko na ruch z NAT. Usuwasz wszystkie ACLki i tworzysz nowe.
Dla VLANów (kierunek out).
ip access list standard VLANS
permit 1.1.1.2
deny any
Tworzysz ACLkę dla NAT.
ip access list standard NAT
permit 192.168.0.0 0.0.3.255
deny any
Jak pisałem, adresy można sumaryzować. Przypinasz wszystko w odpowiednie miejsca i musi działać. Gdyby coś nie działało, wkleję Ci konfigurację routera, ale na razie pomęcz temat osobiście, lepiej się nauczysz