Konfiugracja sieci w Packet Tracer, problem z przypisaniem VLAN'ów

Witam,

 

w załączniku przedstawiam sieć którą muszę skofigurować.

Na routerze skonfigurowałem DHCP i ładnie przypisuje komputerą adresy z tym, że gdy zrobie VLANy odrazu przestaje działać, i nie bardzo wiem jak zrobić aby sieć działała. Komputery z jednego VLANa nie mogą mieć dostępu do drugiego. Byłbym wdzięczny gdyby ktoś powiedział jak te VLANy odpowiednio skonfigurować tak żeby DHCP działało.

post-260941-0-20306200-1402518677_thumb.

Banalne…

http://www.cisco.com/c/en/us/support/docs/lan-switching/inter-vlan-routing/14976-50.html

Jutro sprawdze dam znać

Na routerze zrobiłeś połączenie router-on-a-stick? Bez routingu, nie będziesz miał komunikcacji między VLANami. Natomiast DHCP może przydzielać adresy różnym podsieciom, ale router musi wiedzieć gdzie przekazywać zapytania rozgłoszeniowe. Z tego co widzę, zadanie wykonujesz w PT. Sprawdź konfigurację protokołu STP. Jeśli robisz to na PT, to albo przystępujesz do CCNA, albo uczą Cię tego w szkole/uczelni, a to są podstawy działania sieci LAN.

Według tego linku robiłem, i wywala mi błąd przy enkapsulacji

 

3512xl(config-if)#switchport trunk encapsulation isl

                                   ^

% Invalid input detected at ‘^’ marker.

 

I nie wiem czemu tak jest na każdym z możliwych switchy robiłem to i nic zarówno przy isl jaki dot1q

 

Andree1609, proszę zapoznaj się z tą stroną oraz tym tematem, a następnie, używając opcji EDYTUJ , później Użyj pełnego edytora , popraw tytuł tematu, tak aby mówił konkretnie o problemie. W przypadku zignorowania prośby temat poleci do śmietnika.

Z ISL można korzystać, ale z ISL raczej się nie korzysta. Do routingu między VLANami skorzystaj z 802.1q. Tak poza tym dot1q nie korzysta się na przełącznikach, bo one domyślnie korzystają z 802.1q i dlatego nie korzysta się z ISL (chodzi mi o ustawienia enkapsulacji). Dot1q ustawiasz na routerze, ale do tego trzeba utworzyć podinterfejsy, inaczej nie utworzysz połączenia trunk na routerze. Upewnij się, że STP nie blokuje portów. Podejrzewam, że to co jest na zrzucie, to dopiero inicjacja połączenia.

Uporałem się z większością, została mi tylko Access Lista i tu mam problem, muszę zrobić tak aby nie był możliwych ruch miedzy VLAN’ami  używając access listy.

 

Tak wyglądają skonfigurowane VLAN’y, nie wiem dokładnie jak ich użyć komend aby ograniczyć ruch. Zrobiłem co prawda pewne access listy ale nie wiem czy poprawne

ip dhcp pool vlan2
 network 192.168.2.0 255.255.255.0
 default-router 192.168.2.1
ip dhcp pool vlan3
 network 192.168.3.0 255.255.255.0
 default-router 192.168.3.1
ip dhcp pool vlan4
 network 192.168.4.0 255.255.255.0
 default-router 192.168.4.1
ip dhcp pool vlan5
 network 192.168.5.0 255.255.255.0
 default-router 192.168.5.1
ip dhcp pool vlan6
 network 192.168.6.0 255.255.255.0
 default-router 192.168.6.1
ip dhcp pool vlan7
 network 192.168.7.0 255.255.255.0
 default-router 192.168.7.1
ip dhcp pool vlan8
 network 192.168.8.0 255.255.255.0
 default-router 192.168.8.1

Kilka Subinterfejsów

interface FastEthernet0/0.2
 description vlan2
 encapsulation dot1Q 2
 ip address 192.168.2.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
!
interface FastEthernet0/0.3
 description vlan3
 encapsulation dot1Q 3
 ip address 192.168.3.1 255.255.255.0
 ip access-group 101 in
 ip nat inside
!

Access-List: Martwi mnie ta ilość bo do każdego VLAN’a wychodzi aż 6 połącząć z acceslisty

access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.7.0 0.0.0.255
access-list 100 deny ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 100 permit ip any any
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.6.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.7.0 0.0.0.255
access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 101 permit ip any any

W takim przypadku robisz odwrotnie, zezwalasz na ruch i stosujesz na końcu deny. ACL w IOS sprawdzane są po kolei. Nie pasuje, idzie dalej, nie pasuje, trafia na deny, pakiet jest odrzucany. Tobie wystarczą standardowe ACL na wyjście, nie musisz tu używać list rozszerzonych.

 

access list 2 permit 192.168.2.0 0.0.0.255
access list 2 deny any
access list 3 permit 192.168.3.0 0.0.0.255
access list 3 deny any

Dla podinterfejsów robisz regułę w kierunku wyjścia pakietu.

 

int fa0/0.2
ip access group 2 out
int fa0/0.3
ip acces group 3 out

I tak dalej dla pozostałych VLANów.

Okey dzieki teraz działą jak należy i niema tyle linijek nie potrzebnego configu. Teraz konfiguruje nat. Do głównego router podłączoną mam chmure przez serial 0/1/0  z router poprzez port fastEthernet 0/0 idzie połączenie do głównego switcha.

Tak wygląda konfiguracja portu Fa0/0

interface FastEthernet0/0
 description Router1 fastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!

Przypisałem też nata do sub-interfejsów

interface FastEthernet0/0.2
 description vlan2
 encapsulation dot1Q 2
 ip address 192.168.2.1 255.255.255.0
 ip access-group 1 out
 ip nat inside
!

Oto konfiguracja seriala0/1/0 od chmury

interface Serial0/1/0
 bandwidth 64
 ip address 1.1.1.2 255.255.255.0
 encapsulation frame-relay ietf
 frame-relay lmi-type ansi
 ip nat outside
 clock rate 64000
!

Tutaj definuje poole adresów zewntrznych

ip nat pool ZEWNETRZNA 1.1.1.10 1.1.1.50 netmask 255.255.255.0
ip nat inside source list 50 interface Serial0/1/0 overload
ip nat inside source static 192.168.1.100 1.1.1.2 
ip classless
!

Access-Lista:

access-list 50 permit 192.168.2.0 0.0.0.255
access-list 50 permit 192.168.3.0 0.0.0.255
access-list 50 permit 192.168.4.0 0.0.0.255
access-list 50 permit 192.168.5.0 0.0.0.255
access-list 50 permit 192.168.6.0 0.0.0.255
access-list 50 permit 192.168.7.0 0.0.0.255
access-list 50 permit 192.168.8.0 0.0.0.255

I po wywoałaniu polecenia show ip nat translation wyrzuca mi tylko tyle:

Pro Inside global Inside local Outside local Outside global
--- 1.1.1.2 192.168.1.100 --- ---

A powinno chyba odrazu wszystkie odresy wyrzucić nie wiem czy popełniłem błąd przy definiowaniu pooli adresów.

 

W ACL adresy możesz sumaryzować adres, ale możesz to zrobić jeszcze inaczej. Skoro ruch między VLANami ma być blokowany, zezwalasz tylko na ruch z NAT. Usuwasz wszystkie ACLki i tworzysz nowe.

Dla VLANów (kierunek out).

 

ip access list standard VLANS
permit 1.1.1.2
deny any

Tworzysz ACLkę dla NAT.

 

ip access list standard NAT
permit 192.168.0.0 0.0.3.255
deny any

Jak pisałem, adresy można sumaryzować. Przypinasz wszystko w odpowiednie miejsca i musi działać. Gdyby coś nie działało, wkleję Ci konfigurację routera, ale na razie pomęcz temat osobiście, lepiej się nauczysz :wink: