Routing در سوییچ 2960x
سلام به تمام دوستان
یه سوالی دارم که چند روزی هست دارم وقت صرفش میکنم
من داخل شبکه ام سه تا رک دارم که محتوایات داخلش رو مینویسم بعد در انتها سوالم رو مطرح میکنم...
Rack-A Server + Firewal + DVR + Cisco 2960x
دوتا سوییچ در این رک هست
Rack-B Cisco SG300-28
Rack-C Cisco SG300-28
من ۶ تا vLan دارم که بصورت زیر است
Server
Internet
POS
EFTPOS
Accounting
Security
۱. من میخوام بدونم آیا میتونم در سوییچ های 2960x روتینگ بین vlanهام داشته باشم بصورت static...؟
البته باید بگم که وقتی از مد lanbase-routing سوییچ استفاده میکنم روتینگ بین تمام vlanها دارم، اما نمیخوام همه vlanها به هم ارتباط داشته باشن
بطور مثال vlan security فقط به DVR ها دسترسی داشته باشن که دارن و به vlan internet و vlan Server دسترسی نداشته باشد...
و با vlan EFTPOS فقط به اینترنتم دسترسی داشته باشه...
میتونم این موضوع رو با 2960x پیاده سازی کنم و یا حتما باید یک Router و یا سوییچ لایه 3 داشته باشم...؟
7 پاسخ
access list درست کنید (تو انجمن آموزش تصویریش هست - از مهندس قنبری دوره آموزشی Access Control List های سیسکو)
بعدش به جای اینکه access list رو به اینترفیس فیزیکی اختصاص بدید روی interface vlan ها اعمال کنید
سپاسگزارم nmaxi...
کمی بیشتر میتونید راهنماییم کنید...؟
دوستان ایشون با inter-vlan روتینگ مشکلی ندارن
مشکلشون محدود کردن دسترسی ها هست
از ACL استفاده کنید و بر روی SVI ها اعمال کنید (روی interface vlan ها)
محدود کردن دسترسی اینترنت رو هم با فایروال اعمال کنید بهتره
nmaxi عزیز سپاس از راهنمایتون
اما من هنوز مشکلم حل نشده... البته من باید بگم که اولین بار هست دارم سوییچ سیسکو رو config میکنم و همه کارهایی که تابحال انجام دادم با sreach کردن پیدا کردم و تجربه زیادی ندارم
اما الان جایی که برام مبهم هست رو توضیح میدم
ساختار شبکه ام به این صورت هست
switch01 = 2960x vtp server - 192.168.1.210
switch02 = 2960x vtp client - 192.168.1.211
switch03 = SG300-28 - 192.168.1.212
switch04 = SG300-28 - 192.168.1.213
vlan Servers - 192.168.2.1/24
dc = 192.168.2.10/24
db = 192.168.2.11/24
روی سوییچ 01
-------------------------------------------------
vlan Internet - 192.168.20.1/24
cyberoam = 192.168.20.2/24
که دو تا gateway وایرلس و adsl دارم که backup failover هستند
روی سوییچ 02
-------------------------------------------------
vlan Commercial - 192.168.30.1/24
کلایتهای بازرگانی موجود هست
روی سوییچ 02
-------------------------------------------------
vlan Security - 192.168.40.1/24
DVR01=192.168.40.10/24
DVR02=192.168.40.11/24
و کلاینتهایی که باید دسترسی داشته باشن
روی سوییچ 02
-------------------------------------------------
vlan POS - 192.168.50.1/24
حدود ۱۵ عدد کارت خوان بانکی هست که فقط به اینترنت باید دسترسی داشته باشن
روی سوییچهای 03 و 04 پخش هستن
-------------------------------------------------
از vlan commercial به vlan server , internet , security باید دسترسی باشه
از vlan POS فقط به vlan internet دسترسی باشه
از vlan security به vlan internet دسترسی نباشه
خوب من lanbase-routing روی سوییچ 01 راه انداختم و بین همه vlanها روت دارم و با راهنمایی شما با ACL میشه محدود کرد
اما حالا ابهام من اینجاست که
من وقتی روی کلاینتهام آی پی هر vlan رو بعنوان default-gateway ست میکنم میتونم به vlanهای دیگه دسترسی داشته باشم ولی اینترنتم قطع میشه چون آی پی gateway رو عوض کردم و نمیدونم به چه صورت میتونم به اینترنت دسترسی داشته باشم...؟ که فکر میکنم باید تو سوییچم یک روت نوشت اما این قابلیت رو نداره... آیا راه حل دیگه نداره...؟
با 2960 میشه اینتر وی لن روتینگ راه اندازی کرد ولی اگر من جای شما بودم از یه سوییچ 3750 برای این کار استفاده میکردم
دوست عزیز شما باید nat رو راه اندازی کنید تو مجموعه ، حالا یا روی فایروال یا روی سوییچ لایه 3 (فقط توجه داشته باشید پورتی که به اینترنت وصل میکنید میشه outside و پورتی که به داخل مجموعه وصله میشه inside) ، در حین راه اندازی nat ، برای vlan ها access list بنویسید کدام vlan ها مجاز به ارتباط برقرار کردن با اینترنت هستند(میشه vlan pos).