روتینگ با Cisco 2600

[gooshegir]

لطفا تا جایی که میتونید راهنمایی کنید.پروژه رو تا آخرین مرحله و روز تحویل پیش بردم و به دلیل یک اشتباه کوچیک مجبورم از صفر شروع کنم و اصلا فرصت ندارم.




سناریو به این ترتیب بود که که core switch 2960 g داشتم که آپدیت کردم و تبدیل به لایه 3 شد.یعنی روی اون vtp domain تعریف کردم و dhcp server راه اندازی کردم و 5تا vlan که توی همه 7 تا سوویچ 2960 ttl کاملا درست کار می کردندو همگی از dhcp به درستی ip گرفتن.
توی تما م سوویچ ها ما 5 سطح مختلف دسترسی متناسب با 5تا vlan داریم.
مثلا کارمندان حسابداری به سرور مالی و اینترنت و اتوماسیون
کارمندان حراست به سرور امنیتی و اینترنت
کارمندان عادی به سرور اتوماسیون و اینترنت
مدیران به تمامی سرور ها
برای این کار در داخل سوییچ core از هرکدام از vlanها به سمت سرور مورد نظر روت نوشتم که با اینکه سوویچ 2960بوذ قبول کرد و توی config ها نشون داده میشد.اما عملا روتی صورت نمیگرفت.این بود که در روز تحویل پروژه...نابود شدم..




مشکلاتی که الان وجود دارد:
1-امکان خرید روتر یا سوویچ لایه 3 نیست
2-فرصت خیلی محدود است
3-حتما باید vlan بندی صورت بگیردو در هر طبقه که 1 سوویچ قرار دارد همه نوع کارمندی وجود دارذ






امکانات موجود:
در صورت نیاز میتونم از یک ویندوز سرور به عنوان dhcp server استفاده کنم.(بدونip-helpper میشه به vlanها ip داد؟ )


-اگر نیاز به روتر باشه شایذ بتونم میکروتیک تهیه کنم.
-یه فایروال cisco ASA 5100 که الان تونستم با ASDM بهش وصل شم و IP بدم و استاتیک روت ساده بنویسم.اما کانفیگ حرفههایش رو بلد نیستم.میشه از این به عنوان روتر استفاده کرذ؟


دوستان تا جایی که امکان داره کمک کنید...

یه عنوان مثال :
VALAN 2
NAME ADMIN
IP address:172.16.1 -172.16.0.254


vlan 3
name herasat
ip: 172.16.1.1 172.16.1.254


vlan 4
name mali
ip :172.16.2.1-172.16.2.254


server mali:192.168.10.10
server auyo,asion:192.168.20.10
server inrenet:192.168.30.10


چطوری میتونم دسترسی کارمندان به سرورهای مختلف رو مدیریت کنم که مثلا همه اینترنت داشته باشند(vpn )اما نتونن به سرور مالی یا اتوماسیون دسترسی پیدا کنن؟

---

موضوعات مشابه:

• کانفیگ Cisco 2600 جهت دریافت اینترنت
• نحوه استفاده از cisco 2600
• مشکل CPU Utilization در روتر Cisco 2600
• قطعات سخت افزاری مورد نیاز برای راه اندازیISP به همراه Cisco 2600
• Cisco 2600 Loss Configuration

---

[mr_noori]

سلام
با access list در سوپیچ لایه ۳ می توان محدودیت دسترسی تعریف کرد:
Configuring Commonly Used IP ACLs - Cisco Systems

[gooshegir]

مشکل اساسی من نوشتن route به سمت سرورهای اصلی هست

[rasa_sh]

دوست عزیز من یه شبکه مثل شبکه شما رو کار کردم البته نه به بزرگی مال شما
واسه من 2تا v-lan nاشت که هر کدوم توسط یه DHCP SERVER آی پی می گرفت
شما هم می تونی تو DHCP SERVER بیای چندتا Scope تعریف کنی و اجازه بدی که v-lan هات از اونا آی پی بگیرن البته باید پورتی که برای سرورت تعریف می کنی برای v-lan هات قابل دسترسی باشه اونوقت فکر کنم مشکلت حل میشه

[gooshegir]

دوست عزیز من یه شبکه مثل شبکه شما رو کار کردم البته نه به بزرگی مال شما
واسه من 2تا v-lan nاشت که هر کدوم توسط یه DHCP SERVER آی پی می گرفت
شما هم می تونی تو DHCP SERVER بیای چندتا Scope تعریف کنی و اجازه بدی که v-lan هات از اونا آی پی بگیرن البته باید پورتی که برای سرورت تعریف می کنی برای v-lan هات قابل دسترسی باشه اونوقت فکر کنم مشکلت حل میشه

خوب من الان مشکلی برای گرفت ip ندارم.مشکل من دسترسی به سرورهایی است که رنج های متفاوت با کلاینت ها دارن

[behzad2011]

اگه مشکل شما دسترسی به سرورها هستن که باید از inter vlan استفاده کنی تا وی لن ها هم رو ببنین اگه هم میخوای سیستم های که در vlan ها هستن ابتدا ییکدونه inter vlan بساز و بهش ای پی بده و توی یک پروتکل مسیریابی اضافش کن تا با روتر core در ارتباط باشه. موندی بگو بیشتر توضیح بدم

[siamakmm]

سلام،

نمیدونم مشکل حل شده یا خیر.

دوست گرامی سوئیچ 2960 یک سوئیچ لایه دو محسوب میشه و شما نمیتونید با اشتقاده از این سوئیچ، Inter-VLAN Switching داشته باشید. میتونید پورت های این سوئیچ رو به VLAN های مختلف asign کنید ولی برای route شدن بین VLAN ها نیاز به یک سوئیچ لایه 3 مثل 3750 یا 3760 یا یک روتر دارید. گفته بودید که میتونید یک روتر میکروتیک تهیه کنید. من این نوع روتر رو تا حالا ندیدم و نحوه Config کردنش رو نمیدونم. البته نباید خیلی مشکل باشه.
باید این روتر رو به یکی از پورت های 2960 وصل کنید بعد اون پوت رو در trunking mode قرار بدید. در روتر هم بازاء هر VLAN یک Subinterface ایجاد کنید و IP مربوط به Default gateway اون VLAN رو به اون subinterface اختصاص بدید. DHCP رو هم روی یک سرور تعریف کنید و Subnet Scope iv هر VLAN رو روی این سرور تعریف کرده و روی تمام subinterface های روتر ip helper-address رو با آدرس اون سرور تعریف کنید.
مشکل حل میشه.
اگر برای Config نیاز به کمک داشتید بفرمایید تا عرض کنم.

پاینده باشید

دوباره سلام،

من چون سال هاست به سوئیچ های سری 2900 کار نکردم این رو نمیدونسنم. الان چک کردم و متوجه شدم که شما با ارتقاء IOS میتونید این سوئیچ رو تبدیل به سوئیچ لایه 3 بکنید. اگر این کار رو انجام داده اید، باید به شکل زیر عمل کنید.
من config مورد نیاز رو با مثال مینویسم.

switch(config)#ip routing

VALAN 2, NAME ADMIN, IP address:172.16.0.2 -172.16.0.254, default-gateway: 172.16.0.1
switch(config)#interface vlan 2
switch(config-if)#ip addtess 172.16.0.1 255.255.255.0


vlan 3, name herasat, ip: 172.16.1.2 172.16.1.254, default-gateway: 172.16.1.1
switch(config)#interface vlan 3
switch(config-if)#ip addtess 172.16.1.1 255.255.255.0


vlan 4, name mali, ip :172.16.2.2-172.16.2.254, default-gateway: 172.16.2.1
switch(config)#interface vlan 4
switch(config-if)#ip addtess 172.16.2.1 255.255.255.0


پیشنهاد بنده اینه که همه سرور ها رو در یک رنج آی پی قرار بدید و بعد با استفاده از Access-list ارتباط بین VLAN مربوط به کاربران و هر کدوم از سوروها رو که میخواهید محدود نمایید.

server mali:192.168.10.10
server automasion:192.168.10.11
server inrenet:192.168.10.12


VLAN 10, name Servers, ip: 192.168.10.x/24, default gateway: 192.168.10.1
switch(config)#interface vlan 10
switch(config-if)#ip addtess 192.168.10.1 255.255.255.0

ip access-list extnded mali
permit ip 172.16.2.0 0.0.0.255 host 192.168.10.10
deny any any

ip access-list extnded automasion
permit ip 172.16.0.0 0.0.0.255 host 192.168.10.11
permit ip 172.16.1.0 0.0.0.255 host 192.168.10.11
permit ip 172.16.2.0 0.0.0.255 host 192.168.10.11
deny any any

.....

موفق باشید