Владислав Минаков Posted September 14, 2017 Posted September 14, 2017 Доброго времени суток. Имеется Ultra II, его физическая особенность (два свитча) сводит с ума. Задача: интернет приходит на GigabitEthernet1/0, сегмент GigabitEthernet0/2-6 + WiFi - nat+dhcp, это работает. Сегмент (VLAN 5) GigabitEthernet0/0-1 без nat и dhcp, должен получать IP напрямую от провайдера - не работает. Любые попытки добавить VLAN5 в GigabitEthernet1/0 - либо "вы в своем уме?!", либо ломает всю конфигурацию. Заранее спасибо! Quote
0 r13 Posted September 14, 2017 Posted September 14, 2017 (edited) 53 минуты назад, Владислав Минаков сказал: Доброго времени суток. Имеется Ultra II, его физическая особенность (два свитча) сводит с ума. Задача: интернет приходит на GigabitEthernet1/0, сегмент GigabitEthernet0/2-6 + WiFi - nat+dhcp, это работает. Сегмент (VLAN 5) GigabitEthernet0/0-1 без nat и dhcp, должен получать IP напрямую от провайдера - не работает. Любые попытки добавить VLAN5 в GigabitEthernet1/0 - либо "вы в своем уме?!", либо ломает всю конфигурацию. Заранее спасибо! В случае ультры2 или создать bridge поверх синего порта, и включить в него ваш vlan5 (для примера посмотрите как устроен bridge home в конфигурации) или перевести интернет на желтый порт и тогда будет как "обычно" Edited September 14, 2017 by r13 1 Quote
0 KorDen Posted September 14, 2017 Posted September 14, 2017 (edited) 1 час назад, Владислав Минаков сказал: Сегмент (VLAN 5) GigabitEthernet0/0-1 без nat и dhcp, должен получать IP напрямую от провайдера - не работает. Воспользуйтесь дефолтными "VLAN для IPTV/телефонии", указав нужный вам VLAN ID и порты (предварительно прибив существующий сегмент). Можно и через консоль, например: interface GigabitEthernet1/Vlan5 security-level public up ! interface GigabitEthernet0/Vlan5 security-level public up ! interface GigabitEthernet0/0 switchport mode access switchport access vlan 5 up ! interface GigabitEthernet0/1 switchport mode access switchport access vlan 5 up ! interface Bridge5 include GigabitEthernet1/Vlan5 include GigabitEthernet0/Vlan5 security-level public up ! - собственно нечто подобное и делают галки "VLAN для IPTV" / "VLAN для телефонии" - ну а для чего их использовать на практике, не важно 1 час назад, Владислав Минаков сказал: Имеется Ultra II, его физическая особенность (два свитча) сводит с ума. Поправка: свич только на желтых портах, к CPU идет через сетевушку GE0, а синий порт - вторая сетевушка GE1, без свича. Т.е. для проброса синий-желтый мы делаем тегированные вланы на двух сетевушках, засовываем их в софтбридж, а потом делаем нужные порты желтого свича trunk/access. Можно вроде бы даже менять теги находу таким образом кстати... Edited September 14, 2017 by KorDen 2 Quote
0 Владислав Минаков Posted September 15, 2017 Author Posted September 15, 2017 10 часов назад, r13 сказал: создать bridge поверх синего порта, и включить в него ваш vlan5 Попробую вечером, отпишусь. 10 часов назад, r13 сказал: перевести интернет на желтый порт и тогда будет как "обычно" Тогда теряется профит железки. 10 часов назад, KorDen сказал: Воспользуйтесь дефолтными "VLAN для IPTV/телефонии", указав нужный вам VLAN ID и порты (предварительно прибив существующий сегмент). Пробовал, не работает. Вообще из такого сегмента ничего не пингуется. Что меня удивило... 10 часов назад, KorDen сказал: Можно и через консоль, например: Ну да, конфиг такой же. Но не работает. Quote
0 Le ecureuil Posted September 15, 2017 Posted September 15, 2017 Делайте VLAN поверх GE1, а не GE1/0. И все будет хорошо. Quote
0 arbayten Posted September 15, 2017 Posted September 15, 2017 Цитата создать bridge поверх синего порта, и включить в него ваш vlan5 Попробую вечером, отпишусь. Цитата Можно и через консоль, например: Ну да, конфиг такой же. Но не работает. Цитата и.о. начальника Отдела мониторинга интернет-ресурсов Управления информационных технологий Аппарата управления ФГУП «РЧЦ ЦФО» Цитата я АС "Ревизор" 1 1 Quote
0 KorDen Posted September 15, 2017 Posted September 15, 2017 13 часа назад, Владислав Минаков сказал: Пробовал, не работает. Вообще из такого сегмента ничего не пингуется. Что меня удивило... Постойте, а какого прохождения пакетов вы ожидаете? В обоих вышеописанных вариантах IP-интерфейса в этом влане на кинетике не создается, т.е. пинг из Home до железок во vlan5 будет только если у вас где-то дальше за WAN идет маршрутизация между internet-вланом и vlan5. Если вам нужно, чтобы у кинетика был свой IP в этом влане и из Home попадать во влан, вам нужно явно это задать в бридже, условно, дополнительно к вышеописанному: interface Bridge5 ip address dhcp ip mtu 1500 ! (или ip address 192.168.100.200 255.255.255.0 для статики) Плюс возможно, в зависимости от того, что во влане, перевести интерфейс в security-level private, добавив нужные правила пропуска в ACL или сделав "no isolate-private". Возможно, добавить маршруты. Трафик из Home во влан все еще будет натиться при этом Quote
0 Владислав Минаков Posted September 15, 2017 Author Posted September 15, 2017 В 14.09.2017 в 23:50, KorDen сказал: Можно и через консоль, например: Такая связка работает только если interface Bridge5 include GigabitEthernet1. Ну и соотв. интернет падает 13 часа назад, Le ecureuil сказал: Делайте VLAN поверх GE1, а не GE1/0. И все будет хорошо. Появляется проблема строчкой выше... 13 часа назад, arbayten сказал: я АС "Ревизор" Местный тролль? 1 час назад, KorDen сказал: Если вам нужно, чтобы у кинетика был свой IP в этом влане и из Home попадать во влан Нет. Пинговал я из внешней сети, чтобы убедиться о (не)работоспособности... Quote
0 r13 Posted September 16, 2017 Posted September 16, 2017 8 часов назад, Владислав Минаков сказал: Такая связка работает только если interface Bridge5 include GigabitEthernet1. Ну и соотв. интернет падает Появляется проблема строчкой выше... Местный тролль? Нет. Пинговал я из внешней сети, чтобы убедиться о (не)работоспособности... Делайте interface Bridge5 inherit GigabitEthernet1 а для остальных интерфейсов include Quote
0 Le ecureuil Posted September 16, 2017 Posted September 16, 2017 8 часов назад, Владислав Минаков сказал: Появляется проблема строчкой выше... Какая проблема строчкой выше? (config)> interface ge1/Vlan5 [I] Sep 16 08:16:06 ndhcpc: Core::Syslog: last message repeated 2 times. [I] Sep 16 09:43:42 ndm: Network::Interface::Base: "GigabitEthernet1/Vlan5": interface is down. [I] Sep 16 09:43:42 ndm: Network::Interface::Repository: "GigabitEthernet1/Vlan5" interface created. Network::Interface::Repository: "GigabitEthernet1/Vlan5" interface created. interface GigabitEthernet1/Vlan5 security-level public ip dhcp client dns-routes ip dhcp client name-servers down ! А дальше включаем dhcp/назначаем IP, поднимаем и погнали. Quote
0 Владислав Минаков Posted September 16, 2017 Author Posted September 16, 2017 2 часа назад, r13 сказал: interface Bridge5 inherit GigabitEthernet1 Завелось. Правда веб-морда сломалась - видимо настройки для нее слишком сложные 2 часа назад, Le ecureuil сказал: Какая проблема строчкой выше? Доступ в интернет отваливался. 2 часа назад, Le ecureuil сказал: А дальше включаем dhcp/назначаем IP, поднимаем и погнали. Ну, насколько я понял синтаксис, inherit GE1 в Bridge именно это и делает. Quote
0 r13 Posted September 16, 2017 Posted September 16, 2017 7 минут назад, Владислав Минаков сказал: Завелось. Правда веб-морда сломалась - видимо настройки для нее слишком сложные Доступ в интернет отваливался. Ну, насколько я понял синтаксис, inherit GE1 в Bridge именно это и делает. Да, веб морда с таким не совместима, дальше все манипуляции с этим интерфейсом только через cli Quote
Question
Владислав Минаков
Доброго времени суток.
Имеется Ultra II, его физическая особенность (два свитча) сводит с ума.
Задача: интернет приходит на GigabitEthernet1/0, сегмент GigabitEthernet0/2-6 + WiFi - nat+dhcp, это работает.
Сегмент (VLAN 5) GigabitEthernet0/0-1 без nat и dhcp, должен получать IP напрямую от провайдера - не работает.
Любые попытки добавить VLAN5 в GigabitEthernet1/0 - либо "вы в своем уме?!", либо ломает всю конфигурацию.
Заранее спасибо!
11 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.