Chiarimento su VLAN

[Harry_Callahan]

Ciao a tutti,

avrei bisogno di un chiarimento sulle VLAN, sono alla prime armi con gli apparati Cisco. Possiedo un Router 877 e sono riuscito a configurarlo correttamente per la navigazione internet. Tra breve vorrei prendere uno switch L2, tipo un 2960, però vorrei chiedervi un paio di cose. Con l'877 è possibile assegnare le porte FastEthernet al massimo a 2 VLAN diverse(es. sulla VLAN 1 di default metto le FastEthernet 0,1 e 2, mentre assegno la 3 ad una VLAN 2 creato dal sottoscritto). Ho notato che il PC attaccato alla FastEthernet 3 non è raggiunto dal DHCP server del 877(su questo ci ritorniamo tra un secondo). La domanda è questa:

con uno switch tipo il 2960, se faccio una configurazione simile all'877, nel senso assegno le prime 5 porte alla VLAN 1 e altre 3 ad una VLAN 2, affinchè i PC(della VLAN 2) siano raggiunti dal DHCP server dell'877 e che siano nella stessa subnet della VLAN 1, cosa devo fare? Devo tirare semplicemente un 2° cavo ETH dall'877 alla prima porta della VLAN 2 oppure non è necessario(nel senso ne basta uno verso una porta della VLAN 1)? Lo scopo è di utilizzare la stessa subnet della VLAN 1 e di far uscire tutti i PC in internet, ma i PC della VLAN 1 non devono raggiungere quelli della VLAN 2.

Grazie, chiarito questo poi vorrei tornare un attimo sul discorso VLAN del solo apparato 877

[Gianremo.Smisek]

premesso che non sei stato molto chiaro, l'unica cosa che ho capito e' che hai bisogno di usare DHCP che e' localizzato in una rete diversa.. in quel caso devi fare il forward dei pacchetti UDP con ip helper-address IP_DHCPD sotto l'interfaccia che riceve le richieste.


ciao

[Harry_Callahan]

premesso che non sei stato molto chiaro

spiace

l'unica cosa che ho capito e' che hai bisogno di usare DHCP che e' localizzato in una rete diversa

no, voglio collegare un 877 ad uno switch L2, utilizzare il DHCP server dell'877 che assegna IP della subnet 192.168.0.0/24 (192.168.0.254 è il default router) e ad esempio a 5 PC della VLAN 1 e altri 3 PC di una VLAN 2 siano tutti nella stessa rete 192.168.0.0 ma i PC non devono comunicare tra loro(quelli della VLAN 1 non devono raggiungere quelli della VLAN 2). Tutti i PC devono poter accedere ad internet

[Gianremo.Smisek]

allora fai cosi':

subnetta la /24 in modo da crearti subnet, una per VLAN1 ed una per VLAN2. Prendi una FE dell'877 settala come trunk. Crea due SVI (vlan1 e vlan2) ed assegnali un indirizzo IP (delle reti subnettate, fungera' come GW per i client).

Codice: Seleziona tutto

interface vlan1
ip addr x.x.x.x y.y.y.y
no sh

interface vlan2
ip addr x2.x2.x2.x2 y2.y2.y2.y2
no sh

dopo diche', quando configurerai i due POOL DHCP nell'877, lui redistribuira' gli IP attraverso il trunk. Non ho mai provato questa soluzione con un 877, ma a rigor di logica dovrebbe funzionare. Prova e fammi sapere!

ciao!

P.S. nel caso funziona, ti ritrovi con le due vlan che comunicano tra di loro... in tal caso devi andare di VLAN Acl, pero' non so' se funzionino sull'877.

[Harry_Callahan]

grazie intel,

ma volevo evitare di mettere le mani sul DHCP server dell'877.
cercavo un modo sullo switch(es. sul 2960) di separare i PC grazie a 2 VLAN, nel senso 5 PC con IP dal pool 192.168.0.0/24(chiamamola VLAN 1), poi altri 3 PC sempre del pool 192.168.0.0/24(VLAN 2). Scopo far uscire tutti i PC in internet, ma i PC della VLAN 1 non devo raggiungere i PC sulla VLAN 2

magari sto facendo confusione io, però è proprio questo che voglio capire. è fattibile una cosa del genere?

[Gianremo.Smisek]

grazie intel,

ma volevo evitare di mettere le mani sul DHCP server dell'877.
cercavo un modo sullo switch(es. sul 2960) di separare i PC grazie a 2 VLAN, nel senso 5 PC con IP dal pool 192.168.0.0/24(chiamamola VLAN 1), poi altri 3 PC sempre del pool 192.168.0.0/24(VLAN 2). Scopo far uscire tutti i PC in internet, ma i PC della VLAN 1 non devo raggiungere i PC sulla VLAN 2

magari sto facendo confusione io, però è proprio questo che voglio capire. è fattibile una cosa del genere?

si stai facendo un po' di confusione , il DHCP non c'entra niente con le VLAN, serve solo per assegnare IP. Comunque, configura le vlan sul 2960, passale all'877 tramite VTP oppure a mano e prosegui come ti ho detto nell'altro post.

P.S. le reti per le due vlan devono essere necessariamente differenti, anche se prese dalla stessa major network: per es.

192.168.0.0/24 divisa in:

192.168.0.0/25 - .126
192.168.0.128/25 - .254


ciao

[Harry_Callahan]

P.S. le reti per le due vlan devono essere necessariamente differenti, anche se prese dalla stessa major network: per es.

ok, era proprio su questo particolare la mia richiesta di chiarimento. quindi le VLAN devono per forza essere in subnet diverse. pensavo fosse possibile avere una subnet in comune(IP assegnati dal DHCP) e poi segmentare a valle sullo switch(grazie a 2 VLAN nella stessa subnet)

grazie

[Gianremo.Smisek]

eh no... le VLAN segmentano a L2, limitando i broadcast. Per questo motivo hanno bisogno di indirizzo indipendente a Layer 3!

ciao!