Настройка DHCP в Vlan и ограничение доступа по некоторым маршрутам сети на оборудовании Cisco.
Это вторая статья из серии «настройка коммутационного оборудования CISCO». Сегодня мы рассмотрим реализацию DHCP в Vlan, в сети поделённой на подсети и ограничение доступа с помощью access-list по некоторым маршрутам сети.
Дано:
- 192.168.10.0/24 — для ПК (Vlan 10) отдела №1
- 192.168.20.0/24 — для Ноутбуков (Vlan 20) отдела №2
- 192.168.30.0/24 — для Серверов (Vlan 30)
Оборудование:
- Роутер Cisco 911 — 1шт
- Коммутатор Cisco 2960 — 1шт
Задача:
- Нужно что бы IP адреса выдавались автоматически, по DHCP, в зависимости от подключения устойства (ПК, Сервер и т.д.) к порту коммутатора (Vlan).
- Нужно что бы подсеть 192.168.30.0/24 видела все остальные подсети (192.168.10.0/24 + 192.168.20.0/24).
- Подсети 192.168.10.0/24 и 192.168.20.0/24 не должны видеть друг друга, но должны видеть 192.168.30.0/24,
т.е. отделы не должны видеть друг друга, но должны иметь доступ к серверам.
Приступим к настройке….
- Начнём с настройки роутера (Router) Cisco 911.
Настроим hostnameRouter>en Router#configure terminal Router(config)#hostname R1 R1(config)#exit
- Настроим Vlan на роутере (Router) Cisco 911.
R1#vlan database R1(vlan)#vlan 10 name PC R1(vlan)#vlan 20 name Laptop R1(vlan)#vlan 30 name Server R1(vlan)#exit
- Теперь настроим DHCP на роутере (Router) Cisco 911 для каждой подсети.
R1#configure terminal R1(config)#ip dhcp pool Vlan10 R1(dhcp-config)#network 192.168.10.0 255.255.255.0 R1(dhcp-config)#default-router 192.168.10.1 R1(dhcp-config)#exit R1(config)# R1#configure terminal R1(config)#ip dhcp pool Vlan20 R1(dhcp-config)#network 192.168.20.0 255.255.255.0 R1(dhcp-config)#default-router 192.168.20.1 R1(dhcp-config)#exit R1(config)# R1#configure terminal R1(config)#ip dhcp pool Vlan30 R1(dhcp-config)#network 192.168.30.0 255.255.255.0 R1(dhcp-config)#default-router 192.168.30.1 R1(dhcp-config)#exit R1(config)#
- Зарезервируем на DHCP IP адреса шлюза, нам нужно что бы DHCP даже не думал (не тратил время) о выдачи IP адресов для шлюза (GW).
R1(config)#ip dhcp excluded-address 192.168.10.1 R1(config)#ip dhcp excluded-address 192.168.20.1 R1(config)#ip dhcp excluded-address 192.168.30.1
- Настроим порты на роутере (Router) Cisco 911. мы будем использовать виртуальные порты с инкапсуляцией dot1Q для Vlan.
R1(config)#interface gigabitEthernet0/0.10 R1(config-subif)#encapsulation dot1Q 10 R1(config-subif)#ip address 192.168.10.1 255.255.255.0 R1(config-subif)#description PC R1(config-subif)#exit R1(config)#interface gigabitEthernet0/0.20 R1(config-subif)#encapsulation dot1Q 20 R1(config-subif)#ip address 192.168.20.1 255.255.255.0 R1(config-subif)#description Laptop R1(config-subif)#exit R1(config)#interface gigabitEthernet0/0.30 R1(config-subif)#encapsulation dot1Q 30 R1(config-subif)#ip address 192.168.30.1 255.255.255.0 R1(config-subif)#description Server R1(config-subif)#exit R1(config)#interface gigabitEthernet0/0 R1(config-if)#no shutdown R1(config-subif)#exit
- На этом настройка роутера (Router) Cisco 911 завершена. В итоге должно получиться следующее.
- Приступим к настройке коммутатора CISCO 2960. Настроим Vlan на коммутаторе CISCO 2960.
Switch>en Switch#vlan database Switch(vlan)#vlan 10 name PC Switch(vlan)#vlan 20 name Laptop Switch(vlan)#vlan 30 name Server Switch(vlan)#exit
- Настроим на коммутаторе CISCO 2960 hostname.
Switch#conf t Switch(config)#hostname SW01
- Настроим порты на коммутаторе CISCO 2960. Назначим Vlan и переведём Gi порты в Trunk.
W01(config)#interface range fastEthernet0/1-9 SW01(config-if-range)#switchport access vlan 10 SW01(config-if-range)#exit SW01(config)#int ra fa0/10-19 SW01(config-if-range)#sw acc vl 20 SW01(config-if-range)#ex SW01(config)#int ra fa0/20-24 SW01(config-if-range)#sw acc vl 30 SW01(config-if-range)#ex SW01(config)# SW01(config)#int ra gi0/1-2 SW01(config-if-range)#switchport mode trunk SW01(config-if-range)#exit
- Подключаем ПК к коммутатору CISCO 2960 в порты с 10 Vlan. Далее подключаем остальные устройва Сервера в порты с 30 Vlan. ноутбуки отдела №2 в порты с 20 Vlan. В итоге по подключениям должно получиться следующее.
- Подключаем роутер (Router) Cisco 911 (gigabitEthernet0/0) к коммутатору CISCO 2960 (gigabitEthernet0/1).
- Переключаем на всех ПК и серверах IP адреса на DHCP
- Теперь настроим маршруты в сети с помощью access-list на роутере (Router) Cisco 911. Заходим в консоль роутера R1# Cisco 911 и пишем следующее…
-
R1#conf t R1(config)#ip access-list extended SecRoute R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 R1(config-ext-nacl)#deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255 R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit
- Access-list на роутере (Router) Cisco 911 создан. Теперь подключим его к виртуальным интерфейсам.
R1(config)#interface gigabitEthernet0/0.10 R1(config-subif)#ip access-group SecRoute in R1(config-subif)#exit R1(config)# R1(config)#int gi0/0.20 R1(config-subif)#ip acc SecRoute in R1(config-subif)#ex R1(config)#
- Проверка работы. Пошлём ICMP Ping с одного из ПК. Как видим на картинке ниже Сервера из 192.168.30.0/24 пингуются а Оборудование из отдела №2 нет.
Подключаем провода и проверяем работу. Скачать пример для Cisco Packet Tracer
Рейтинг: /5 -
голосов
Если добавить ещё коммутатор, то настройки и вариации подключений могут сильно измениться. Подключить можно по-разному, хоть по цепочке, но оптимальное решение на мой взгляд, когда все три устройства подключены между собой.
Например как на картинке
Так же на сайте есть статья когда имеется роутер и два коммутатора. Настройка DHCP для Vlan через bridge-group BVI на CISCO
Конфигурации можно посмотреть там.
1. Это подключение между коммутаторами SW01 и SW02
2. На роутере настроены виртуальные интерфейсы, которые отдают траффик на оба порта Gi0/0 и Gi0/1