Cisco роутер с коммутатором
Коллеги, подскажите как правильно соединить Cisco L3 свитч с Cisco роутером?
На L3 свитче есть три vlan: vlan300, vlan400, vlan500, их нужно выпустить во внешний мир через cisco роутер.
Вопрос как правильно стыковать L3 свитч с роутером? Есть три варианта, не знаю какой лучше выбрать.
interface Vlan300
ip address 192.168.30.1/24
interface Vlan400
ip address 192.168.40.1/24
interface Vlan500
ip address 192.168.50.1/24
interface Ethernet1/1
description !!В сторону роутера!!
switchport mode trunk
ip route 0.0.0.0/0 192.168.30.2 (тут можно указать next hop для любого vlan на роутере)
interface GigabitEthernet0/1
description !!В сторону коммутатора!!
switchport mode trunk
interface Vlan300
ip nat inside
ip address 192.168.30.2 255.255.255.0
interface Vlan400
ip nat inside
ip address 192.168.40.2 255.255.255.0
interface Vlan500
ip nat inside
ip address 192.168.50.2 255.255.255.0
Минусы первого варианта в том, что на роутере придется создать такие же vlan как и на коммутаторе, а это не очень удобно.
Вариант №2 (свитч access, router trunk):
interface Ethernet1/1
description !!В сторону роутера!!
switchport mode access
switchport access vlan 300
interface GigabitEthernet0/1
description !!В сторону коммутатора!!
switchport mode trunk
interface Vlan300
ip nat inside
ip address 192.168.30.2 255.255.255.0
Плюсы второго варианта в том, что на роутере можно держать только один vlan 300 и весь трафик с свитча будет идти через него.
Минусы в том, что если на роутере создать еще один vlan (например для DMZ) то придется подключать отдельным патч-кордом и занимать еще один порт роутера и свитча.
Вариант №2 (использовать L2 связность между свитчем и роутером).
interface Ethernet1/1
description !!В сторону роутера!!
no switchport
ip address 192.168.30.1/24
interface GigabitEthernet0/1
description !!В сторону коммутатора!!
ip address 192.168.30.2 255.255.255.0
ip nat inside
А на каком роутере можно сделать interface Vlan? Видимо я чего то не знаю.
А так лучше первый по смыслу.
и в чем скрытый смысл данного варианта?
Я за вариант 3, только можно взять отдельную подсеть между роутером и свичем
А на каком роутере можно сделать interface Vlan? Видимо я чего то не знаю.
А так лучше первый по смыслу.
Думаю на любом где есть svi модуль.
На роутере svi модуль стоит, понятно что на обычном L3 интерфейсе так нельзя сделать.
Я на самом деле тоже склоняюсь больше к 3-му варианту, но тут есть одна загвоздка, на роутере будет еще один vlan для DMZ, если выбрать третий вариант, то получается придется два патч-корда тянуть до свитча, для DMZ отдельный? И на свитче для dmz порт в режиме access?
То есть в итоге, если выбрать вариант №3, конфиг будет такой:
interface Ethernet1/1
description !!В сторону роутера!!
no switchport
ip address 192.168.30.1/24
interface Ethernet1/2
description !!DMZ!!
switchport mode access
switchport access vlan 1000
interface Vlan1000
description !!DMZ!!
no ip address
interface GigabitEthernet0/1
description !!В сторону коммутатора!!
ip address 192.168.30.2 255.255.255.0
ip nat inside
interface GigabitEthernet0/1
description !!DMZ!!
switchport mode access
switchport access vlan 1000
interface Vlan1000
ip nat inside
ip address 10.10.10.1 255.255.255.0
Имхо. надо чтко понимать какие задачи стоят и какая нагрузка будет юзаться. Опять же, если у Вас дохлый роутер с лимитом в 8 vlan и порты 100, а switch гигабитник, то ответ очевиден.
Имхо. надо чтко понимать какие задачи стоят и какая нагрузка будет юзаться. Опять же, если у Вас дохлый роутер с лимитом в 8 vlan и порты 100, а switch гигабитник, то ответ очевиден.
Вот для меня, к сожалению, это не очевидно
Inter vlan роутинг будет точно на свитче, роутер нужен только для выхода в Интернет, построения gre туннелей и для ресурсов размещенных в DMZ + firewall.
Сам роутер не особо и дохлый — 2951 + svi модуль с гигабитными портами, коммутатор гигабитный 3x серия. Просто хотелось бы узнать кто как делает и почему.
Коллеги, подскажите как правильно соединить Cisco L3 свитч с Cisco роутером?
На L3 свитче есть три vlan: vlan300, vlan400, vlan500, их нужно выпустить во внешний мир через cisco роутер.Вопрос как правильно стыковать L3 свитч с роутером? Есть три варианта, не знаю какой лучше выбрать. Какой вариант правильнее?
Есть такое хорошее правило, прежде чем задавать вопрос, нарисуйте картинку, с максимумом имеющейся информации. И либо вопрос отпадет сам-собой, либо потом людям проще будет вам давать ответ.
Я на самом деле тоже склоняюсь больше к 3-му варианту, но тут есть одна загвоздка, на роутере будет еще один vlan для DMZ, если выбрать третий вариант, то получается придется два патч-корда тянуть до свитча, для DMZ отдельный? И на свитче для dmz порт в режиме access?
То есть в итоге, если выбрать вариант №3, конфиг будет такой:
что вам мешает к варианту №2 в транк добавить 1 влан для DMZ, религия какая-то?
Я на самом деле тоже склоняюсь больше к 3-му варианту, но тут есть одна загвоздка, на роутере будет еще один vlan для DMZ, если выбрать третий вариант, то получается придется два патч-корда тянуть до свитча, для DMZ отдельный? И на свитче для dmz порт в режиме access?
ну и пусть будет еще DMZ vlan.
Я не знаю как другие, но я бы например сделал между роутером и свичем L3 и дал сеть там с /30, ну а дальше маршрутизация.
Я на самом деле тоже склоняюсь больше к 3-му варианту, но тут есть одна загвоздка, на роутере будет еще один vlan для DMZ, если выбрать третий вариант, то получается придется два патч-корда тянуть до свитча, для DMZ отдельный? И на свитче для dmz порт в режиме access?
ну и пусть будет еще DMZ vlan.
Я не знаю как другие, но я бы например сделал между роутером и свичем L3 и дал сеть там с /30, ну а дальше маршрутизация.
А можно подробнее? Между роутером и свитчем L3 — это trunk? То есть первый вариант?
Что-то вроде этого?:
interface Vlan300
ip address 192.168.30.1/24
interface Vlan400
ip address 192.168.40.1/24
interface Vlan500
ip address 192.168.50.1/24
interface Vlan600
description !subnet switch-router!
ip address 192.168.60.1/24
interface Vlan1000
description !DMZ!
no ip address
interface Ethernet1/1
description !!В сторону роутера!!
switchport mode trunk
interface GigabitEthernet0/1
description !!В сторону коммутатора!!
switchport mode trunk
interface Vlan1000
description !!DMZ!!
ip nat inside
ip address 10.10.10.1 255.255.255.0
interface Vlan600
description !subnet switch-router!
ip nat inside
ip address 192.168.60.2 255.255.255.0
Вот на стороне роутера я не совсем понимаю как будет ходить трафик через выделенную подсеть 192.168.60.0/24 для vlan300,400,500 со стороны свитча, если эти vlan не создать на роутере, маршруты статикой прописывать или как?
если между роутером и свичем будет L3, то какой же это транк? Я ж писал 3 вариант, но вот у вас он какой-то неправильный.
interface Ethernet1/1
description !!В сторону роутера!!
no switchport
ip address 192.168.1.1/30
interface GigabitEthernet0/1
description !!В сторону коммутатора!!
ip address 192.168.1.2 255.255.255.252
ip nat inside
ip route 192.168.0.0/16 192.168.1.1
если между роутером и свичем будет L3, то какой же это транк? Я ж писал 3 вариант, но вот у вас он какой-то неправильный.
interface Ethernet1/1
description !!В сторону роутера!!
no switchport
ip address 192.168.1.1/30
interface GigabitEthernet0/1
description !!В сторону коммутатора!!
ip address 192.168.1.2 255.255.255.252
ip nat inside
ip route 192.168.0.0/16 192.168.1.1
Я не знаю как другие, но я бы например сделал между роутером и свичем L3 и дал сеть там с /30, ну а дальше маршрутизация.
если между роутером и свичем будет L3, то какой же это транк? Я ж писал 3 вариант, но вот у вас он какой-то неправильный.
interface Ethernet1/1
description !!В сторону роутера!!
no switchport
ip address 192.168.1.1/30
interface GigabitEthernet0/1
description !!В сторону коммутатора!!
ip address 192.168.1.2 255.255.255.252
ip nat inside
ip route 192.168.0.0/16 192.168.1.1
У Вас немного не правильная логика.
Вы мыслите на уровне физ подключения «типа шо то L2», а Вам надо перейти на логический, где сами пакеты бегают, «типа L3» Примитивно и на пальцах.
Соберите лабу.
Если нет времени подождать, тогда делайте терминирование vlan на роутере, а потом жизнь покажет.
alex387
У меня сходная ситуация. Роутер 1921, свитч 3750G. Конфиг такой, где
GigabitEthernet0/0 внешний интерфейс роутера
GigabitEthernet0/1 внутренний интерфейс роутера, на котором создаю сабинтерфейсы для вланов, который надо выпустить в инет.
Внутренний IP роутера 192.168.0.1 для примера
VLANы на роутере создавать придётся, если хотите, чтобы со всех подсетей хосты ходили в нет.
Router
==========
ip nat inside source list 100 interface GigabitEthernet0/0 overload
access-list 100 permit ip 192.168.30.0 0.0.0.255 any
access-list 100 permit ip 192.168.40.0 0.0.0.255 any
access-list 100 permit ip 192.168.50.0 0.0.0.255 any
interface GigabitEthernet0/1.30
encapsulation dot1Q 30
ip address 192.168.30.2 255.255.255.0
interface GigabitEthernet0/1.40
encapsulation dot1Q 40
ip address 192.168.40.2 255.255.255.0
interface GigabitEthernet0/1.50
encapsulation dot1Q 50
ip address 192.168.50.2 255.255.255.0
Switch
==========================================
interface Vlan30
ip address 192.168.30.1 255.255.255.0
ip access-group 130
ip helper-address 192.168.0.10 — Ваш DHCP сервер для этого vlan
interface Vlan40
ip address 192.168.40.1 255.255.255.0
ip access-group 140
ip helper-address 192.168.0.10 — Ваш DHCP сервер для этого vlan
interface Vlan50
ip address 192.168.50.1 255.255.255.0
ip access-group 150
ip helper-address 192.168.0.10 — Ваш DHCP сервер для этого vlan
access-list 130 permit ip any any
access-list 140 permit ip any any
access-list 150 permit ip any any
ip route 0.0.0.0 0.0.0.0 192.168.0.1