erik swift,
Не, я пока QoS не осилил. Я сидел к CIT готовился, а теперь этот ONT сделали. Так что 1 CCNP пока
![:)](https://forum.ee/public/style_emoticons/default/smile.gif)
Тем, кто сомневается, что можно запретить хождение инфы мехду отдельными хостами - маленький и простой пример - без секурности, шейпинга и т.д. Просто такой глупый маленький пример.
В качестве коммутатора используется WS-C3550-24-EMI. На самом деле такого коммутатора для локалки и не надо подавно. Просто свободных больше не было, потому и используем такое.
Провайдер нам просто даёт нам кусок UTP кабеля, и бумагу, на которой написаны подсеть, что нам дал и адреса ешё всякие. И мы просто делаем следуюшее:
interface FastEthernet0/24
no switchport
ip address 10.0.0.254 255.255.255.252
!
ip route 0.0.0.0 0.0.0.0 10.0.0.253
ip routing
ip classless
!
И мы уже подключились к провайдеру.
Далее, провайдер дал нам подсеть на 62 адреса, но мы её разбиваем на два диапазона и создаём два виртуальных интерфейса:
interface Vlan100
ip address 10.0.0.1 255.255.255.224
!
interface Vlan101
ip address 10.0.0.33 255.255.255.224
!
Далее мы создаём два диапазона для DHCP - ну не вручную же нам забивать ети адреса клиентам?
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.0.0.33
!
ip dhcp pool HOST1
network 10.0.0.0 255.255.255.224
default-router 10.0.0.1
domain-name hosts.range1.cool.home.net1
lease infinite
!
ip dhcp pool HOST2
network 10.0.0.32 255.255.255.224
default-router 10.0.0.33
domain-name host.range2.cool.home.net1
lease infinite
Далее конфаем интерфейсы для клиентов по типу:
interface range FastEthernet0/1-15
switchport access vlan 100
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
interface range FastEthernet0/16-23
switchport access vlan 101
switchport mode access
spanning-tree portfast
spanning-tree bpduguard enable
На самом деле всё ешё проше - есть специальный макрос - switchport host, который освобождает от написания 2 строчек средних. Но это ладно.
Далее, мы запрешаем клиентам в 101ом VLAN видеть своих соседей и VLAN100
access-list 101 permit ip 10.0.0.32 0.0.0.31 host 10.0.0.33
access-list 101 permit ip host 10.0.0.33 any
access-list 102 permit ip 10.0.0.32 0.0.0.31 10.0.0.32 0.0.0.31
access-list 102 permit ip 10.0.0.32 0.0.0.31 10.0.0.0 0.0.0.31
access-list 103 permit ip any any
vlan access-map H2 10
action forward
match ip address 101
vlan access-map H2 20
action drop
match ip address 102
vlan access-map H2 30
action forward
vlan filter H2 vlan-list 101
Осатолось только растянуть кабели и подключить жильцов. И всё. И не надо ничего городить из гомносвитчей и гомнрутеров.
Знание некоторых принципов освобождает от необходимости знать многие факты.
Arbeit macht frei