Маршрутизация Vlan

[vikegorov]

Доброго всем здоровья. Помогите пожалуйста организовать доступ между Vlan.
Имеется сеть из коммутаторов MES1024, MES1124 и один MES2308. Соединены кольцом через гигабитные порты. Как мне настроить что бы пользователи из разных сетей в разных Vlan могли видеть друг друга. Как я понимаю, это можно сделать через MES2308, или я ошибаюсь ? На нем включен ip routing, На VLAN повесил IP адреса но толку нет.

[Евгений Т]

Добрый день.

Приложите пожалуйста схему с подписанными портами и конфиг коммутатора. Укажите IP адреса с маской оконечных хостов, между которыми хотите организовать доступ. С этих же хостов прошу приложить таблицы маршрутизации. Маршруты же прописаны через шлюз на MES2308?

[vikegorov]

Спасибо что быстро среагировали )
Вот конфиг 2308 и схема. Нужно что бы пользователи из VLAN 11 (192.168.1.0/24) видели Vlan101 (172.16.16.0/24)

no spanning-tree
!
vlan database
vlan 10-11,20,30,40,55,100-101,1000,2000
exit
!
loopback-detection enable
loopback-detection mode multicast-mac-addr
loopback-detection vlan-based
loopback-detection vlan-based recovery-time 120
!
erps
erps vlan 2000
port west gigabitethernet1/0/12
port east gigabitethernet1/0/11
ring enable
protected vlan add 1,10-11,20,30,40,55,100-101,1000
exit
!
rate-limit vlan 30 50000 3000000
!
hostname sw_MTS_Servernaya
!
logging host 197.168.60.56 severity debugging
no logging console
logging file debugging
!
line console
password 307c81d8051d94e0f6eb006f3328d71d13b7348f encrypted
exit
!
username eltex9 password encrypted 307c81d8051d94e0f6eb006f3328d71d13b7348f privilege 15
username eltex26 password encrypted acac96f771b9e83256d67c66db1e75def661cc2b privilege 15
!
ip ssh server
!
snmp-server server
snmp-server location MTS_Servernaya
encrypted snmp-server community hXKI/nU2kUzqKGixTrnUEJk2X9/GnPd4ihiuEf9vIco= ro view Default
encrypted snmp-server community 5O2f0coreE59RGZehVQFBLTUClcrZ1HxxBXSx3yu8I0= rw view Default
encrypted snmp-server host 197.168.60.54 traps version 2c 5O2f0coreE59RGZehVQFBLTUClcrZ1HxxBXSx3yu8I0=
encrypted snmp-server host 197.168.60.56 traps version 2c 5O2f0coreE59RGZehVQFBLTUClcrZ1HxxBXSx3yu8I0=
!
snmp-server enable traps sensor notification
snmp-server enable traps sensor recovery-notification
!
clock timezone GMT +6
clock source sntp
!
sntp client poll timer 60
sntp unicast client enable
sntp unicast client poll
sntp server 172.16.17.1 poll
sntp server 197.168.60.3 poll
!
no ip telnet server
!
sflow receiver 1 197.168.60.53
!
interface gigabitethernet1/0/1
loopback-detection enable
description camera_192.168.1.20
switchport access vlan 101
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface gigabitethernet1/0/2
loopback-detection enable
description Camera_192.168.1.9
switchport access vlan 101
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface gigabitethernet1/0/3
loopback-detection enable
description Camera_192.168.1.8
switchport access vlan 101
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface gigabitethernet1/0/4
loopback-detection enable
description Camera_192.168.1.22
switchport access vlan 101
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface gigabitethernet1/0/5
loopback-detection enable
description Camera_192.168.1.2
switchport access vlan 101
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface gigabitethernet1/0/6
loopback-detection enable
description Camera_192.168.1.3
switchport access vlan 101
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface gigabitethernet1/0/7
loopback-detection enable
description Panel_192.168.1.160
switchport access vlan 11
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
power inline never
exit
!
interface gigabitethernet1/0/8
loopback-detection enable
shutdown
switchport access vlan 10
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
power inline never
exit
!
interface gigabitethernet1/0/9
loopback-detection enable
shutdown
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface gigabitethernet1/0/10
loopback-detection enable
shutdown
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface gigabitethernet1/0/11
storm-control broadcast kbps 5000
storm-control unicast level 70 trap
storm-control multicast level 30 trap
switchport mode trunk
switchport trunk allowed vlan add 10-11,20,30,40,55,100-101,1000,2000
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface gigabitethernet1/0/12
storm-control broadcast kbps 5000
storm-control unicast level 70 trap
storm-control multicast level 30 trap
switchport mode trunk
switchport trunk allowed vlan add 10-11,20,30,40,55,100-101,1000,2000
lldp optional-tlv port-desc sys-name sys-desc sys-cap 802.3-mac-phy
lldp management-address automatic
sflow flow-sampling 10240 1
sflow counters-sampling 60 1
exit
!
interface vlan 1
no ip address dhcp
exit
!
interface vlan 10
name managment
ip address 197.168.60.26 255.255.255.0
exit
!
interface vlan 11
name video
ip address 192.168.1.244 255.255.255.0
exit
!
interface vlan 20
name Internet
exit
!
interface vlan 30
name data
exit
!
interface vlan 40
name selector
exit
!
interface vlan 100
name Eltex_managment
ip address 172.16.17.9 255.255.255.0
exit
!
interface vlan 101
name ESC_video
ip address 172.16.16.253 255.255.255.0
exit
!
interface vlan 2000
name ERPS-R-APS
exit
!
router ospf 1
network 197.168.60.26 area 0.0.0.0
router-id 5.5.5.5
exit
!
!
end

маршруты на 2308
C 172.16.16.0/24 is directly connected, vlan 101
C 172.16.17.0/24 is directly connected, vlan 100
C 192.168.1.0/24 is directly connected, vlan 11
C 197.168.60.0/24 is directly connected, vlan 10

[Евгений Т]

Вот конфиг 2308 и схема. Нужно что бы пользователи из VLAN 11 (192.168.1.0/24) видели Vlan101 (172.16.16.0/24)

Где эти хосты на схеме?

Укажите IP адреса с маской оконечных хостов, между которыми хотите организовать доступ. С этих же хостов прошу приложить таблицы маршрутизации.

Эти данные приложите пожалуйста

[vikegorov]

маршруты

МТС_КПП
C 172.16.17.0/24 is directly connected vlan 100
C 197.168.60.0/24 is directly connected vlan 10

ESC
C 172.16.17.0/24 is directly connected vlan 100
C 197.168.60.0/24 is directly connected vlan 10

Городская
C 172.16.17.0/24 is directly connected vlan 100
C 197.168.60.0/24 is directly connected vlan 10

ГСМ
C 172.16.17.0/24 is directly connected vlan 100
C 197.168.60.0/24 is directly connected vlan 10

[Евгений Т]

Вопрос был не про маршруты на коммутаторах, а про маршруты на хостах из подсетей 192.168.1.0/24 и 192.168.16.0/24. Давайте возьмём хост, 26 порта ESC (+конфиг порта приложите) и хост с МТС КПП (и тоже конфиг порта в сторону этого хоста).
Хосты на схеме - это ПК на винде? Брандмауэр отключили, чтобы ICMP-трафик не блокировался?

[vikegorov]

хосты на Windows. Специально маршруты на компах не прописывал. Я может ошибаюсь, но в принципе и не должен это делать ? Замучаешься на всех ходить и прописывать. Тем более доступа к ним нет. Только комутаторами занимаюсь.
Брандмауэр отключен. Понимаю что вопросы дилетанские, так что не судите строго.

[Евгений Т]

Здравствуйте.

Специально маршруты на компах не прописывал. Я может ошибаюсь, но в принципе и не должен это делать ? Замучаешься на всех ходить и прописывать. Тем более доступа к ним нет. Только комутаторами занимаюсь.
Брандмауэр отключен.

Как раз в этом и дело. На MES2308 маршрутизация включена по умолчанию. Когда навешиваем IP на interface vlan, сразу создаём connected маршруты. Пришедший пакет из подсети 192.168.1.0/24 смаршрутизируется в 192.168.16.0/24. Но чтобы этот пакет отправился, на хосте с IP из подсети 192.168.1.0/24 должен быть маршрут в 192.168.16.0/24 через 192.168.1.244.

[vikegorov]

Спасибо за ваше терпение. Но что идет не так ).
Маршрут прописал на хосте. Tracert показывает что пакет уходит до 192.168.1244, но ответа нет.
Снифер показывает no response found.
На 2308 я вижу что MAC адрес сетевой карты хоста регистрируется на порту Gi1/0/11.
причем я пингую 172.16.16.253 который прописан на Vlan 101 2308. Значит ли это что 2308 не маршрутизирует ?

[Евгений Т]

Маршрут прописал на хосте.

А на встречной стороне? С 2 сторон маршруты нужны.
Таблицу маршрутизации с 2 сторон покажите.
Шлюзы пингуются? Со стороны коммутатора 100% всё работает. Нужно разбираться в оконечных хостах.

[Евгений Т]

Добрый день.

Выполнили рекомендации? Заработала схема?

[vikegorov]

Добрый день. Нет пока. В командировке, нет доступа к устройствам. Спасибо за заботу ). Я обязательно или сообщу о решении проблемв или начну вас опять терроризировать.

[vikegorov]

Добрый день.

Выполнили рекомендации? Заработала схема?

Спасибо. Все получилось. Конечно хотелось бы что бы оходилось все без лишних настроек компьютеров пользователя, но хоть так на данный момент

[Евгений Т]

Добрый день.

Без настройки маршрутов со стороны пользователя не получится, потому что это обязательное условие. В схеме с коммутатором любого другого вендора пришлось бы также настраивать маршруты со стороны пользователей.
Единственный возможный вариант по DHCP раздавать пользователям вместе с IP-адресом и маршруты.

[vikegorov]

Я не понимаю тогда как у нас на работе настроено (используется Cisco). Без прописывания маршрутов я могу видеть подсети других филиалов. Доступа нет посмотреть.