---

Jeg vil gerne vide følgende:

1) I en layer-3 switch med indbygget VLAN må det være muligt at route mellem
de forskellige VLAN's - ik' - dette uden brug af andre enheder (som fx. en
eller flere routere)?

2) Hvis der på netværket eksisterer flere VLAN-switche, kan de så udveksle
informationer om hinandens tilknyttede VLAN? Er det dette der kaldes
trunking?

3) Kan der oprettet ACL'er på disse/sådanne switche - access lister -
således, at man styrer hvilken trafik der kan gå fra et VLAN til et andet...
på portniveau - f.eks. tillad kun http (eller port 80) trafik - og kun på
reply....?

4) Såfremt der kan opfyldes ovenstående "krav" på VLAN/Layer3-switche -
kender I så nogle mærker/modeller der har det hele i sig???

mvh
Jakob!

---

"Jakob" <jhh_remove_@it.dk> wrote:

>1) I en layer-3 switch med indbygget VLAN må det være muligt at route mellem
>de forskellige VLAN's - ik' - dette uden brug af andre enheder (som fx. en
>eller flere routere)?

Ja. Du terminerer VLAN i virtuelle interfaces, hvor du kan route
mellem på samme vis som med fysiske.

>2) Hvis der på netværket eksisterer flere VLAN-switche, kan de så udveksle
>informationer om hinandens tilknyttede VLAN? Er det dette der kaldes
>trunking?

Hmm - det kommer an på hvad du mener med "udveksle information". En
trunk overføre taggede pakker, således at hvis switch 1 tagger dem med
VLAN X så ved switch 2 der modtager den over en trunket linie at den
tilhører VLAN X.

Hvis du mener udveksling af VLAN informationer (f.eks. navnet) så er
der en protokol der hedder VTP. Den findes på Cisco, kan ikke huske om
det er proprietært.

>3) Kan der oprettet ACL'er på disse/sådanne switche - access lister -
>således, at man styrer hvilken trafik der kan gå fra et VLAN til et andet...
>på portniveau - f.eks. tillad kun http (eller port 80) trafik - og kun på
>reply....?

Ja til accesslister. Normalt filtrerer man egress/ingress på
interfaces, men nogle switche kan også filtrere på VLAN (VLAN ACL) -
dvs. filtrering på samme broadcastdomæne og uden at pakkerne passerer
(virtuelle) interfaces. F.eks. Ciscos Catalyst 5500 og 6000 serie med
rette supervisor og feature card ...

Vedr. retningsbestemt filtrering. Tja, accesslists er ikke stateful,
men du kan til en vis grad opnå det ved at kigge på TCP SYN.

>4) Såfremt der kan opfyldes ovenstående "krav" på VLAN/Layer3-switche -
>kender I så nogle mærker/modeller der har det hele i sig???

Cisco Catalyst 3550 EMI kunne være et forslag.

--
Lars Kim Lund
http://www.net-faq.dk/

---

On Fri, 13 Sep 2002 00:26:20 +0200, "Jakob" <jhh_remove_@it.dk>
wrote:

> 1) I en layer-3 switch med indbygget VLAN må det være muligt at route mellem
> de forskellige VLAN's - ik' - dette uden brug af andre enheder (som fx. en
> eller flere routere)?

Ja, det er den normale brug af udtrykket 'L3-switch'.

> 2) Hvis der på netværket eksisterer flere VLAN-switche, kan de så udveksle
> informationer om hinandens tilknyttede VLAN? Er det dette der kaldes
> trunking?

Ja, der er normalt at den slags switche kan trunke VLAN.

> 3) Kan der oprettet ACL'er på disse/sådanne switche - access lister -
> således, at man styrer hvilken trafik der kan gå fra et VLAN til et andet...
> på portniveau - f.eks. tillad kun http (eller port 80) trafik - og kun på
> reply....?

Det er lidt forskelligt, hvad kasserne har af funktionalitet, men
det er normalt, at man på en 'L3-switch' kan lave filtrering, ja.

> 4) Såfremt der kan opfyldes ovenstående "krav" på VLAN/Layer3-switche -
> kender I så nogle mærker/modeller der har det hele i sig???

Masser. (Men du har ikke angivet noget om antal eller typer af
porte, eller andre funktionelle krav).

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/