Как понять в cisco из-за чего vlan'ы стали видны друг другу?

Вообщем в крадце перед новым годом произошла какая-то фигня с сетью и начались траблы.. все VLANы стали видны друг другу.. а их более 24штук..
пользователи, телефония, камеры, сервера и т.п.
вообщем имеем.
-два ЦОДа с виртуалками(в каждом СХД); цоды-железо в 250вланах, вирт. сервера 100ый
-два центральных свича Catalyst 4500
на них уходят trunk'и на стэки и ЦОДЫ:
!
interface TenGigabitEthernet2/10
description ----- Link to STACK1 -----
 switchport trunk allowed vlan 10,20,30,40,50-55,57,60,61,104,110,192,200,250........
 switchport mode trunk
!
interface GigabitEthernet3/5
 description --link to  ЦОД  собственно у меня еще подозрения в глюках vCentra с его вритуальным свичом--
 switchport trunk allowed vlan 10,20,30,50-53,55,57,60,61,100,104,110,200,250........
 switchport mode trunk
!
!
interface GigabitEthernet3/6
 description ----- link to ESXi -----
 switchport trunk allowed vlan 10,20,30,50-53,55,57,60,61,100,104,110,200,250..........
 switchport mode trunk
!         
.... и т.п........

-3x3 стэка цисок C2960S там чисто настроены порты на access например пользователи:
!
interface GigabitEthernet1/0/5
 switchport access vlan 10
 switchport mode access
 switchport voice vlan 40
 spanning-tree portfast
 spanning-tree bpduguard enable
!

- есть маршрутизатор C2951 но о нём ниже.
с каждого стэка идет по оптике 10Gbit в 4500 (в оба)
каталисты 4500 между собой оптика 10Gbit

так... это была примерно схема.... там еще куча всяего железа типо айрон портов 4 штуки... cisco wlc5508 но оно неважно.
вернемся к каталисту 4500
все вланы описаны
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 description ----- Users Vlan -----
 ip address 10.100.10.2 255.255.255.0
 ip helper-address 10.100.100.250
 no ip redirects
 standby 10 ip 10.100.10.1
 standby 10 timers 1 3
 standby 10 priority 110
 standby 10 preempt delay minimum 120
 ip policy route-map Internet_access  ну и сами правила на интернет
!

поумолчанию весь трафик идет на C2951 но правилами Internet_access разруливаем кому куда можно но это я тоже думаю тут неричем(я порты идущие к нему вырубал ни чего не менялось кроме интернета). там еще разные подсетки которые уходят на vpn но приведу пример основного:
!
ip route 0.0.0.0 0.0.0.0 10.100.200.1
ip route 10.0.0.0 255.0.0.0 10.100.100.212
!


и сама проблема в том что пользователи(10влан) стали попадать в ВЛАНы(например влан61) не предназначенные для них:
raceroute to 10.100.61.32 (10.100.61.32), 30 hops max, 60 byte packets
1 10.100.10.2 (10.100.10.2) 0.897 ms 1.037 ms 1.126 ms
2 10.100.61.32 (10.100.61.32) 0.418 ms 0.524 ms 0.610 ms

собственно вопрос.. куда смотреть? что крутить... задайте направление
  • Вопрос задан
  • 404 просмотра
Пригласить эксперта
Ответы на вопрос 1
@tamogavk
@deni4ka
Смотреть туда, где находится терминация данных вланов и отсекать там-же access-list-ами
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
22 февр. 2020, в 03:24
10000 руб./за проект
21 февр. 2020, в 21:48
12000 руб./за проект
21 февр. 2020, в 21:45
12000 руб./за проект