» VLAN

DeathKnight
А у вас на втором тоже VLAN'ы настроены? Вы вообще используете dot1q или только port vlan, а первый порт по приколу тегировать решили?..
Пока что я вижу что Вы вообще настраиваете только PVID (Port VLAN ID).

Я не уверен что это D'Link'овская железка умеет определять порт в 2 VLAN'а. А вот принимать несколько различных VLAN'ов как протокол - должна уметь.

В общем, IMHO, trunk - это Ваш вариант, с учётом того как я сейчас вижу ситуацию.

Alukardd

Цитата:

Пока что я вижу что Вы вообще настраиваете только PVID (Port VLAN ID).

Да нет, PVID VLAN подразумевает только нетегированые порты в разных VLAN-ах, он как раз делает стандартные IEEE 802.1q (VLAN) симметричные виланы.
Просто в ДЛинках 1-ый вилан дефолтный (он же нативный, и управление по нему-же) и по уолчанию отдается во все порты антегом, и есть такая то-ли фича (может чтобы не потерять управление) , то-ли глюк, но для того, чтобы 1-ый вилан отдать в порт тегом, его надо сначаля явно удалить с порта, чего похоже товарищ не сделал, и только поэтому еще ним управляет и по первому вилану у него что-то ходит. Поэтому, как правило на ДЛинках первый вилан тегировать не принято, хотя и можно. И по тому, что он привел, у него из первого порта первый вилан выходит антегом а второй и третий тегом, а на втором конце виланы вообще не прописаны.

DeathKnight

Что за железо у вас включено в первый порт, настроен ли там интерфейс для принятия тегированных фреймов, и вообще такое ощущение, что вы не очень понимаете, зачем вам это надо.

PS У Длинка терминология "тег - антег", равнозначна цисковской "транк - аксес"

В общем вот что я пробовал сделать для теста и понимания
http://clip2net.com/s/6Ax8pc

чтобы VLANы были изолированы друг от друга, но имели доступ ко всем портам SW0 (т.е. интернет и сервера) , а компы в VLAN 2 на обоих коммутаторах видели друг друга


включал и GRPV на 1-х портах SW1 and SW2, и транк - ничего не помогает....
и я, соответственно, ничего уже не понимаю...

а вот что я хотел сделать в будущем:
http://clip2net.com/s/6Ax0Wl

т.е. чтобы TroubleSwitch и присоединённые к нему компы относились к сети VLAN1 (192.168.1.0/24) и имели связь только с соответстующим VLAN1 серверам....

Мне вообще интересно, настраивая vlan'ы, вы между ними маршрутизацию делаете?
Если вы просто отрежете порты то работать не будет.

ох блин.....т.е. если судить по диаграммам, то я должен завести маршрутизацию VLANов в Gateway (PFSENSE) и, если брать первый пример, то портам, идущих от коммутаторов к коммутаторам или коммутатора к гейту, присвоить VLAN Trunk и GPRV dot1q????

а в случае второго примера присвоить VLAN Trunk и GPRV dot1q только между коммутаторами DGS-3120 + между гейтом?

goletsa
Почему это не будет? Если там всё в одной подсети работает, то VLAN'ы именно что на уровне портов коммутатора ограничат взаимодействие между клиентами. А маршрутизацию там просто не между чем настраивать.

Alukardd
А как вы в рамках 3 vlan'ов сделаете одну подсеть?
На картинке я три vlan'а насчитал.
На другой 2 правда.
Есть конечно ip unnumbered, но тут о нем нет смысла говорить.
DeathKnight
Все магистральные порты Trunk,802.1q Tagged.
Абонентские порты - Untagged, Native Vlan ставите тот который надо для группы клиентов.
Порт к маршрутизатору тоже Tagged. Заводите там 2 сети для 2 vlan'ов, если обоим надо в интернет.
Возможно на маршрутизаторе надо будет задать правила доступа из сети1 в сеть2 (ipfw если у вас pfsence).
GVRP вам не нужен, это динамическая регистрация vlan'ов на портах. При таком количестве vlan'ов он просто бесполезен.

Цитата:

Модель: DGS-3120-24TC

DeathKnight

Цитата:

то я должен завести маршрутизацию VLANов в Gateway (PFSENSE)

Не обязательно, ваша железка сама поддерживает маршрутизацию, на виланах создаются виртуальные интерфейсы ipif и им присваиваются IP-адреса.

второй вариант, есть у D-Link такие костыли - Ассиметричные виланы, но не советую.

Так... по поводу маршрутизации двух сетей ( http://clip2net.com/s/6Ax0Wl ) я более менее понял...
но вот по поводу тестового варианта ( http://clip2net.com/s/6Ax8pc ) если используется одна подсеть - то как мне смаршрутизировать VLANы? и каким портам что присвоить на всех трёх коммутаторах?

----SW1----
VLAN1
Current Tagged Ports : 1:1
Current Untagged Ports: 1:3

VLAN2
Current Tagged Ports : 1:1
Current Untagged Ports: 1:5

VLAN3
Current Tagged Ports : 1:1
Current Untagged Ports: 1:7

VLAN Trunk - 1-й порт

----SW2----
VLAN2
Current Tagged Ports : 1:1
Current Untagged Ports: 1:5

VLAN Trunk - 1-й порт ( или ещё + 2-й порт?)


что ещё надо сделать чтобы заработало?

ЗЫ. а то совсем каша в голове - пока все не заработает - имхо ничего уже не пойму )))

goletsa
А что мне помешает? Ну не увидит клиент 192.168.1.3 клиента 192.168.1.15 в связи с тем, что они будут в разных VLAN'ах и что?
Если нужно наладить взаимодействие через какой-то центральный девайс где все VLAN'ы терминируются, то тогда разные подсети, а так-то что городить за зря?

Ну может всё-таки кто-нибудь сообщит, что добавить в настройки?

Alukardd
Вангую что обоим клиентам надо будет в интернет.


Добавлено:
DeathKnight

Цитата:

если используется одна подсеть - то как мне смаршрутизировать VLANы?

Никак. Они будут изолированы друг от друга.

Цитата:

----SW2----
VLAN2
Current Tagged Ports  : 1:1
Current Untagged Ports: 1:5

А остальные vlan где?
Или вы только хотите связать между собой SW2:Port5:vlan2 с SW1:Port5:vlan2?
Тогда достаточно:

Цитата:

----SW2----
VLAN2
Current Tagged Ports  : 1:1
Current Untagged Ports: 1:5

Цитата:

----SW1----
VLAN2
Current Tagged Ports  : 1:1
Current Untagged Ports: 1:5

Кстати, непонятно какой vlan на SW0? vlan1?
И DHCP в vlan2 не будет. Только статика. Которую настроете как хотите.

goletsa
и-и-и? Попадут в интернет как миленькие. Для шлюза они оба обычные клиенты в одной подсети, просто до друг друга клиенты достучаться не смогут из-за VLAN'ов.

Alukardd
Эм. А как вы на шлюзе будете эти vlan'ы терминировать?
Друг до друга они и через traffic-segmentation могут не достучаться.
Но при делении на vlanы, это все равно что у вас несколько сетей.


Добавлено:
Alukardd

Цитата:

росто до друг друга клиенты достучаться не смогут из-за VLAN'ов.

Друг до друга и до шлюза.
Он допустим в vlan1
Клиент в vlan2
Покажите схему при которой он достучится до шлюза.

goletsa
Не, шлюз я в такой схеме на trunk'овый порт.

Alukardd

Цитата:

Не, шлюз я в такой схеме на trunk'овый порт.

Ну и на самом шлюзе придется завести все vlan'ы.
А две одинаковых сети\адреса на 2 сетевые не ок получится прописывать.

goletsa
А на кой шлюзу работать в такой схеме с тэгированным трафиком вообще? Он можем положить вообще на VLAN'ы и не париться.

Alukardd

Цитата:

А на кой шлюзу работать в такой схеме с тэгированным трафиком вообще? Он можем положить вообще на VLAN'ы и не париться.

Положить на vlan'ы = работать с vlan1
Ибо обычно он по умолчанию.

goletsa
Положить на VLAN'ы — значит игнорить dot1q протокол и смотреть на пришедший пакет как на обычный ethernet кадр.

Alukardd
А ответ куда пойдет?

goletsa
Я понял к чему Вы клоните, однако проверить возможности сейчас нету. Тем не менее я считаю что выглядеть ответ будет так:
- на порт коммутатора придёт ответ от шлюза не тэгированый каким-либо VID'ом
- т.к. пакет не имеет VLAN'а, то коммутация будет происходить на основе MAC'а, как обычно
- MAC он разумеется найдёт на нужном порту
- т.к. порт в который воткнут шлюз входит во все VLAN'ы, то ACL'и должны разрешить отправить его в любой порт любого VLAN'а

Ну а т.к. остальные порты у нас access, то клиенты об этом вообще ни чего не подозревают. Если я где что пролажал, готов выслушать критику)

Alukardd


Цитата:

т.к. пакет не имеет VLAN'а, то коммутация будет происходить на основе MAC'а, как обычно

будет считаться, что пакет принадлежит VLAN1


Цитата:

MAC он разумеется найдёт на нужном порту

будет искать только на тех портах, которые тоже входят во VLAN1, если мак будет на этом порту, фрейм будет передан в этот порт


Цитата:

т.к. порт в который воткнут шлюз входит во все VLAN'ы

на любом порту может быть только один VLAN антегом (в нашем случае VLAN1), остальные тегом.

я уже писал раньше, то, что вы имеете ввиду, будет работать на D-Link если использовать не стандарт dot1q, а их разработку Asymmetric VLAN. Она как раз и позволяет прописать на порту больше одного VLAN антегом.

смысл в том, что при моих настройках не работает совершенно ничего
никто не может достучатся даже до гейта....
но на гейте я же реально _не_ должен прописывать несколько VLANов из одной подсети...
может конечно надо все VLANы прописать на SW0, но это на данный момент сделать сложно...

DeathKnight

Цитата:

но на гейте я же реально _не_ должен прописывать несколько VLANов из одной подсети...

Должны прописывать vlan'ы. Со своими подсетями.
Если хотите чтобы они ходили в инет.
У вас я вообще не вижу чтобы vlan2 уходил на SW0
Воткните в SW1 и SW2 в 5 порт по компу с другими статическими адресами.
Например 172.16.0.1 172.16.0.2
Они будут между собой пинговаться
Но щлюз вам не будет доступен.


Добавлено:
Да даже если адреса будут 192.168.1.x, связь с гейтом не будет.
Только между собой

DeathKnight

Цитата:

прописывать несколько VLANов из одной подсети...

что вы тут имеете ввиду под "одной подсетью"?

если IP-подсеть, то она не имеет никакого отношения к VLAN-ам, VLAN-ы вообще про IP ничего не знают, они работают на другом уровне OSI, а вы не понимаете идею VLAN и вам будет трудно что либо объяснить

если под подсетью имеется ввиду широковещательный сегмент сети, то в каждом VLAN-е он свой, и опять же (см. выше) нет понимания идеи VLAN.

Да как тут поймешь, когда один говорит, что SW0 и гейту должно быть пофигу на VLANы (по идее если на SW0 идет не тегированный пакет - то это возможно действительно так- но у меня не работает)

другой говорит, что SW0 и гейту надо прописывать все VLANы (это не возможно, т.к. используется одна IP подсеть)

но никто реально не подсказал, что именно надо допрописать, а именно это мне и необходимо для понимания, а не ответы вокруг да около!
задачка то, имхо, элементарная для знающих, а никто толком так и не ответил на неё...

DeathKnight
Вам надо понять саму концепцию vlan'ов и для чего их использовать.
Пойдем через аналогии.
Представьте что у вас 2 свича. На одном написано vlan1, на другом vlan2. Они лежат в коробке которая называется DGS3xxx
И между собой никак не связаны. Рядом еще одна коробка есть. В которой тоже 2 свича.
При этом маленькие свичи с надписями vlan1 могут соединяться только с такими же.
vlan1 и vlan2 вы напрямую соединить не можете.
Так понятно?
Гейт который в sw0 подключен к свичу vlan1 и связи с vlan2 не умеет, это разные LAN.

DeathKnight
Цитата:

но никто реально не подсказал, что именно надо допрописать

Да, со знающими просто беда...
Я вот мечтаю сыграть на скрипке 5 концерт Паганини,
скрипку раньше в руках не держал, попросил одного из виртуозов
научить меня за пять минут, куда нажать, и где дернуть,
а он пальцем у виска покрутил...
Задача твоя не имеет однозначного решения, и может быть вообще не решаема на твоем оборудовании.
VLAN-ы бывают разные, и свитчи бывают разные. Некоторые свитчи позволяют
поместить порт сразу в несколько VLAN. Тогда твоя идея сработает, если сервак
воткнуть в такой порт, все компы в других VLAN его будут видеть, а соседние VLAN-ы - нет.
Ессть свитчи, на которых порт можно объявить транком, и там будут ходить пакеты
из всех VLAN с соответствующими тегами 802.1q. Тогда сетевуха на серваке тоже
должна поддерживать тегирование. Интерфейс разбивается на несколько
субинтерфейсов для каждого VLAN, каждому присваивается свой айпи,
естественно в разных подсетях. Скажем для дефолт VLAN это будет
192.168.1.1 255.255.255.0, для VLAN2 192.168.2.1 255.255.255.0,
для VLAN3 192.168.3.1 255.255.255.0,....
Все VLAN будут видеть свой интерфейс сервера, цепляться к базе, ходить в инет.
А общение VLAN друг с другом - только через сервер и маршрутизацию L3.
И еще что меня изумляет, это когда хотят "взрошлых" решений,
а реализовать его пытаются на барахле типа D-Link, предназначенного
для "домашнего" сегмента.

vlary

Цитата:

И еще что меня изумляет, это когда хотят "взрошлых" решений,
а реализовать его пытаются на барахле типа D-Link, предназначенного
для "домашнего" сегмента.

тут вы погорячились, DGS-3120-24TC вполне приличная железка, у нас в SPb полным ходом используется многими провайдерами, не говоря уже про офисные сети.


Добавлено:
Типичная роль - узловой коммутатор или коммутатор здания.

Цитата:

Да, со знающими просто беда...
Я вот мечтаю сыграть на скрипке 5 концерт Паганини,
скрипку раньше в руках не держал, попросил одного из виртуозов
научить меня за пять минут, куда нажать, и где дернуть,
а он пальцем у виска покрутил...

я никого не просил меня научить, я просил показать на элементарном примере.
и если уж брать данное дурацкое сравнение - то в моём случае тому самый виртуозу было бы достаточно 1 раз сыграть на скрипке, а не рассказывать как правильно держать смычок и из какого дерева лучше покупать скрипку


Цитата:

Некоторые свитчи позволяют
поместить порт сразу в несколько VLAN. Тогда твоя идея сработает, если сервак
воткнуть в такой порт, все компы в других VLAN его будут видеть, а соседние VLAN-ы - нет.

Ессть свитчи, на которых порт можно объявить транком, и там будут ходить пакеты
из всех VLAN с соответствующими тегами 802.1q. Тогда сетевуха на серваке тоже
должна поддерживать тегирование.

Показанные в примере свичи поддерживают и то и другое

окей, раз примеров решения не будет, тогда напоследок задам пару вопросов - на которые хотелось бы услышать ответы в стиле - да/нет - т.е. без всяких оценок моих знаний и прочей белеберды:

1. если взять пример http://clip2net.com/s/6Ax8pc , где разделены VLANы посредством 802.1Q - то во всех коммутаторах и гейте, должны быть прописаны все эти самые VLANы ?
2. Достаточно ли на SW2 прописать только VLAN2, а портам 1,2 сделать опцию транковый VLAN с учётом того, что все VLANы изолированы друг от друга?
3. Реально каким либо образом смаршрутизировать все VLANы на SW2, чтобы на выходе в SW0 они воспринимались без меток VLANа, и, соответственнно, все имели доступ к GATE, Servera ?
4. Т.к. скорее всего пункт 3 будет иметь отрицательный ответ - то в данном примере получается нельзя никак сделать работающую модель без разбития на подсети (192.168.1.0/24, 192.168.1.1/24, ...) дабы иметь возможность прописать все VLANы на GATE?