» VLAN

shadder87
Вам все равно надо назначать pvid для untagged порта, а иначе как он будет знать как именно маркировать принятый пакет.

в первом случае в настройках коммутатора нет возможности выставить PVID, видимо они сами как то проставляются
Во втором случае (ассиметричный vlan) - там прям есть настройка PVID.

Почитал http://www.dlink.ru/up/uploads_media/asymmetric_vlan.pdf
Лучше настроить traffic_segmentation на длинке, это сильно проще.


Добавлено:
shadder87
ну тогда сделвйте по первому варианту + сегменатция

Есть коммутатор 3-го уровня HP1910-48G - моя сеть. Есть коммутатор 2-го уровня HP1810-24G там другой отдел. Нужно его присоединить в мою сетку, чтобы он ходил в инет и чтобы из моей сети его никто не видел.
На 1910 создал VLAN3 - 2,3 порт Untagged. Прописал подсеть для него 192.168.10.1/24
На 1810 создал VLAN3 - 2,3 порт Untagged.
Скажите, как правильно соединить коммутаторы?

Выведите оба коммутатора в отдельный влан,
для клиентских машин - отдельный влан

линки между свитчами в управляемом влане сделайте тэгом, а для клиентских машин, которые в отдельном влане - антэгом, не понимаю в чем проблема

в итоге коммутаторы будут видеть друг-друга, а клиенты с обоих свитчей будут ходить в инет, при этом не видя оба коммутатора - чтобы попадать на коммутатор - заверните себе в порт managment влан и все

Выведите оба коммутатора в отдельный влан

то есть Допустим 1910 - влан1, а 1810 - влан2

Уточните нюанс... вам нужно чтобы клиенты HP1910-48G могли видеть клиентов HP1810-24G, или чтобы клиенты одного отдела не видели клиентов другого? Но при этом оба отдела ходили в инет...

клиенты отдела 1910 не должны видеть клиентов 1810, но в инет ходить должны все.
По возможности клиенты 1810 должны видеть файлообменник, который подключен к 1910

AntoshkaUst
Как сказали выше.
Менеджемнт свичей в отльный vlan ( например vlan2 )
Порты двух отделов а разные untagged vlan'ы - 3 и 4 например.
Порт между свичами в tagged\trunk режим переводите, заводите там все 3 влана.
Файлсервер цепляете к тэгированому порту, куда заходите vlan3,vlan4 например. Сетевая карта должна уметь 802.1q. Например Intel это точно умеют.
На роутер (я надеюсь это не SOHO огрызок?) тоже заводите vlan'ы тэгом и маршрутизируете между собой все 3 влана, ограничив доступ между ними файрволом.
PS: ессно в разных вланах надо будет разные IP подсети использовать.

Настройка 1910
По умолчанию все порты в вилан1.
48 порт - tagged.

ID Description Untagged Membership Tagged Membership
1 VLAN 0001 GE1/0/1-GE1/0/47, GE1/0/49-GE1/0/52 GE1/0/48

Понятия trunk нету, есть modifi port (Enter VLAN IDs to which the port is to be assigned) - если правильно понимаю, указываются номера виланов, которые через этот порт ходить будут.
Port Untagged Membership Tagged Membership Link Type PVID
GE1/0/48 1,3 Hybrid 1

Есть еще вкладка Voice VLAN - указывается подсеть для конкретного вилана.


Настройка 1810
1 порт - taged (вилан1)
3 порт - вилан3 untagged
создал транк1 - порт1 membership

Подскажите что исправить или добавить

Настроил связь между свичами.
Не получается настроить связь с файл сервером.
Файл-сервер подключил к тэгированному порту на 1910. на этом порту указал все свои виланы, но комп из 1810 (вилан 3) не видит сервер (тэгированный порт вилан1, вилан3)
8-/

В 1910 есть IPv4 Routing.
Может нужно маршрут указать?

Файлсервер принимает все тэги? В fdb таблице маки видны?


Добавлено:

Цитата:

Настройка 1910
По умолчанию все порты в вилан1.
48 порт - tagged.
 
ID Description            Untagged Membership            Tagged Membership  
1   VLAN 0001   GE1/0/1-GE1/0/47, GE1/0/49-GE1/0/52      GE1/0/48  
 
Понятия trunk нету, есть modifi port (Enter VLAN IDs to which the port is to be assigned) - если правильно понимаю, указываются номера виланов, которые через этот порт ходить будут.
  Port        Untagged Membership Tagged Membership Link Type PVID    
GE1/0/48                                     1,3                 Hybrid 1  
 
Есть еще вкладка  Voice VLAN - указывается подсеть для конкретного вилана.
 
 
Настройка 1810
1 порт - taged (вилан1)
3 порт - вилан3 untagged
создал транк1 - порт1 membership
 
Подскажите что исправить или добавить

Не могу понять какой у вас из портов между свичами а какой к железке?

Цитата:

Не могу понять какой у вас из портов между свичами а какой к железке?

48 порт на 1910 с 1 портом на 1810
43 порт на 1910 подключен файл сервер

Port Untagged Membership Tagged Membership Link Type PVID
GE1/0/48 1-2 Hybrid 1
GE1/0/43 1-2 Hybrid 1

(3 вилан убрал, создал 2)


Цитата:

Файлсервер принимает все тэги? В fdb таблице маки видны?

В таблице маков полно таких записей, и все на первый интерфейс и 1 вилан
MAC VLAN ID Type Port
0006-4f90-4c5e 1 Learned GigabitEthernet1/0/1
через 1 порт 1910 подключен к общей сети и это маки компов видимо.
есть запись
0022-15ec-e68a 1 Learned GigabitEthernet1/0/43 - это как раз железка.

А про теги как посмотреть не знаю.

Как минимум в 1 порт на 1810 надо добавить 3 tagged
На 48 и 43 порты 1910 тоже vlan 3 tagged
И на 1/0/43 маки должны быть несколько раз(в каждом влане по одному и тому же маку скорее всего). На сервер созданы тэгированные интерфейсы?
Должно быть как минимум так:
1910:
GE1/0/48 1,2,3 TAG
GE1/0/43 1,2,3 TAG
1810:
GE1/0/1 1,2,3 TAG
GE1/0/3 2 или 3 UNTAG (я уже запутался что у вас там должно быть).


Цитата:

В 1910 есть  IPv4 Routing.  

Забудьте про роутинг свичем, это не очень хорошо работает и никак не ограничивает доступ между подсетями. роутить надо маршрутизватором а не коммутатором.



Добавлено:
AntoshkaUst

Цитата:

0022-15ec-e68a 1 Learned GigabitEthernet1/0/43 - это как раз железка.
 

Должно быть както так:

Код:
#sh mac-address-table interface ethernet 1/8
Read mac address table....
Vlan Mac Address Type Creator Ports
---- --------------------------- ------- -------------------------------------
2 00-1b-21-56-6d-59 DYNAMIC Hardware Ethernet1/8
5 00-1b-21-56-6d-59 DYNAMIC Hardware Ethernet1/8
8 00-1b-21-56-6d-59 DYNAMIC Hardware Ethernet1/8
10 00-1b-21-56-6d-59 DYNAMIC Hardware Ethernet1/8

продолжаем изучать vlan. как бы с двумя коммутаторами на которых имеется несколько vlan и которые соединены транковыми портами все вроде понятно, а вот как дело обстоит если коммутаторы соединены гирляндой?
например:
на первом коммутаторе есть vlan 2,3,4 и транковый порт (или он не нужен?), к транковому порту которого подключен следующий коммутатор с vlan 5,6,7 (только каким портом его подключать? и как этот порт настраивать транк или алцес), ко второму коммутатору подключен третий с vlan 8,9,10 и т.д., вопрос:
как настраиваются такие коммутаторы, и как настраивается последний который должен принять все эти vlan.

vlh

все порты которыми будут соединяться коммутаторы, должны быть настроены как транковые.

Цитата:

все порты которыми будут соединяться коммутаторы, должны быть настроены как транковые.

то есть на одном коммутаторе будет два транка? один смотрит выше по цепочки а второй ниже, и на них можно прописывать каким vlanам можно ходить через этот транк а каким нет, так как по умолчанию разрешено ходить всем? я не внимательно прочитал мануал и как бы не правильно понял то что на одном коммутаторе может быть всего один транк.

Цитата:

то есть на одном коммутаторе будет два транка? один смотрит выше по цепочки а второй ниже, и на них можно прописывать каким vlanам можно ходить через этот транк а каким нет, так как по умолчанию разрешено ходить всем? я не внимательно прочитал мануал и как бы не правильно понял то что на одном коммутаторе может быть всего один транк.

Да, всё верно.

что значит 2 транка ? транк - это режим работы порта, еще есть режим работы аксес. В первом случае пакеты маркируются , во втором - нет.

Так что если ты хочешь, чтобы твои вланы были на всех коммутаторах, то эти коммутаторы должны быть соединены через транк.

Цитата:

транк - это режим работы порта

это и имелось ввиду, два порта которые будут работать в режиме транка.
на порту который смотрит вниз по цепочки разрешаем vlan которые там есть а на порту который смотрит вверх все те же и плюс еще те которые на этом коммутаторе, ну и на последнем все vlan всех коммутаторов.
еще, если не сложно на пальцах, как делается управляемый vlan для этих коммутаторов.

interface Vlan7
ip address 192.168.7.53 255.255.255.0
no ip route-cache


как несложно догадаться управляемый влан у меня 7


Цитата:

на порту который смотрит вниз по цепочки разрешаем vlan которые там есть а на порту который смотрит вверх все те же и плюс еще те которые на этом коммутаторе, ну и на последнем все vlan всех коммутаторов.

чаще всего это делается, чтобы трафик лишний не бегал.


Код: interface FastEthernet0/4
description "port 1 ZyXEL P-793H 192.168.7.9"
switchport trunk native vlan 7
switchport trunk allowed vlan 2,3,7
switchport mode trunk
speed 10
duplex full

Цитата:

как несложно догадаться управляемый влан у меня 7

опять тормознул я, конечно на том vlan на котором ip тот и будет управляемым и его из других vlan не видно. на портах транка разрешаем ему проход верх по цепочки так он и дойдет до ПК администратора.
спасибо.

в 7-ом влане у коммутатора есть айпишник, чтобы добраться по этому айпишнику до коммутатора нужно чтобы компьютер был тоже в 7-ом влане.

Цитата:

нужно чтобы компьютер был тоже в 7-ом влане.

это понятно, но что бы этот vlan был виден на первом коммутаторе (в который включен ПК администратора) его надо разрешить на всех транках которые настроены на промежуточных коммутаторах, разве нет?

Цитата:

разве нет?

Да, именно так.

Цитата:

это понятно, но что бы этот vlan был виден на первом коммутаторе (в который включен ПК администратора) его надо разрешить на всех транках которые настроены на промежуточных коммутаторах, разве нет?

если ты о
Код: switchport trunk allowed vlan 2,3,7

Цитата:

allowed

разрешено.
с wiki:

Цитата:

По умолчанию в транке разрешены все VLAN. Можно ограничить перечень VLAN, которые МОГУТ передаваться через конкретный транк.

из чего следует если я на транках всех коммутаторах не добавлю в этот список:

Код: sw1(config)# interface fa0/22
sw1(config-if)# switchport trunk allowed vlan 1-2,10,15

http://www.pitbooks.ru/cisco/


1) нужно поднять айпишник в влане7 на коммутаторе
2) естественно влан7 должен заходить на нужный коммутатор

З.Ы. опять же нужно еще каким-то образом администратора запихнуть в 7-ой влан. Либо включить его машину в транк ( интеловские сетевухи например умеют в транке работать, с ними даже софта идет), либо настроить маршрутизацию между сетями через роутер.

Добавлено:

Цитата:

из чего следует если я на транках всех коммутаторах не добавлю в этот список:

Код:
sw1(config)# interface fa0/22
sw1(config-if)# switchport trunk allowed vlan 1-2,10,15

vlan 7, то администратор не получит доступ к коммутаторам.
что я не правильно написал?

наоборот :) если ты его добавишь, то 7-ой влан по транку не пойдет.


Код: sh vlan brief

VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active
2 inet.lk active
3 inet.is active Fa0/23
4 imc active
7 management active Fa0/24
21 gek active
22 roshe active
23 wallsticker active
55 lk active Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22

Цитата:

наоборот если ты его добавишь, то 7-ой влан по транку не пойдет.

то есть в статье - http://xgu.ru/wiki/VLAN (Разрешенные VLAN'ы) ошибка?

почему?

где в строке 7-ой влан?
switchport trunk allowed vlan 1-2,10,15