Ассиметричный VLAN на D-Link DGS-3620-28TC

Что такое ассиметричный влан?

Так или иначе, без l3 вы такое не сделаете, мне кажется. Нужно маршрутизировать из одного влана в интернет и из другого влана в интернет, а из влана во влан - не пускать.

Проблема решена, пожалте.

http://habrahabr.ru/post/114646/

Тут рассказывается о настройке Private VLANs. Компы, находясь в одном ВЛАНе и одной сети, друг друга не видят. Образовалось нечто вроде НАТа, как я понимаю. И все это в одном ВЛАНе. Второй ВЛАН в режиме АпЛинка раздает инет.

Голова два уха. Ничего, что по ссылке на картинке еще роутер нарисован?

Господи... И что? Там нарисовано устройство, от которого идет аплинк в свитч. А на свитче уже настроен Private VLAN. Так нет, ничего страшного, что там нарисован роутер. Если бы такие требования были для объединения нескольких свитчей, то вопроса бы не было.

Образовалось нечто вроде НАТа

Волшебным образом, оок, удаляюсь.

Выхватить фразу из контекста, это манера общения тролля. Дальше, там было продолжение «Вроде как». Т.е., я не уверен, а создалось такое впечатление. Таким образом, я сознаюсь в том, что точно не знаю, как оно там работает.

запомни, АСиММетрия - совсем не от слова «жопа»!

по делу - http://www.manualslib.com/manual/419273/D-Link-Dgs-3620-28pc-Si.html?page=81

primary vlans

secondary vlans

Там вложенные вланы? И это умеет длинк из сабжа?

Ну, вообще да. Это достаточно навороченный свитч 3-его уровня. Просто не хочу юзать много костылей для решения достаточно тривиальной задачи. Вот и заинтересовался, как это осуществить.

Народ, вот к вам вопрос. Не могу понять, что это и зачем нужно. Вот фотка указанного в сабже свитча: http://www.google.ru/imgres?imgurl=http://www.d-link.su/sites/default/files/i...

Справа вы можете увидеть дисплей с цифрой 18. Сейчас у меня на нем горит 1, но 18 горит во время загрузки. Что это такое? Для чего?

номер коммутатора в стеке, если стек не настроен можно игнорировать

Спасибо большое!!! Всю голову себе уже сломал)))

не хочу юзать много костылей

вложенный влан

Нифига себе :)

Вообще давно хотел поиграться с вланами, но как-то не подворачивается случая.

и да, правильно сказали выше - у вас там роутер стоит выше. Если этот роутер не будет уметь вланы, ничего не получится.

Вы же хотел чистое L2-решение, каковым изложенное по ссылке не является.

То что вы хотите в терминах длинка называется traffic_segmentation, оно же - изоляция портов. Тему не читал.

Ммм... Господа, вы чего? Настройка ВЛАНов на второй стороне требуется только при использовании классической схемы (сеть->свитч->свитч->сеть). По этой схеме требуется тэггирование каждого влана.

В моей схеме этого не требуется. Используются нетегированные порты. Т.е. траффик никак не помечается свитчем. При этом не забываем, что сам свитч прекрасно знает, какой траффик какому влану принадлежит. Тэгирование необходимо для того оборудования, которое будет этот траффик принимать, чтобы не перепутать его. Но мне это не нужно. Мне необходимо, чтобы траффик резался только одним свитчем. В этом случае, тэггировать нет необходимости. Более того, если тэггировать, оно не будет работать.

Вот пример того, как работает ВЛАН в классическом исполнении. некий роутер (сервер) шлет сигнал на свитч. Тот принимает его на нетегированный (untugged) порт. Затем, в зависимости от настройки, траффик переходит на один из тэггированых (tagged) портов, откуда идет на следующее устройство. На следующем устройстве, траффик попадает на такой же тэггированый порт с таким же номером ВЛАНа (VID; VLANid), как и на первом свитче. Далее, траффик попадает на нетэгированный порт, откуда уходит на конечное оборудование.

В моем случае, траффик от роутера попадает на нетэгированный порт, далее попадает на такой же нетэгированный порт того же свитча и оттуда на конечное устройство. Как следствие, тэггировать нет необходимости, т.к. сам свитч прекрасно знает, какой траффик-куда. Более того, если включить тэггирование, то траффик не пойдет, т.к. конечное оборудование не сможет прочесть пакеты из за наличия метки VID в заголовках пакетов.

Вот именно по этой причине я и не понимаю ваших вопросов. Если все равно не понятно, то рекомендую осилить эту статью: http://xgu.ru/wiki/VLAN Сам с нее начал. Очень помогла разобраться.

У меня так и называется: Private VLAN. Путь: L2 Features --> VLAN --> Private VLAN Settings.

Нарисуйте картинку.

Не понимаю, если свитч теги не ставит, конечные устройства теги не ставят, откуда берется какой бы то не было влан?

И так или иначе, у вас в свич, на котором не включены вланы, идет провод с интернетом. Как вы через один провод отдаете интернет двум независимым сегментам сети так, что они друг друга не видят ?

То что вы хотите в терминах длинка называется traffic_segmentation, оно же - изоляция портов.

2 чая данному джентельмену. И тортик.

Это не то. У меня на 3620 это в Security->Traffic segmentation settings

Врубаешь segmentation и подымаешь L3-интерфейсы на обоих своих вланах - профит. Все порты - untag, маршрутизирует свич

Ну изолировали мы порты, как эти изолированные группы выпустить через один порт в роутере-то?

Зачем? Это L3-свич, он сам может быть роутером

L3-интерфейсы на обоих своих вланах

ну вот же!

Интерфейсы на свиче подымаются :-)

ну ясно. Но тогда это нифига не L2-онли решение.

Я тут подумал - вообще можно обойтись в данной топологии одним вланом, совсем без L3 на свиче. Я просто как-то упустил такую возможность, да...

У порта роутера будет доступ к портам клиентов(и наоборот), у клиентов друг к другу - не будет. Собственно для этого и есть traffic segmentation

и как тогда сделать два изолированных сегмента? как их незаметно друг для друга выпустить в интернет?

дырка-то в роутере одна, если туда слать тегированный трафик, он не увидит его (по условию роутер не умеет влан), если нетегированный - КАК в нем сделать два изолированных потока?

как тогда сделать два изолированных сегмента?

разные настройки сегментации сделать.

клиенты на портах 1-9 видят друг друга и порт 10
клиенты на портах 11-15 видят друг друга и порт 10
порт 10(сюда воткнут роутер с локальным IP, за роутером - интернет) - видит порты 1-15

Всё в одном VLAN-е. На свиче L3 нет. Можно разбить сегмент на 2 подсети, но тогда на роутере нужны 2 ip-интерфейса(VLAN по-прежнему - один).

Так, я не уверен, что мы об одном все еще говорим. Но смотрите. На роутер приходит один поток. На свитч приходит два разных, там он «совмещается» и идет, как единый поток уже на роутер.

То, что сделал я, на сколько я понял, есть самый настоящий L2. Если нет, то объясните, почему. Никаких IP-ов тут нет. Только маки, которые свитч из пакета считывает.

Вот, спасибо. Именно это я хотел объяснить.

КАК в нем сделать два изолированных потока?

http://biparasite.ru/?p=556

типа там внутри ebtables?

Хз, что там внутри(в некоторых ынтерпрайзных VPN-серверах D-Link видел и Linux), но оно умеет делать так. Broadcast-ы тоже фильтрует

ну ясно. ТС словом «vlan» создал сумятицу в моем мозгу.

У меня так и называется: Private VLAN. Путь: L2 Features --> VLAN --> Private VLAN Settings.

Понятия не имею как у вас что называется. Но то что вы хотите настроить на длинке обычно делается так:

config traffic_segmentation 1 forward_list 3
config traffic_segmentation 2 forward_list 3
config traffic_segmentation 3 forward_list 1,2

Ассиметричные вланы тут не нужны.

PS: Советую забыть про вебморду.

Конкретно свитч из сабжа - аппаратный. Т.е. там есть внешняя ось, с помощью которой мы взаимодействуем с внутренней осью. И внутренняя ось «реального времени». Внешняя, по традиции, скорее всего Linux. На счет «внутренней» оси сказать не могу. Но вообще, судя по цене и характеристикам, это должен быть полноценный аппаратный свитч. Программный, на каком нибудь ARM процессоре, вряд ли потянет такой поток.

Пробовал, но при настройке GVRP (была одна крамольная мысля, от которой отказался) возникла проблема. Стандартная команда config gvrp 2 ... не работает. Синтаксис не тот. В итоге, из за срочности задачи, пришлось делать в вебе.

PS: Советую забыть про вебморду.

Не всегда. Если нужно что-то простое - можно и из веб-морды сделать.

А вот если надо было как мне - создать 48 VLAN-ов, по порту на каждый, в 49 запихнуть теги. На них повесить 48 IP-интерфейсов, врубить на всем этом OSPF да еще и DHCP Relay... Я бы кончился это делать через web-интерфейс :-)

Синтаксис не тот

ты мануал видать старый скачал, у D-Link это бывает - при апдейт прошивки сменить синтаксис и забыть обновить мануал

Ага... очень четко себе этот процесс представил. К сожалению, на Д-Линках я пока только умею скопом создавать ВЛАНы, айпишники пока нет, руки не дошли. Но что такое создать 48 ВЛАНов с адресами на каждом из них через веб-морду - прекрасно себе представляю. Я минуту-полторы настраивал свою хрень, которой и кончился этот топик, хотя там буквально 5-10 кликов.

Понятно, возможно. Я сейчас уже нашел родной ман от этой железки. Могу выложить, если кому то необходимо. До ГВРП я еще в нем не дошел, другие вещи смотрел, но как дойду, обязательно проверю.

А вот если надо было как мне - создать 48 VLAN-ов, по порту на каждый, в 49 запихнуть теги. На них повесить 48 IP-интерфейсов, врубить на всем этом OSPF да еще и DHCP Relay... Я бы кончился это делать через web-интерфейс :-)

Может это кому-то покажется крамолой, но про L3 в случае Dlink тоже стоит забыть. Ну если вам нервы дороги конечно.

Я сейчас уже нашел родной ман от этой железки. Могу выложить, если кому то необходимо.

Родные маны лежат на паблик ftp dlink. Не проблема их добыть.

Почему? Что там не так?

про L3 в случае Dlink тоже стоит забыть. Ну если вам нервы дороги конечно.

Ну хз, у меня ~20 DES-38xx работают в таком режиме - не жалуюсь. Плюс магистральным - DGS-3620-52TC, но там нагрузка мизерная(при его мощностях). Нет, конечно Cisco и Juniper лучше, но наше руководство от цены маленько дуреет :-)

Сырость прошивок и железа там. Вы на наге спросите, раз уж кросспостингом занимаетесь

Нет, конечно Cisco и Juniper лучше, но наше руководство от цены маленько дуреет :-)

Наше руководство дуреет от деградации сервиса.

К сожалению, пришлось. Задача была срочная и решил, что так будет лучше. Спрошу, спасибо)