VLAN'ы

[KaYot]

Совсем все плохо у вас.

Клиентам нужно будет менять адреса, шлюзы, маски. Плюс возможно прописывать жестко маршруты, или учить dhcp сервер их правильно раздавать..

К примеру, у дома в влане 2 у клиентов будет 10.0.2.хх, в влан 3 - 10.0.3.хх и т.д.

На сервере создадите вланы, на каждый влан пойдет ip из соотвествующей подсети - 10.0.2.1 для vlan2. Клиентам в влан 2 нужно прописать default на 10.0.2.1, или(если дефолт используется для интернета) статические маршруты вида 10.0.0.0/8 via 10.0.2.1

 

На свичах делать ничего не нужно, управление ими это вопрос достойный отдельной темы.

[Gang]

Или можете сделать на фряхе "Ip unnumbered" - http://alienstudio.r...-ip-unnumbered/

 

На него перенести вашу существующую адресацию. Создать вланы на сервере.С агреграции в сторону домовых сделать порт в access с нужным Вам тегом для каждого дома.

Тогда для клиентов все будет прозрачно.

[kvirtu]

Или можете сделать на фряхе "Ip unnumbered" - http://alienstudio.r...-ip-unnumbered/

Спасибо,

из коментов статьи вычитал, что можно и так:

FreeBSD 8.x:

 

ifconfig vlan5 5.5.5.1/32

ifconfig vlan6 5.5.5.1/32

route add 5.5.5.2/32 -iface vlan5

route add 5.5.5.3/32 -iface vlan6

Для того, чтобы все друг друга видели, в /etc/rc.conf пишем:

arpproxy_all=”YES”

 

Из недостатков: нужно добавлять роуты для каждого абона

[scriptWs]

Друзья, подскажите, такое дело. Читаю инфу по ВЛАНам и в голове образовалось мешанина малеха: Свитч TL-SL2428 TP-LINK. Нужно каждый порт завести в отдельный ВЛАН. Т.е. получается, Порт-ВЛАН, далее, каждый ВЛАН подается на порт GIGA1 и все идет на шлюз:

- Назначаем порту VLAN ID.

- GIGA1 определяем как транковый.

- Нужно ли еще что-то?

-----------------------------------------------------------------

- В настройках сетевой(Intel PRO 1000 GT) добавляем соотв. ВЛАНы.

- Настраиваем ВЛАН интерфейсы.

- Настраиваем нужную нам маршрутизацию.

Непойму как поступить с native VLAN. В админке свитча упоминаний о native нету, (хотя, как я понимаю, это есть ВЛАН ID 1) В теме упоминалось что этот коммутатор отвечает native VLANom на каждом порту....

Есть ли в данном продукте management VLAN. Если есть, как к нему добраться? Подскажите, кто сталкивался с этим свитчем.

[NiTr0]

management vlan нет, свич слушает на всех вланах. Что, впрочем, не исключает необходимости управление выносить в отдельный влан. Как минимум - чтобы другие свичи не были доступны и юзеры не просниффали ип из management подсети по ARP бродкастам.

В остальном - да, на портах - один только влан в untag присутствует + порту назначен тот же vlan_id, на гигу/сфп/куда там еще в качестве аплинка - все в tagged завернуть.

[scriptWs]

NiTr0, cпасибо, на днях буду пробовать, пока готовлюсь так сказать. ...к этому свичу подключены еще точки доступа, соотв. нужно этим портам назначать native id?

[NiTr0]

Или управление точками доступа выносить в ихние вланы, или помойку организовывать, пуская абон трафик в управляющий влан. Я бы для управления точками доступа отдельно влан завел (если ессно сеть более-менее серьезная планируется).

[scriptWs]

А еще вопросик... не дойдет до меня никак вот что. Если юзеру будут выдаваться адреса соотв. ВЛАНа, а RAS на шлюзе имеет один адрес, ето нужно чтобы каждая ВЛАН сетевая, на шлюзе, была с соотв подсети.? Мож элементарные вопросы канешно но.. Я к тому чтобы не пришлось роутить туннели от юзеров, иначе шлюз не вытянет такого. Получается и шлюз в локалке юзеру выдается, тот что ВЛАН ник на шлюзе? А вот еще на мой комп нужно завести отдельный ВЛАН для устройств как то свитч, модем, АП-шки. Разъясните а?

[RIt]

Ставим глухие порты и все, все только через www общаются.

Если нужны ресурсы сети выдавать: ставь обычный л2 рядом или даже л1 и по жиле стекла пробрось на нужные лан -сервисы. или же начинаем изобретать велосипед.

 

PS

лучший способ - проверенный и простой.

 

Ставим глухие порты и все, все только через www общаются.

Если нужны ресурсы сети выдавать: ставь обычный л2 рядом или даже л1 и по жиле стекла пробрось на нужные лан -сервисы. или же начинаем изобретать велосипед.

 

PS

лучший способ - проверенный и простой.

[dandul]

Вопрос по options 82. Собственно есть сеть, звезда, влан на дом, в агрегации dgs-3120-24sc, (он же ядро) и dgs-3100-24tg, на доступе зоопарк: des-3200, tl-sl2218, des-1100-26 и просто медик с мылом. Вланы начинают свой путь с НАСа, там же DHCP сервера для каждой подсети. В случае с des-3200 все понятно. А реально ли реализовать DHCP relay options 82 в ядре?, или достаточно включить DHCP Server Screening. Спасибо.

Edited July 23, 2013 by dandul

[Дмитро]

DHCP Server Screening -Это совершенно из другой оперы

Edited July 23, 2013 by Vinto

[dandul]

да, немного не правильно сформулировал. Потер вопрос, сам понял что спросил какую-то непонятку. )

[dandul]

Правильно ли я понимаю? Если при схеме влан на дом на коммутаторах доступа сделать правила с помощь акл, как в этом примере: http://dlink.ru/ru/faq/62/198.html, то нафиг не нужны ни dhcp relay ни dhcp screening ни на доступе ни на агрегации.

[Дмитро]

Нет не правильно, дандул.

 dhcp relay и dhcp screening - это разные вещи)

 dhcp relay- грубо говоря, это ретранслятор DHCP-пакетов из клиентской сети через маршрутизируемую сеть к DHCP-серверу.
Это нужно потому, что DHCP работает на широковещательных пакетах, которые не проходят через маршрутизаторы. И если DHCP-сервер находится в одной подсети, а его клиенты в другой - то в клиентской сети нужно поднять DHCP-релей (у Cisco это называется helper-address, он не только DHCP-запросы роутит, но и NetBIOS и TFTP), который станет для клиентов DHCP-сервером, но сам будет спрашивать всю информацию у центрального DHCP-сервера.

dhcp screening - Эта функция включается на порту, например, коммутатора Длинк для того, что бы когда криворукий абон включит свой вай фай роутер кверху жопой, он не станет DHCP сервером в своей подсети. Это все вкратце.

[dandul]

Ну что такое dhcp relay я знаю, он перенаправляет дхцп запросы на нужный сервер из нужного порта коммутатора, и таким образом, кстати, помогает в случае с клиентским роутером к верху жопой, а вот скриннинг не совсем понятно было. Но при моем условии - влан на дом, т.е. маршрутизатор с дхцп серверами (каждый сервер в свой влан на дом) и при использовании правила акл, что я привел, все-таки не нужно ни релай (получается его нужно использовать только в случае удаленного дхцп-сервера за маршрутизатором), ни скрининг. Dhcp screening я так понял по сути аналог того акл, что я привел в пример.

[KaYot]

Ваш acl из примера длинка - это скрининг и есть, если он включен на клиентских портах больше он нигде не нужен. Собственно acl руками можно и не писать, в морде screening включить да и все.

[scriptWs]

Друзья, что не правильно делаю, подскажите? Есть коммутатор TP-LINK SL2428Web, в него подключены шлюз(GIGA1) и клиентские компы. Работает без вланов. Подключаю новый шлюз (GIGA2) с Intel PRO 1000GT, поставил драйвера+Intel ANS , создал ВЛАН с ID5, и Untagged ВЛАН. Адаптеры появились все нормально, назначил им адрес. На свитче включаю VLAN Port-based. В настройках ВЛАН1 снимаю галки с GIGA2 и Port5. ВЫбираю VLAN 5 и выставляю GIGA2 и Port5. К 5 порту подключен мой комп как клиентский. Связи 0. Пинги не проходят на GIGA2 c 5 порта и обратно.

Edited September 30, 2013 by scriptWs

[Дмитро]

Друзья, что не правильно делаю, подскажите? Есть коммутатор TP-LINK SL2428Web, в него подключены шлюз(GIGA1) и клиентские компы. Работает без вланов. Подключаю новый шлюз (GIGA2) с Intel PRO 1000GT, поставил драйвера+Intel ANS , создал ВЛАН с ID5, и Untagged ВЛАН. Адаптеры появились все нормально, назначил им адрес. На свитче включаю VLAN Port-based. В настройках ВЛАН1 снимаю галки с GIGA2 и Port5. ВЫбираю VLAN 5 и выставляю GIGA2 и Port5. К 5 порту подключен мой комп как клиентский. Связи 0. Пинги не проходят на GIGA2 c 5 порта и обратно.

http://local.com.ua/forum/topic/29039-tp-link-2210-web/?fromsearch=1

[scriptWs]

Читал, но я хочу сделать на основе портов. В свитч тегированый трафик не приходит.

http://www.dlink.ru/ru/faq/63/1010.html Вот примерно так делал

[nevidomuj]

Друзья, что не правильно делаю, подскажите? Есть коммутатор TP-LINK SL2428Web, в него подключены шлюз(GIGA1) и клиентские компы. Работает без вланов. Подключаю новый шлюз (GIGA2) с Intel PRO 1000GT, поставил драйвера+Intel ANS , создал ВЛАН с ID5, и Untagged ВЛАН. Адаптеры появились все нормально, назначил им адрес. На свитче включаю VLAN Port-based. В настройках ВЛАН1 снимаю галки с GIGA2 и Port5. ВЫбираю VLAN 5 и выставляю GIGA2 и Port5. К 5 порту подключен мой комп как клиентский. Связи 0. Пинги не проходят на GIGA2 c 5 порта и обратно.

Ви визначіться, чи порт-бейсед чи ні. Якщо Ви на мережевій другого "шлюза" прописали тегований вілан з ІД=5, то в такому випадку Вам потрібно на ТР-лінку створити 5 вілан, і до нього додати тегованим порт Гіга2, і нетегованим - 5 порт. Також не забудьте вказати PVID на 5 порту, який в Вашому випадку буде мати значення 5. 

Якщо виникнуть проблеми - можу помогти, але там нічого складного нема...

[scriptWs]

nevidomuj, я просто не вижу все эти параметры про которые вы рассказываете.   Потому как при включении Port-based, открываются настройки которые на скрине в посте68. И больше ничего. Может я изначально неверно представляю себе эту схему... Задача изолировать юзеровые порты свитча на L2 и весь траф подать по GIGA2 на шлюз. Казалось бы просто..

[nevidomuj]

в Вас два варіанти

1. Робити через порт-бейсед вілан, але тоді потрібно на другому шлюзі вішати ІРішку не на 5 вілан, а прямо на мережеву, тобто без тегованого вілану.

2. Робити через вілани. Тоді треба робити так як я вище описав, але маленька поправочка - це не порт-бейсед вілан, 802.11Q (tagged vlan)

[scriptWs]

nevidomuj, спасибо за помощь

[2late]

Интересует процесс инкапсуляции на 2 уровне и откидывание тега на 3. Этот самый процесс постоянно находиться в динамике? То бишь с каждым байтом в дуплексном режимы пакеты постоянно маркируются и отпадают выше?

Затрачиваются ресурсы как свича доступа так и свича агрегации только во время сессии, один раз, или постоянно?

[2late]

Конечно же я не имею виду инкапсуляцию, так я визуально описал тег, который клеиться естевественно.