sscorpio Posted October 30, 2006 Posted October 30, 2006 Имеется 3com 4226T Требуется сделать два VLAN и один компьютер должен быть в обоих VLAN-ах... создаю Vlan2 - 1-10 port Untagged создаю Vlan3 - 11-20 port Untagged теперь например надо 22-й порт добавить в оба Vlan-f... если добавлять как Untagged порт - то можно добавить только в один Vlan, при добавлении во второй - из первого убирает... если добавлять как Tageed порт - то тогда от компа который подключен в 22-й порт требуется поддержка 802.1q причём не простого - а на несколько тэгов (то есть нужна серверная сетевая карта)... ничё не понял !!! то есть такой могучий коммутатор не может делать простейший port based vlan, и при этом умеет 802.1q ? или я неправильно что то понимаю ? мож подскажет кто ? PS... пробывал при описаной схеме сделать ещё и так... создаю Vlan4 - 22-24 port, из них 22 порт tagged - 23-24 untagged, в Vlan 1 прописываю порт 23 tagged, в Vlan 2 прописываю порт 24 tagged... и 23-24 порты соединяю патчкордом :) не работает :) Вставить ник Quote
anix Posted October 30, 2006 Posted October 30, 2006 (edited) Оно вроде так и одолжно быть, не может порт быть untag в двух виланах ))) иначе вся суть теряется. Пробовали ставить в обычные компы карточки dlink dge-530T, под винду к ним идет софт, который позволяет создавать на ней несколько виртуальных и присваивать им теги ))) Потом отказались, все виланы завели на каталист 3560 и там роутингом и acl`ями все разрулили. P.S. если ставить сетевевку с вланами на винду, то сеть на ней будет отвисать при браузинге, пока она броадкастами все закидает.... Edited October 30, 2006 by anix Вставить ник Quote
sscorpio Posted October 30, 2006 Author Posted October 30, 2006 дык в том то и дело... что на древнем acorp-е такую штуку видел... что то типа vlan-а - но только в пределах одного коммутатора... 802.1q он не умел... зато умел то что я описываю... а фича называется port based vlan... Вставить ник Quote
Korj Posted October 30, 2006 Posted October 30, 2006 sscorpio RTFM 802.1Q. Вы хотите построить стальной четырёхметровый забор а посредине сделать дырку для технических нужд. Бригада китайцев Вам всё построит и слова лишнего не спросит (потому что вообще Вашего языка не знает). Если закажете это проектировщику, там как минимум удивятся, ну может на заказ, покрутив мысленно у виска сделают. В стандартной номенклатуре заводов Вы сегмента стены "с дыркой" точно не найдёте. Поясню: китайцы=китайцы; контора "на заказ" = навороченное оборудование, могущее ВСЕ, даже то, что не следовало бы; типовой сегмент на заводе = типовой дешёвый корпоративный (как и всё 3com) 4226T. Вставить ник Quote
Korj Posted October 30, 2006 Posted October 30, 2006 Пробовали ставить в обычные компы карточки dlink dge-530T, под винду к ним идет софт, который позволяет создавать на ней несколько виртуальных и присваивать им теги )))Потом отказались, все виланы завели на каталист 3560 и там роутингом и acl`ями все разрулили. P.S. если ставить сетевевку с вланами на винду, то сеть на ней будет отвисать при браузинге, пока она броадкастами все закидает.... Вам не кажется, что на основании единичного знакомства с глюкоблинками делать выводы "мирового масштаба и мировой же глубости"(с) не стоит?На broadcom-ах всё годами работает под винду. На интеле, говорят, тоже - не знаю - 5 лет назад не работало. На 3com920 или как их там - ужепод винду не работает (под xp не работает, под 2к - работает, но только без домена). На broadcom-овских 3com 996 всё работает как и на интегрированых broadcom-ах. Вставить ник Quote
Korj Posted October 30, 2006 Posted October 30, 2006 (edited) sscorpio Добавлю, чтоб не выглядело как "всех обгадил и улетел": грамотрных решений два - server-on-stick, т.е. VLAN-ы прямо на сервер гнать (если их 2-3-4, то что мешает воткнуть в сервер просто 2-3-4 обычные сетевухи - мы так и делали, когда L3 стоил как ракета); второе - L3-коммутатор, маршрутизирующий VLAN-ы по ACL-ям. Неграмотные решения ищите не у 3com-а. Edited October 30, 2006 by Korj Вставить ник Quote
Peter T Posted October 30, 2006 Posted October 30, 2006 Ага, Cajun 330-ой серии, вполне умеющий port-based vlan и туеву хучу того, чего не умеет сабжевый свич, конечно китайский забор с дыркой :) А по теме: этот триком увы да, не умеет того, что вы просите. Вставить ник Quote
Korj Posted October 30, 2006 Posted October 30, 2006 (edited) Peter T Вы не читатель?(с) Где Ваши слова противоречат моим? К чему Ваш пост вообще, похвастаться Cajun-ом? Ради этого на форуме зарегистрировались? :) Или может Вы хотите сказать, что p-b-"vlan" соответствует каким-нибудь стандартам? Или может быть он хоть минимально секьюрен (без дополнительных acl и привязок)? Edited October 30, 2006 by Korj Вставить ник Quote
Peter T Posted October 31, 2006 Posted October 31, 2006 (edited) Насчет стандартов тут всё плохо. А вот насчет секьюрности вполне. Зачем обзывать забором с дыркой нормально работающую реализацию port-based vlan мне непонятно. Есть просто ситуации где без них не обойтись, и роутинг по определенным причинам между VLAN не сделаешь. Примеры приводить? Edited October 31, 2006 by Peter T Вставить ник Quote
Korj Posted October 31, 2006 Posted October 31, 2006 (edited) Peter T Приведите, приведите примеры этих "определенных причин", только примеры из грамотно построенных сетей, желательно корпоративных, если мы всё ещё о 3com. А про "насчет секьюрности вполне" Вы, я надеюсь, пошутили. Без аппаратной привязки порт-ip (что при реализации сводит на нет всю дешевизну и прямоту pbv) в сети по ip можно творить всё что угодно практически безнаказанно. Как мне показывает практика личного общения, pbv применяют люди не имеющие полного представления о всех уровнях OSI и защите на этих уровнях, а ведь для минимально секьюрного pbv нужны как минимум port security (MAC=port) и static arp, плюс желательно закрыть icmp на всех хостах вершины дерева pbv, потому как туннель over icmp делается на раз. "Прямое и простое" с виду решение при более глубоком осмыслении оказывается совершенно не прямым и не простым. Именно потому я и против реализации его не в сверхбюджетных решениях, да и в сверхбюджетных не стоит, NAG в частности где-то недавно писал, почему. Сейчас, когда более-менее нормальные коммутаторы реализовали наконец-то все прописанные в стандартах функции, начинается тупая маркетинговая "гонка вооружений" - чего б ещё такого реализовать... Вот и вылазят pbv для тех, кто мигрировал/мигрирует с китаймыльниц, всяческие L4 acl на физический порт, linux-like консоль вместо нормального дерева команд (это камень в огород последних хуавэйных 3com-ов) итд... Мода, маркетинг - неправильно это в сетевой сфере imho. P.S. Что касается ACL-ей на физический порт, тут я имею в виду, что они в качестве security средства - зло, т.к. не для того они - ими лишний трафик резаться должен на первом же узле, чтоб в ядро не гнать. Edited November 2, 2006 by Korj Вставить ник Quote
sscorpio Posted November 2, 2006 Author Posted November 2, 2006 извините что прерываю... я так понял нету в нём port based vlan ? Вставить ник Quote
Korj Posted November 2, 2006 Posted November 2, 2006 (edited) sscorpio Неграмотные решения ищите не у 3com-а. Edited November 2, 2006 by Korj Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.