[Nallien]

вопрос новичка. с виланами раньше не работал.

 

есть приходящий вилан под номером 98 (выдает провайдер) входит он в 24 порт DES-3526, после чего через SFP гигабитный модуль( порт 26) 310GT идет в 23 порт DGS-3024. на 3-тьем порту DGS-3024 стоит наш роутер (линукс), на котором поднят vlan 98.

 

задача - получить на роутере то, что дает нам провайдер.

 

попытка реализации:

 

создаю на обоих коммутаторах Static VLAN , VLAN ID=98, на 3526 включаю в него 24 и 26 порты (Egress) на 3024 включаю в него 23 и 3 порты.

 

и.... собственно что дальше ? GVRP?

 

буду очень благодарен за помощь.

Изменено 25 апреля, 2007 пользователем Nallien

[prohodimec]

Если вы на Линухе собираетесь поднимать этот вилан, то не забудьте на свитчах помимо Egress поставить Tag, больше ничего не потребуется.

[Nallien]

да вот чего-то не хватает :(

 

на линухе - ложу ифейс eth1

подымаю с 0.0.0.0

vconfig add eth1 98

ifconfig eth1.98 xxx.xxx.xxx.xxx up

 

роут дэфолтовый вешаю на этот интерфейс

 

пинга до шлюза провайдера отсутсвует :(

Изменено 25 апреля, 2007 пользователем Nallien

[prohodimec]

А если для начала поднять интерфейс в дефолтном вилане, а на 3м порту убрать tag - то работает?

[Nallien]

не совсем понял, ведь мне нужно прокинуть вилан с другого свитча на этот, а потом уже на 3 порт... без вилана связи с удаленным хостом нет.

 

должен ли быть конечный порт (аплинк) изолирован от других виланов ?

Изменено 25 апреля, 2007 пользователем Nallien

[prohodimec]

Заводите на обоих свитчах Vlan 98

На DES-3526 24,26 порты Egress Tag

на DGS-3024 порт 23 Egress Tag, порт 3 Egress

 

Таким образом, ваш Линух-сервер будет работать в 98м вилане без заморочек с интерфейсами (достаточно будет настроить eth1).

Разумеется, если вы ещё какие-либо порты в этот вилан не запихнёте, он будет от них изолирован.

 

Если у вас даже в таком варианте ничего не работает - значит что-то не так с прописываемыми настройками, а не с настройками железок.

[ShumBor]

да еще и неплохо посмотреть тспдампом что на интерфейс валиться.

а то может тагин выключен или где нить не то в комутатороах

[Nallien]

спасибо за помощь. все работает. все порты по пути следствия - Egress и тэгированные. по соображениям безопасности 10 порт на 3024 убрал из дэфолтового вилана, изолировав от остальных портов.

 

о стался только один вопрос ) насколько разумно с моей стороны - оставить 24 порт на 3526 (аплинк к провайдеру) еще и в дэфолтовом вилане, дабы по этому же порту бегал наш внутрисетевой трафик с провайдером? чем чревато такое исполнение, особенно с точки зрения безопасности?

[ram_scan]

Ничем, кроме того что для внутрисетевого трафика нужно выбрать вилан отличный от дефолтного. Ибо через дефолтный вилан в настроеном по дефолту девайсе много чего пошаманить часто можно. Уж если не заовнить, то полтергейсту нагнать точно.