Помогите с VLAN

[LOH]

Условия задачи.

 

Есть два смежных офиса, один нашей компании, другой - "дружественной" (хозяин обоих фирм все равно один).

 

Локалки у нас разные, у нас сеть о 15-ти компах, включая контроллер домена под 2003 виндой, а у них - обычная одноранговая сеть из 5 машин.

Мы подключены к нормальному интернету (DSL DLink модем-роутер), а они - нет (вернее у них обычный диалап стоит).

Наш роутер воткнут прямо в один из свичей, защита сети таким образом целиком лежит на нем (раньше сервером доступа в инет был контроллер домена, но разок поломали его, больше не рискую, а старенького компа для того чтобы на базе него и линукса сделать сервер доступа в инет просто нету).

 

Есть идея выпросить у руководства денег на новый коммутатор DLink DES 3028, бо у нас "сеть" построена на "мыльницах" от того же ДЛинка, хочется сделать более менее цивильно, да и коммутатор новый ведь уже управляемый, интересно покрутить.

 

В качестве заманихи для шефа - возможность с помощью нового коммутатора и сохраняя разбивку на две РАЗНЫХ сети сделать общий доступ к интернету через DLink DES 3028.

 

Я вплотную не знаком с технологией VLAN (ну ве же были когда-то такими неучами из-за невозможности дорваться до нормального оборудования, правда ?), но представляю решение задачи таким образом.

 

Средствами DLink DES 3028 разбить по портам (кажись это зовется Port-based, 802.1Q) на три VLAN-а:

 

VLAN 1 - всего один порт, воткнуть сюда роутер доступа в инет

VLAN 2 - сеть Офиса № 1 ("Наш" офис с доменом, адреса теперешние вида 192.168.0.2-16)

VLAN 3 - сеть дружественного Офиса № 2 (ради такого случая поменяю им адреса на 192.168.101-105).

 

По идее, как пишут в доках, компы сетей VLAN-ов 2 и 3 чужие сети видеть не будут, в то же время все пакеты, не предназначенные данным сетям должны автоматом спаться на общий VLAN 1.

 

 

Вопрос 1: правильно ли я мыслю ? Будет работать ?

 

Вопрос 2: что означают в спецификации DLink DES 3028 следующие понятия:

 

# Количество статических групп VLAN – 4К

# Количество динамических групп VLAN – 200

 

Чем статические вланы отличаются от динамических ?

 

 

Помоги-и-ите новичку пожалуйста...

У меня опыта работы с управляемым коммутатором - только в эмуляторе на сайте DLinka да работа с нашим DSL модемом-роутером.

[olebedev]

1. Работать не будет, для реализации Вашей идеи достаточно port-isolation не помню есть ли он в 3028

2. Учите матчасть!

[EvilShadow]

Средствами DLink DES 3028 разбить по портам (кажись это зовется Port-based, 802.1Q) на три VLAN-а:

802.1q - это тегированные виланы. Это совсем не то, что port-based. Что из них Вы хотите использовать?

Чем статические вланы отличаются от динамических ?

http://www.google.com/search?client=opera&...-8&oe=utf-8

[LOH]

Port Isolation не нахожу даже в 48-ми портовых коммутаторах типа DES 3052, во всяком случае в спецификации у них этого нету.

Матчасть учил бы с удовольствием, кабы сама матчасть была чтобы потыкать да попробовать.

Просто не хочу попасть в ситуацию, когда железяку купим, а оно проблем не решит. Меня потом накажут :-(

 

Так а почему работать то не будет ? В специцикации на DES 3028 написано, что он тянет 802.1Q.

 

В Википедии (http://ru.wikipedia.org/wiki/VLAN) про Вланы написано:

VLAN (от англ. Virtual Local Area Network), VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них.

Простейший механизм изоляции различных подсетей, работающих через общие свитчи и роутеры. Известна как 802.1Q.

Наиболее простой вариант использования VLAN заключается в отнесении каждого порта одного свича конкретному VLAN, что позволяет разделить физический коммутатор на несколько логических. (Например, порты 1-5,7 — это VLAN № 3, порты 6,9-12 — VLAN № 2). При этом пакеты из одного VLAN не передаются в другой VLAN.

 

VLAN № 1 (Native VLAN, Default VLAN) используется по умолчанию и не может быть удален. Весь трафик (не тегированный или не направленный явно в конкретный VLAN) переходит, по умолчанию, в VLAN № 1. Имеется ограничение на число VLAN в одной сети.

 

Вот по логике, если в Влане № 1 у меня только роутер в инет, а в Вланах № 2 и № 3 - сети офисов, почему они не будут изолированы и в тоже время будут иметь доступ в инет ?

[LOH]

Во, прочел в документации на ДЛинковский коммутатор вот такую фишку:

 

"Управление доступом 802.1х на основе портов"

 

Это и есть возможность разделения сетей "port-isolation" ?

[a0xff]

для данных задач управляемый коммутатор не применим.

врядли ваш dsl роутер сможет обслуживать IP адреса из разных подсетей.

следует использовать маршрутизатор.

варианты маршрутизатора- простейший роутер с линуксом баксов за 40(для получения знаний самое оно), писюк с линуксом древний, хотя последнее уже избыточно.

[Denis Samsonov]

посмотрите в сторону traffic segmentation, в длинках это так называеься

[EvilShadow]

В Википедии (http://ru.wikipedia.org/wiki/VLAN) про Вланы написано:

VLAN (от англ. Virtual Local Area Network), VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них.

Простейший механизм изоляции различных подсетей, работающих через общие свитчи и роутеры. Известна как 802.1Q.

Именно. Но 802.1q опеределяет _именно_ тегированные виланы.

Вот по логике, если в Влане № 1 у меня только роутер в инет, а в Вланах № 2 и № 3 - сети офисов, почему они не будут изолированы и в тоже время будут иметь доступ в инет ?

Не будут они никуда иметь доступ, если используется 802.1q. Порт характеризуется двумя параметрами: виланами, в которых состоит и pvid'ом, т.е. тегом, который получит нетегированный фрейм, попав на этот порт. Т.о, если у Вас для порта 2 VLAN == 2 и PVID == 2, то приходящий на порт нетегированный фрейм получает тэг 2 и может выйти только через порт, также состоящий в VLAN 2. То же самое и с 3. Поэтому друг друга эти группы портов не увидят.

Впрочем, порт 1 они тоже не увидят. Тегированные фреймы не ходят в native vlan (в стандартной ситуации). Поэтому Вам нужно добавить порт 1 в виланы 2 и 3, чтоб его видели соотв. группы портов.

А вот когда нетегированный фрейм будет приходить на порт 1, он получит тег, указанный как PVID для этого порта. Если это будет 2, то в вилан 3 ничего не попадет, если 3 - то наоборот. Поэтому добавляется еще один вилан, например, 100. Порты 1, 2, 3 идут в него. Для порта 1 PVID устанавливается 100. Т.о. движение трафика выглядит так:

frame -> port2 -> frame+tag2 -> port1 -> frame (трафик может уйти только в порт 1, поскольку в VLAN 2 только порты 2 и 1; на выходе - нетегированный фрейм)

frame -> port3 -> frame+tag3 -> port1 -> frame (трафик может уйти только в порт 1, поскольку в VLAN 3 только порты 3 и 1; на выходе - нетегированный фрейм)

frame -> port1 -> frame+tag100 -> (port2 -> frame) || (port3 -> frame) (трафик может уйти либо в порт 2, либо в порт 3, поскольку в VLAN 100 порты 2, 3 и 1; на выходе - нетегированный фрейм)

[LOH]

Т.е. если в моем случае добавить порт 1 в Влан № 2 и Влан № 3, то обе сети прекрасно будут его видеть ?

 

Но судя по эмулятору DLinka при port-based разделению вланов так сделать нельзя: один конкретный порт может быть только в одном конкретном влане.

Правильно ?

[EvilShadow]

Т.е. если в моем случае добавить порт 1 в Влан № 2 и Влан № 3, то обе сети прекрасно будут его видеть ?

 

Но судя по эмулятору DLinka при port-based разделению вланов так сделать нельзя: один конкретный порт может быть только в одном конкретном влане.

Правильно ?

Я говорил о тегированных виланах. Как реализован port-based у Длинка, не знаю. Я port-based вообще не использую, мороки с тегированными ненамного больше, а если понадобится делать что-то серьезнее изоляции портов, не надо будет глобально ничего перенастраивать.

[LOH]

Простите, у меня созрела одна весьма шальная мысль...

 

Ведь у меня все равно переизбыток портов в коммутаторе получается.

Что если создать нейи "общий" VLAN 1, в каждом из Вланов 2 и 3 один из портов проводом закоммутировать в этот влан и туда же пихнуть провод от DSL роутера ?

 

У меня ведь адресное пространство одинаковое 192.168.0.х, все вланы сидят в нем.

Или такой изврат на DLinkaх работать не будет ?

 

В общем задача то в принципе - как для двух изолированных сетей из одного диапазона сделать общий доступ к интернету, при том, чтобы из обеих сетей компы друг-друга не видели ?

[DRiVen]

Что если создать некий "общий" VLAN 1, в каждом из Вланов 2 и 3 один из портов проводом закоммутировать в этот влан и туда же пихнуть провод от DSL роутера?

Получится обыкновенный тупой свитч.

В общем задача то в принципе - как для двух изолированных сетей из одного диапазона сделать общий доступ к интернету, при том, чтобы из обеих сетей компы друг-друга не видели ?

Ищите свитч с private vlan или как там оно называется у Длинка...

[martin74]

traffic segmentation оно у длинка называется

[RomadinR]

Это Вам нужно посмотреть, есть ли в этом конкретно DLink'е "асиметричные VLAN" в терминологии DLink (http://www.dlink.ru/technical/files/asymmetric%20vlan.pdf). Если есть - то Вам повезло ;-) и реализовать Вашу идею можно. Но при этом адреса на обе части сети придется выдать из одного диапазона, иначе они не будут видеть ваш модем.

Edited March 19, 2008 by RomadinR

[Denis Samsonov]

Ребят. не изобретайте велосипед )))))))))

два раза про traffic segmentation сказали

самое верное решение чтобы две сети видели рутер но не взаимодействовали между собой

[RomadinR]

Если я правильно понял задачу, то нужно именно асимметричные VLAN, так как при traffic segmentation, если я не ошибаюсь, каждый порт видит только аплинк, то есть, компьютеры одной сети включенные в порты этого коммутатора, не будут видеть друг друга, а только модем.

А в случае асимметричных VLAN внутри VLANa компьютеры видят друг друга как обычно, VLAN1 и VLAN2 не видят друг друга, но они видят VLAN3(в котором модем).

Edited March 20, 2008 by RomadinR

[Denis Samsonov]

Как настроишь так и будет работать.

Никто не мешает сделать так чтобы

допустим порты 1-8 общались между собой и портом 25

порты 9-24 общались между собой и портом 25

[ugluck]

вообще-то топикстартеру пригодился бы роутер с 3-мя интерфейсами. можно сбацать на базе wrt (dd- или open-) за ~80$ зато с вайфаем. из полууправляемого свича колхозить систему ниппеля типа "туда дуй - оттуда йух" ИМХО гемор.

[rrustam]

Добрый день.

У меня следующая ситуация:

Есть один провайдер, и несколько 100 клиентов, мне надо всем разрешить доступ в инет, но что бы они, ни видели файлы группы друг друга. И только некоторые могли заходить в некоторые группы и оставлять файлы для общего доступа.

Оборудование следующее: сервак Windows 2003 Server SP2, Трафик Инспектор, через который я даю доступ всем, D-link DES-3052 52 портовый, инет подаётся с сервака, ip сервака 10.0.0.1

Какие мне создать VLANы что бы все могли ходить в инет, но не видели друг друга по группам?

Заранее спасибо.

 

[skor78]

http://dlink.ru/up/uploads_media/Traffic_segmentation.pdf

http://dlink.ru/up/uploads_media/asymmetric_vlan.pdf

Edited December 14, 2009 by skor78

[boykov]

а какие, собственно, задачи ставит топикстартер? Что он хочет сделать (из этого растет как)

 

Отделить сеть соседей от своей -- одно

Защитить сеть от притязаний инета -- другое

Дать обоим сетям общий контроллер домена -- третье

 

Одно решается Vlan любого типа, проще тегированными

Второе в условиях автора должен делать DSL рутер, бо не хочет он ставить отдельный писюк на рутинг. Соответственна как здесь -- выбором и настройкой рутера

Третье, кажется, должно решаться несколькими картами на КД если он на винде, воткнутыми в разные порты. Ну и сменой адресов сетей.

 

По моему так (с)