[Mitsu]

Здравствуйте! Прошу у вас помощи по настройке данных коммутаторов. Дело обстоит так. В здании колледжа (5 этажей) сетка поделена на 2 магистрали (левая и правая). На каждом этаже, в каждой магистрали стоят DES-1228P. В центре стоит DES-3528. В классах DES-1026G.

Думаю зделать так:

 

 

Думаю сделать каждый класс отдельными 7-ю VLAN-ами. Кафедры тоже на отдельный 1 VLAN. И админстрацию тоже на 1 отдельный VLAN. В общем 9 VLAN-ов сделать.

В магистралях свичи я соединил через гигабитные 27 и 28 порты. 2 провода от магистралей хочу подключить к DES-3528 на 27 и 28 гигабитные порты, а к 26 гигабитному порту подключить DGS-1216T. (или к 25 и 26 гигабитным портам транком лучше подключить DGS-1216T????)

 

На одном другом форуме пользователь terrible мне написал для начала сделать:

в центр минимум DES-3828

Все ваши линки в отдельные порты свича

на портах, где надо, дефолтный влан ставите как none, нужный вам влан как untagged.

В нужном влане поднимаете интерфейс, например:

 

подсеть 192.168.51.*, подключена в 1-й порт

 

создаём влан 51 tag 51

в дефолтном влане 1-й порт ставим как none

в 51-м влане 1-й порт ставим как untagged

на 51 влан утснавливаем IP Interface 192.168.51.1

на компах 51-го влана прописываем 192.168.51.1 как шлюз

 

по остальным линкам тоже самое

если в одном влане нужно несколько линков - во влан запихиваете несколько портов, интерфейс поднимаете именно на влан

 

это я так расписал, чтобы вам легче через WEB это сделать

уточняйте наличие 3828 или ещё какого-либо L3 коммутатора

Вроде как сделал это я уже. Но там схема была другая, на той схеме все провода шли к 3528. Просто я подумал может быть серваки и свичи компьютерных классов соеденить по гигабитным портам (т.е. моя нынешняя схема). А будет ли это работать через DGS-1216T, ну т.е. мне же написали настройки такие если кабеля будут в des-3528 идти. Подскажите пожалуйста как настроить, что где выбрать. Желательно так же, т.е. на таком же языке как terrible мне когда-то подсказал. И через веб интерфейс.

Edited August 3, 2009 by Mitsu

[Mitsu]

После перепрошивки DES-3528, появились новые функции. А вот только на форуме D-Link говорят что нет пока книг. Может вам что-то эо скажет....

И может ли эта железка раздавать айпишники???

 

 

[terrible]

все вопросы по порядку вы можете систематизировать?

[Mitsu]

1. Будет ли работать моя схема? Вы же мне писали что надо всё делать на DES-3528, а теперь добавился ещё 1216T (ну как бы он уже в центре стал).

2. Может ли DES-3528 раздавать IP-адреса?

3. В настройках карты DGE-530T надо ли что-нибудь менять? Или достаточно драйвера установить и создать столько же сетевых подключений, сколько на DES-3528 установлено.

[terrible]

1) вроде должна, хотя я советовал 3828

2) да

3) зачем и где она стоит?

[Mitsu]

1. Если вам не трудно можно по подробней расписать это. Ведь IP-интерфесы я создал для каждого VLANа на каждом порту DES-3528. А как эти интерфейсы перекинуть на DGS-1216T?

2. Ну здесь тоже самое. Где это включается?

3. Они стоят на серверах.

[terrible]

1) ну допустим DGS подключен 16м портом к 28-му на 3528, серваки 1 и 2 в 1 и 2 порты DGS, их надо вывести в разные вланы

3528

VLAN 333:

port 28 tagged

VLAN 444:

port 28 tagged

 

DGS:

VLAN 333:

port 16 tagged

port 1 untagged

 

VLAN 444:

port 16 tagged

port 2 untagged

 

2) enable DHCP server, и дальше где-то в свойствах ищем настройку пула и биндинг (привязать мак к ипу), вроде это DHCP Server Pool Settings (из этого диапазона абоненты будут получать IP адреса) и DHCP Server Manual Settings (это если нам надо чтобы у какого-то мака был фиксированный IP адрес)

 

3) зачем? если у вас сервак будет только в одном влане - то смысла не вижу, если он должен присутствовать сразу в разных вланах - то на него надо будет отправлять несколько вланов тегерированных, и на нём поднимать интерфейсы на эти вланы (см. мануалы и проги к сетевухе).

[Mitsu]

2) enable DHCP server, и дальше где-то в свойствах ищем настройку пула и биндинг (привязать мак к ипу), вроде это DHCP Server Pool Settings (из этого диапазона абоненты будут получать IP адреса) и DHCP Server Manual Settings (это если нам надо чтобы у какого-то мака был фиксированный IP адрес)

Да я как раз сделал вот так. Но почему то не идет. Наверно я неправильно что то сделал. Посмотрите настройки которые я менял:

 

 

 

 

 

 

 

И вот ещё одини настройки DHCP, я их не трогал:

 

Edited August 3, 2009 by Mitsu

[Mitsu]

Всё вроде получилось с DHCP для компьютерных классов. А теперь подскажите как сделать так чтобы и в магистралях 2 VLana тоже получали IPшники. Получается Администрация будет 192.168.1.х и кафедры 192.168.2.х. Магистральные порты на DES-3528 это 27 и 28 порты

 

[Mitsu]

Ещё вопрсик. Вот вы когда создаете виланы вы пишете: например, create vlan vlan2 tag 2. Вот не пойму tag 2 -что это? Как это выглядит в веб интерфейсе? Это Vlan2 VID2 так??

[terrible]

create vlan vlan2 tag 2

vlan2 - vlan name

2 - vlan id (VID)

[Mitsu]

terrible СПАСИБО Вам огромнейшее!!! Незнаю что бы я без Вас делал... Потихонечку настраиваем уже.

 

[Mitsu]

3) зачем? если у вас сервак будет только в одном влане - то смысла не вижу, если он должен присутствовать сразу в разных вланах - то на него надо будет отправлять несколько вланов тегерированных, и на нём поднимать интерфейсы на эти вланы (см. мануалы и проги к сетевухе).

Вообще мы думаем разделить сеть на 3 влана. Это 1 влан для кафедр (192.168.2.х), 1 для администрации (192.168.1.х), 1 для студентов (192.168.3.х). Еще думаем нужно ли для серверов отдельно создавать?

Как вы говорили, мы создали для этих 3-х вланов 3 интерфейса. И на компах в качестве шлюза указали соответствующий влану интерфейс.

Теперь пожалуйста можно от вас пример по маршрутизации. Все вланы должны видеть серваки, но между собой не должны видеть друг друга.

Ещё раз заранее спасибо!

Edited August 10, 2009 by Mitsu

[terrible]

если интерфейсы подняты, вланы через эти ipif-ки будут маршрутизироваться

 

для серверов выделенный влан .. хм, ну это кому как нравится, я бы создал

 

на порту нужного вам влана пишите 2 профиля: пусть сервачной влан будет иметь адресацию 192.168.10.0/24

например для 3-го (студенческого) и админского будет так (студенты в 10 порту, администрация в 15):

 

create access_profile profile_id 4 ip destination_ip_mask 255.255.255.0

config access_profile profile_id 4 add access_id auto_assign ip destination_ip 192.168.10.0 port 10 permit

config access_profile profile_id 4 add access_id auto_assign ip destination_ip 192.168.10.0 port 15 permit

 

create access_profile profile_id 5 ip vlan destination_ip_mask 0.0.0.0

config access_profile profile_id 5 add access_id auto_assign ip destination_ip_mask 0.0.0.0 port 10 deny

config access_profile profile_id 5 add access_id auto_assign ip destination_ip_mask 0.0.0.0 port 15 deny

 

если нужно добавить другие диапазоны IP адресов - добавляйте другие правила в эти 2 профиля, ACL действует только на входящий трафик

[Mitsu]

Хотел так же прописать как вы мне написали, но выходит:

create access_profile profile_id 4 ip destination_ip_mask 255.255.255.0

 

Command: create access_profile profile_id 4

Next possible completions:

profile_name

 

 

Потом решил через веб, но решил вам показать может что-то не так...

 

[terrible]

вроде как 4-й профиль задан правильно

Command: create access_profile profile_id 4

Next possible completions:

profile_name

эт свич говорит, что не введены необходимые параметры для создания профиля, как видите, в данном случае просит profile_name, т.е. это будет выглядеть так:

create access_profile profile_id 4 ip destination_ip_mask 255.255.255.0 profile_name allow_to_serv

должно проглотить

 

никогда не работал с 3528, 3526 profile_name не просит, хотя удобная фишка

[Mitsu]

Давайте проверим ещё раз, что-то не то...

 

Создал 4 vlan-а:

Adm (Vid=2, 15 port -untag)

Kaf (Vid=3, 11 port - untag)

Std (Vid=4, 10 port - untag)

Ser (Vid=5, 25 port - tag)

 

Далее я сздал для каждого влана Ip interface

 

Adm: IPv4 Adress - 192.168.1.1, Subnet Mask - 255.255.255.0, Proxy ARP State - Disabled, Local Proxy ARP State - Enabled, Interface Admin State - Enabled.

 

Kaf: IPv4 Adress - 192.168.2.1, Subnet Mask - 255.255.255.0, Proxy ARP State - Disabled, Local Proxy ARP State - Enabled, Interface Admin State - Enabled.

 

Ser: IPv4 Adress - 192.168.10.1, Subnet Mask - 255.255.255.0, Proxy ARP State - Disabled, Local Proxy ARP State - Enabled, Interface Admin State - Enabled.

 

Std: IPv4 Adress - 192.168.3.1, Subnet Mask - 255.255.255.0, Proxy ARP State - Disabled, Local Proxy ARP State - Enabled, Interface Admin State - Enabled.

 

 

Потом настроил DHCP Server Pool Settings:

 

Adm:

Ip Adress: 192.168.1.0

Netmask: 255.255.255.0

Netbios Node Type: Broadcast

Domain name: -

Boot File: -

Next server: -

Dns Server Adress:-

NetBios Name Server: -

Default Router: 192.168.1.1

Pool Lease: Infinite

 

Kaf:

Ip Adress: 192.168.2.0

Netmask: 255.255.255.0

Netbios Node Type: Broadcast

Domain name: -

Boot File: -

Next server: -

Dns Server Adress:-

NetBios Name Server: -

Default Router: 192.168.2.1

Pool Lease: Infinite

 

Std:

Ip Adress: 192.168.3.0

Netmask: 255.255.255.0

Netbios Node Type: Broadcast

Domain name: -

Boot File: -

Next server: -

Dns Server Adress:-

NetBios Name Server: -

Default Router: 192.168.3.1

Pool Lease: Infinite

 

 

Потом прописал в ACL:

create access_profile profile_id 4 ip destination_ip_mask 255.255.255.0

config access_profile profile_id 4 add access_id auto_assign ip destination_ip 192.168.10.0 port 10 permit

config access_profile profile_id 4 add access_id auto_assign ip destination_ip 192.168.10.0 port 15 permit

 

create access_profile profile_id 5 ip vlan destination_ip_mask 0.0.0.0

config access_profile profile_id 5 add access_id auto_assign ip destination_ip_mask 0.0.0.0 port 10 deny

config access_profile profile_id 5 add access_id auto_assign ip destination_ip_mask 0.0.0.0 port 15 deny

 

 

И компы невидят сервака и сервак их. Единственное, с компов только пингуется сервак, а сервака нет пинга.

Где я не так сделал? Вроде всё делал по вашим постам.

Всё что я написал, я только то и сделал. Больше ничего не включал, не нажимал. Ну только дату и часы настроил)))

[Mitsu]

А что озачает profile_id 4 profile_id 5

Эти цифры в себе что-то скрывают? (т.е. 4 и 5). Или когда пишешь такие веши можно "от фанаря" брать значеия?

[terrible]

без ACL работает?

profile_id означает порядок, в котором будет обрабатываться трафик

в текущем случае первоначально разрешается трафик, затем запрещается

логика: то, что разрешено, нельзя запретить, то, что запрещено - отбрасывается

[Mitsu]

Без ACL точно так же((((

[terrible]

с серваке должны быть обратные маршруты через ipif свича на подсети компов

Edited August 11, 2009 by terrible

[Mitsu]

с серваке должны быть обратные маршруты через ipif свича на подсети компов

А можно как нибудь это расписать. Плиз. Вроде осталось только это и все.

[terrible]

на сервере должны быть примерно такие маршруты:

 

route add 192.168.1.0 mask 255.255.255.0 gate 192.168.10.1

route add 192.168.2.0 mask 255.255.255.0 gate 192.168.10.1

route add 192.168.3.0 mask 255.255.255.0 gate 192.168.10.1

[Mitsu]

на сервере должны быть примерно такие маршруты:

 

route add 192.168.1.0 mask 255.255.255.0 gate 192.168.10.1

route add 192.168.2.0 mask 255.255.255.0 gate 192.168.10.1

route add 192.168.3.0 mask 255.255.255.0 gate 192.168.10.1

Маршруты прописал. Но вот всё так же без изменений....

[Mitsu]

Отписался в аське. Вот что-то не могу поймать вас в онлайне(((