Jump to content
Калькуляторы

Поясните доходчиво про VLANы VID vs PVID и всё такое

Здравствуйте, господа профессионалы )

Настраиваю первый в жизни управляемый свич (Nortel BPS2000), до этого с вланами дел не имел, кроме как на DIR-100 :) Мануал хороший, многое в стиле учебника, но всё равно... то, что написано, понимаю, а как это применить к моей задаче - не могу пока уразуметь.

 

Проще на конкретной задаче. Нужно следующее:

24 порт - аплинк к роутеру, он должен быть во всех вланах

vlan1: порты 1, 3, 5, 7, 9, 24 (в них будут сервера)

vlan2: порты 2, 24 (вообще таких будет несколько, это пойдут лучи 'звезды' расходиться, на другом конце линка неуправляемые свичи)

vlan3: порты 23, 24

во 2 и 3 вланы должны ходить бродкасты (там DHCP-клиенты, DHCP-сервер в 24 порту)

 

Что я делаю:

создаю три port-based влана из соответствующих портов

иду в port configuration, там тегированных портов никаких не задаю (чувствую, что где-то в этом как раз загвоздка :))

pvid на портах ставлю соответствующие номеру влана и... получаю, что порт 24 видит только один влан c pvid, который я приписываю этому порту

 

главное, в мануале есть похожий пример. но там общему порту задают pvid такой, которого ни у одного порта больше нету. а потом делают еще один большой-большой влан, в который добавляют вообще все порты, и его номер соответствует pvid этого общего порта. зачем это?.. и тоже ничего не тегировано. вчитываюсь - взрыв мозга какой-то.

 

подскажите что-нибудь по существу, может, расклинит?..

Share this post


Link to post
Share on other sites

создаем 3 дот1ку влана, распихиваем в них порты. 24й порт ставим тэгированным и прописываем его в 3х вланах. на роутере поднимаем 3 интерфейса и присваиваем ему 3 ипа - вуаля все готово

 

Share this post


Link to post
Share on other sites
создаем 3 дот1ку влана, распихиваем в них порты. 24й порт ставим тэгированным и прописываем его в 3х вланах. на роутере поднимаем 3 интерфейса и присваиваем ему 3 ипа - вуаля все готово
это не совсем то, что нужно: ip хочется иметь один. хотя допустимо. а что делать с PVID для портов в этой идеологии?

 

Share this post


Link to post
Share on other sites

Port-based вланы тут вообще не нужны, они тут не причем. Внимательно нужно изучить 803.1q. Порты которые к серверам - режим trunk в терминологии cisco, должны содержать тегированными все вланы, порты, которые к неуправляемым коммутаторам - нетегированные,содержат один вилан (в терминологии Cisco режим порта acсess), указывается вилан, с которого "снимается" тег, он может быть только один.

Share this post


Link to post
Share on other sites
24 порт - аплинк к роутеру, он должен быть во всех вланах
ip хочется иметь один
Все правильно вам посоветовали. Как это вы хотите, чтобы роутер был во всех подсетях, и при этом не имел несколько IP, принадлежащих разным подсетям/вланам? Это стандартная схема, называемая router-on-a-stick или one-armed router. BPS2000 как я понимаю, сам не умеет делать intervlan routing, поэтому так и надо делать.

 

PVID -- это номер VLAN, который коммутатор присвоит нетегированному пакету, пришедшему на данный порт. Серверы, неуправляемые свичи и прочее добро нужно подключать к нетегированным портам с заданными PVID (access ports). Порт 24, в который воткнут роутер, должен принадлежать всем вланам и находиться в режиме tagged (trunk port). В будущем лучше, конечно, прикупить L3-свич (не D-Link) и терминировать вланы на нем, а не на софтовом роутере.

Edited by photon

Share this post


Link to post
Share on other sites

Применительно к нортелю:

1) Порты, в которых будет несколько vlan - это транковые, заходите в меню VLAN Port configuration и переводите их в режим Tag All. Так же включите AutoPVID.

2) Порты, в которых бкдет всего 1 vlan - это access, в том же меню их переводите в меню Untag All.

3) Заходите в меню Vlan Configuration, воздаете vlan и делаете его active(это важно, иначе работать не будет). После чего созданный vlan назначаете в соответствующий порт.

Вообще скачайте утилиту Device Manager, очень удобная для работы с нортелями.

а что делать с PVID для портов в этой идеологии?
У акцессных портов PVID должен совпадать с номером влана, назначенного в этот порт(иначе работать не будет), у транковых портов PVID - это номер влана, в котором будет передаваться нетэгированный трафик(Native vlan в терминологии Cisco)

Share this post


Link to post
Share on other sites
У акцессных портов PVID должен совпадать с номером влана, назначенного в этот порт(иначе работать не будет), у транковых портов PVID - это номер влана, в котором будет передаваться нетэгированный трафик(Native vlan в терминологии Cisco)
Т.е. один vlan на аплинковом порту (тегированый во всем вланам и направленый к терминирующей железке/серваку) должен быть unteg?

Столкнулся с интерестной проблемой с нортелом. С клиентской стороны виден. Со стороны ядра не виден. На этом (аплинковом) порту pvid подсети, которую он должен раздавать. Все вланы на этом порту тегированые. На свитче авая в ядре (линк от нортела включен в него) порт в режиме 802.1q.

Нортел там нужен для проброса влана одному клиенту.

Share this post


Link to post
Share on other sites

Нужно на свиче создать Managment vlan, прокинуть его до какого-нибудь роутера и прописать в этот vlan айпишник нортеля.

Share this post


Link to post
Share on other sites

Нужно на свиче создать Managment vlan, прокинуть его до какого-нибудь роутера и прописать в этот vlan айпишник нортеля.

На аплинковом порту этот vlan должен быть teg или unteg. Я его делал teg но по посту выше получается, что должен быть unteg.

Share this post


Link to post
Share on other sites

пвидами не парься, на нортеляях выставь авто пвид, порт роутера выставь тэггд порт с фильтрацией антэгд

Share this post


Link to post
Share on other sites

Всем спасибо, всё задуманное получилось. На самом деле, сразу после прочтения статьи на иксгуру уже стало всё предельно ясно (и вообще открыл для себя этот ресурс), но всем остальным тоже спасибо :)

 

Тем не менее, таки мучит меня один вопрос. Про .1q всё ясно. Однако при этом существует такая замечательная железка, как DL-DES-1008D/RV, у которой 8 порт содержится в семи вланах и ни в одном он не является тегированным - и ведь всё работает. Также существует, например, режим Home Vlan на PS2216, в котором порты 1 и 9 содержатся в четырнадцати вланах (вроде бы, хотя могу с арифметикой ошибиться), и тоже ни в одном не тегированы. И тоже всё работает. То есть весьма дубовой железке как-то вот хватает мак-адресов и тегов не надо. Почему же на гораздо более продвинутом оборудовании нельзя сделать подобный конфиг?

Edited by Барагоз

Share this post


Link to post
Share on other sites
Всем спасибо, всё задуманное получилось. На самом деле, сразу после прочтения статьи на иксгуру уже стало всё предельно ясно (и вообще открыл для себя этот ресурс), но всем остальным тоже спасибо :)

 

Тем не менее, таки мучит меня один вопрос. Про .1q всё ясно. Однако при этом существует такая замечательная железка, как DL-DES-1008D/RV, у которой 8 порт содержится в семи вланах и ни в одном он не является тегированным - и ведь всё работает. Также существует, например, режим Home Vlan на PS2216, в котором порты 1 и 9 содержатся в четырнадцати вланах (вроде бы, хотя могу с арифметикой ошибиться), и тоже ни в одном не тегированы. И тоже всё работает. То есть весьма дубовой железке как-то вот хватает мак-адресов и тегов не надо. Почему же на гораздо более продвинутом оборудовании нельзя сделать подобный конфиг?

Потому что это всё от лукавого :-). do1q это стандарт, который поддерживается практически всем оборудованием, которое поддерживает технологию vlan. То, про что вы написали как пример на простом обрудовании, это port based vlans - в пределах одного свича масштабируется и то плохо. dot1q - tag based vlans - масштабирование гораздо лучше и через несколько свичей.

 

Следует использовать именно dot1q, а не всякие проприетарные аналоги от цыско или 3сом.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this