[lousx]

В сетке существует несколько вланов, пусть vlan 13 и vlan 23. Все они транком приходят на циску, пусть в порт 5. На циске trunk allowed vlan 13, 23. Шлюз подключен к порту 1. Необходимо дать интернет в оба влана. Сейчас на 1 порту указан native vlan 13 и интернет дается только в 13 влан соответственно.

[paralon]

Если хотите интернет от шлюза раздавать в несколько ВЛАНов, шлюз должен уметь 802.1q

[BiWiS]

что за циска, что за шлюз.... может смотжет, может нет.

уточните.

[lousx]

циска 3750. Шлюз - биллинг, работающий НАТом

Правильный варинат, наверное, настроить маршрутизацию?

Edited November 27, 2012 by lousx

[_sirius_]

Неа, подать на первый порт тегировано два вилана, и создать на шлюзе два вилан интерфейса, повесить айпишники. Или, если сервер не умеет 802.1q, включить его вторым портом во второй порт свитча и подать влан 23 нетегировано. Какая ось на шлюзе?

Edited November 27, 2012 by _sirius_

[lousx]

Неа, подать на первый порт тегировано два вилана, и создать на шлюзе два вилан интерфейса, повесить айпишники. Какая ось на шлюзе?

Биллинг ideco. На линухе.

 

В таком случае у машин в разных вланах будут разные адреса шлюзов, правильно я понимаю?

[wer_wolf]

В таком случае у машин в разных вланах будут разные адреса шлюзов, правильно я понимаю?

Если без маршрутизации то да, но так получатся изолированные друг от друга сети, если поднимать маршрутизацию то шлюз будет один но тогда и сети скорее всего будут видеть друг друга.

[lousx]

vlan 23 как раз нужно изолировать от всей сетки. Все как нужно.

Если настроить маршрутизацию на циске, то локальный трафик между двумя соседями из разных влан будет ходить через всю сетку. В таком случае, наверное нужно настраивать маршрутизацию между вланами на свичах раньше, где это возможно?

[wer_wolf]

vlan 23 как раз нужно изолировать от всей сетки.

Если хотите именно изоляции то я бы выбрал один из нескольких путей

1. Попроще в настройке, вставить в шлюз вторую сетевку ее в циску и на тот порт привести трафик от второго влана

2. Как вам сказали раньше если сетевка шлюза умеет делать вирт сетевки по vlan то просто делаете из сетевки смотрящей во внутрь две каждая из которых работает на своем vlan и подключете на порт куда приходят тегированными оба влана.

 

что Вам уже собственно и сказали

подать на первый порт тегировано два вилана, и создать на шлюзе два вилан интерфейса, повесить айпишники. Или, если сервер не умеет 802.1q, включить его вторым портом во второй порт свитча

[darkagent]

велосипед...

http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_55_se/configuration/guide/swpvlan.html

[lousx]

велосипед...

http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_55_se/configuration/guide/swpvlan.html

А если шлюз <----> cisco <---> dlink des <----> dlink des <---> (клиент в изолированном vlan)

 

В таком случае клиента заводим в vlan 23 и транком проводим его до циски, а на циске настраиваем private vlan?

[darkagent]

бинго

[lousx]

darkagent не издевайтесь) Правльно ли я всё понял?

И тогда 13 влан примари, а 23 isolated? Угу?

[darkagent]

Не обязательно, можно сделать примари влан (или как это больше распространенно, network side) допустим 2, а 13 и 23 как isolated/community (subscriber side). главное чтоб примари смотрел в сторону маршрутизатора, а все прочее в сторону потребителя. Вобще, рекомендую погуглить на тему private vlan - зачастую можно найти уже готовое решение, в котором останется только цифры поменять, особенно когда один из subscriber-side надо протащить через цепочку коммутаторов.

p.s. при всей вкусности private vlan, рекомендую так же ознакомиться с его ограничениями - зачастую можно натолкнуться на vendor specifiс ограничения (когда у одного вендора одни косяки, у другого другие).