разделение доступа по vlan

0

0

Есть умный свитч с vlan. Одним портом (№1) свитч подключён к роутеру. На роутере создан виртуальный сетевой интерфейс с определённым номером vlan.

Нужно что - чтобы с определённого порта свитча (№2) весь трафик уходил в сторону роутера промаркированный как такой-то номер vlan. При этом чтобы со стороны порта №2 никаких упоминания про vlan не было, чтобы всё было как будто это обычный свитч. Распишите plz подробно, как это настраивается в общем случае. Можно на примере свитчей D-Link, Cisco, Allied Telesyn, всё под рукой есть.

И чтобы было совсем хорошо, представим, что помимо порта №2 надо точно также с другим номером vlan прокинуть на роутер ещё и порт №3.

Документацию читал, окончательно запутался во всех этих tagged, untagged, trunk...

Ссылка

←	запуск NetWhistlera2.10

squid доступ к оперделённому сайту не авторизованным

→

http://xgu.ru/wiki/VLAN

там почитай

всё подробно ему распишите, а кнопки за тебя не понажимать?

dimon555 ★★★★★
(26.03.09 16:42:30 MSK)

Ответ на: комментарий от dimon555 26.03.09 16:42:30 MSK

Я читал всё это. И всё равно запутался в tagged и untagged. :( Если на порт поставить untagged, оно на выходе из свитча тегируется как vlan? Я этот момент не догоняю.

~~paramonov~~
(26.03.09 16:51:17 MSK) автор топика

Ответ на: комментарий от paramonov 26.03.09 16:51:17 MSK

Если на порту стоит untagged то это значит, что с него должны приходит (и из него должны выходить) не тегированные пакеты. Аналогично с tagged.

Если пакеты приходит в untagged порт и уходит в tagged, то ему добавляется тег, соответствующий тому VLAN, которому принадлежал untagged порт. Если пакет приходт в tagged порт, то он может уйти только в те untagged порты, которые принадлежат VLAN'у, указанному в теге.

untagged порт может принадлежать только одному VLAN'у, tagged порт может принадлежать нескольким VLAN'ам, это число определяется моделью (стоимостью) свича.

mky ★★★★★
(26.03.09 20:07:49 MSK)

Ответ на: комментарий от mky 26.03.09 20:07:49 MSK

Вот, спасибо огромное. Но всё равно осталась непонятка.

Вот это

> Если пакеты приходит в untagged порт и уходит в tagged, то ему добавляется тег, соответствующий тому VLAN, которому принадлежал untagged порт.

я таки осилил изнасиловав Каталист и интеловскую сетевуху с вланами.

А вот с этим что-то не то получается:

> Если пакет приходт в tagged порт, то он может уйти только в те untagged порты, которые принадлежат VLAN'у, указанному в теге.

Как у меня тогда через Каталист пинги в обе стороны ходят, до роутера и до клиента обратно? На порту клиента access vid=2 (это я так понимаю untagged), на порту роутера trunk с native vid=1 и access vid=2-4096(что это значит в не-цисковской терминологии не знаю), на самом роутере tagged vid=2. И всё работает, аккурат только между транком и любым портом где прописано access vid=2, что и требовалось в общем-то. Но хочется понять, КАК это работает.

~~paramonov~~
(26.03.09 21:06:38 MSK) автор топика

Ответ на: комментарий от paramonov 26.03.09 21:06:38 MSK

Native VLAN - это тот VLAN, в который у тебя полетят нетегированные пакеты, полученные на транковый интерфейс. Второе значение - это то, какие VLAN через себя транк пропускает в тегированном режиме.

hiokio
(27.03.09 16:48:41 MSK)

Ответ на: комментарий от hiokio 27.03.09 16:48:41 MSK

> Native VLAN - это тот VLAN, в который у тебя полетят нетегированные пакеты, полученные на транковый интерфейс. Второе значение - это то, какие VLAN через себя транк пропускает в тегированном режиме.

ОК, с каталистами разобрались.

А вот допустим у D-Link транка нету. Ну вернее транком там называется совсем другая функция. Как там подобное сделать? Там только tagged или untagged на каждый порт, плюс какая-то таблица PVID, задающая "нечто" для каждого порта...

~~paramonov~~
(27.03.09 22:48:29 MSK) автор топика