Доброго времени суток.
Приобрели DGS-3200-24 с прошей B019. Залил 1.50.B052.
Управляемых свитчей на предприятии небыло, это первый (как выяснилось позднее -сняли с про-ва его
Задача по сути на мой взгляд не сложная: имеется самая обычная сетка, в которой имеется 2 подсети -xx.xx.53.2 (арендаторов) и 3.2 (собственно наша). Нужно чтобы сетки были разделены и видели общий для всех прокси с Юзергейтом.
Вот условия, аналогичные примеру с вашего сайта (Traffic_segmentation.pdf)

V1: port 1-8 Общие сервера и Интернет-шлюз
V2: port 9-16 VLAN2 пользователи(компьютеры или хабы/свитчи)
V3: port 17-24 VLAN3 пользователи(компьютеры или
хабы/свитчи)
Необходимые условия
1. V2 и V3 должны иметь доступ к V1
2. V2 и V3 должны иметь доступ к интернет-шлюзу.
3. Доступ между V2 и V3 должен быть запрещен.

Вариант №1 решения задачи:
config traffic_segmentation 1-24 forward_list 1-8
config traffic_segmentation 9-16 forward_list 1-16
config traffic_segmentation 17-24 forward_list 1-8,17-24

Через web-морду вижу что всё как нужно, всё логично. Все остальные настройки по дефолту. Начинаю пинговать ноут -нет ответа. И такая картина с любого порта в диапазоне 9-24.
Подскажите пжлста, что я делаю не так

config traffic_segmentation 1-8 forward_list 1-24

Спасибо, Александр!
Действительно, решение очевидно... Настройку я скопировал из руководства с вашего сайта и даже не мог подумать что там ошибка.

На этом свитче также можно организовать Private VLAN (отдельный пункт настройки).
Стоит ли использовать для моей задачи? Какие даёт преимущества? (Заранее оговорюсь -все доки прочёл не раз). На сайте и в инете есть общее описание, но ни одного конкретного примера (как например с Traffic Segmentation)
Оно понятно, есть Primary VLAN, в котором находятся Secondary Community VLAN и Secondary Isolated VLAN. Community общаются между собой и между Promiscuous портами, Isolated -только с Promiscuous. Только как настроить правильно?
Я настроил след. образом: создал в разделе 802.1Q VLAN 2 группы Vlan'ов v1( port 5-10) и v2 (port 11-24. Пункт Advertisement в Disabled.
Далее в разделе"Private VLAN Settings" VLAN name: Private, в нём указал 2 вышестоящих VLAN одну как Isolated, другую community.
Возвращаемся в раздел 802.1Q VLAN и в созданной Private указываем порт 4.
Пинги идут куда надо, всё вроде пучком, но во всех портах Private Vlan не работает web-морда! (поэтому и оставил порты 1-2 для доступа к web-морде).
Соответственно вопрос -почему так происходит? Может я вообще не корректно настраиваю?

Кто-нибудь подскажите пожалуйста ответ на мой вопрос

День добрый!
Возникла небольшая проблема, пришел des3200-28... для теста дали 3-дня*)) ну как обычно у нас бывает8))

Так вот есть 2-а правила которые у нас работают в данный момент на des3028, а вот 3200 их не понимает8((

create access_profile packet_content_mask offset_0-15 0x0 0xffff 0xffffffff 0xffffffff offset_16-31 0x0 0x0 0x0 0xffffffff profile_id 3
(разрешение валидных АРП ответов)

create access_profile packet_content_mask offset_0-15 0x0 0x0000ffff 0xffffffff 0xffff0000 offset_16-31 0x0 0x0 0x0000ffff 0xffff0000 profile_id 4
(разрешение ИП трафика от валидных связок ИП+МАС)

Помогите друзья перефразировать данные правила для des3200-28 чтоб он прожувал их

Baktagirov Ruslan
Для Вашей задачи проще использовать именно traffic_segmentation и не заморачиваться с виланами.
Доступ к интерфейсу коммутатора пропадает потому, что администрировать его можно только из вилана default. (по умолчанию)

twitl
Смотрите тут:
http://www.dlink.ru/ru/faq/62/954.html

А почему не хотите использовать IMPB или Port Security?

Baktagirov Ruslan

На самом деле, все что ты хочешь реализуется очень просто на cisco (access-list), на d-link-е не сомневаюсь, что тоже можно, но по моему сложнее, либо просто не хватает опыта

Alexandr Zaitsev

Спасибо огромное, теперь понятна логика написания правил на этом d-link-е. ща заковыряю их до смерти8))
У нас абонент-порт, связка mac-ip-port, изначально еще до меня писались правила, на des3028, логика такая:
1 правило – разрешение DHCP запросов

2 правило – разрешение PPOE трафика от клиента

3 правило – разрешение валидных АРП ответов

4 правило – разрешение ИП трафика от валидных связок ИП+МАС

5 правило – запрещение всего остального

кстате делали там еще одно правило, получился аналог gues vlan(пользователь мог будучи заблокированным, заходить на одну страничку и облатить за сеть аб. плату), но 3028 как оказалось больше маков не смог записывать8)

такой вопрос еще интересует, поддерживает ли 3200 ip source guard ?
и пробовали тестить IP-MAC-Port Binding на наличие глюков?
спрашиваю потому, что причиной в написание правил на 3028, стало глюкавая работа IP-MAC-Port Binding.... сегодня узнал у человека который тестил в свое время длинки8)

У нас это делается с помощью dhcp snooping + IMPB.


мне об этом ничего не известно. Что за глюки?

на d-link-е добавляем запись create address_binding ip_mac ipaddress xxx.xxx.xxx.xxx mac_address
xx-xx-xx-xx-xx-xx ports x
все работает.
Если идет подмена того или иного значения, он заносит запись в блок лист, и !не работает!, соответственно если все значения возвращаем на свои места, запись из блок листа пропадает и абонент опять работает, так вот des-3028 не удалял запись с блок листа....
тестилось на прошивке Build 2.10.B02
конечно спорить не буду, может уже есть новая прошивка и это исправлено8)


Аааа вот 3200 мне облегчил жизнь8)) протестил, все нормально работает.

Единственное, что хотелось бы..... когда тестил на кольца, d-link поставил port_error, при этам сам работал- это радует, но когда убераю кольцо, пот пишет, что все нормально, однако комп не заработал..... лечится ребутом порта..... а хотелось бы чтобы сам оживал8)

Исправлено


Опишите пожалуйста проблему подробнее.

схема:
DES3200-----3Com 8п. (не управл.)---------PC

1.на 3Com делаю кольцо

>show error ports 23

RX Frames TX Frames
--------- ---------
CRC Error 261508 Excessive Deferral 0
Undersize 1 CRC Error 0
Oversize 0 Late Collision 0
Fragment 1414 Excessive Collision 0
Jabber 0 Single Collision 0
Drop Pkts - Collision 0

> show ports
23 Enabled Auto/Disabled Err-Disabled Enabled
Auto
PC не работает, коммутатор отвечает, соответственно блокируется порт.

2. убераю кольцо

>show ports

23 Enabled Auto/Disabled 100M/Full/None Enabled
Auto
жду 5-ть минут
PC не работает

А если к неуправляемому 3Com подключить 2 PC, то после разрыва петли они друг с другом связаться смогут?

нет, по dhcp, ипы не получают, вручную не пробую, ввиду того, абоненты сами себе прописать сетевые реквизиты не могут по не знанию8)

а сами понимаете, что если абонент закольцует у себя свич, то потом он долго будет искать сеть, и нашей Тех. Под. долго думать, по какой же причине он не получает IP

а вообще с D-Link только щас вплотную сталкнулся, и чесно говоря нравится своей гибкостью, но объять его прелести, это безусловно надо ехать обучаться8)) думаю после обучений по cisco, смотаюсь на D-Link-и поучусь.

Это я к тому, что может неуправляемый коммутатор виснет.