faq обучение настройка
Текущее время: Пн янв 21, 2019 17:50

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 27 ]  На страницу Пред.  1, 2
Автор Сообщение
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Сб дек 15, 2018 13:20 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7128
Откуда: Екатеринбург
Посмотрел на ваши настройки. Видны тщетные попытки разными способами решить проблему.

Гораздо проще все выкинуть. Это не красное словцо. Так и сделайте.
Если это стенд и нет в настройках ничего ценного, даже бекапить это безобразие не стоит.

Я напишу основные тезисы. А вы поправьте меня или спросите, где будет непонятно.

0. Не думайте, что кто-то за вас все сделает. Вам самому в первую очередь надо думать и работать. От нас только совет. Тут на форуме есть несколько тем на вашу тему. В том числе с моим участием. Вот вам домашнее задание: найдите хотя бы одну и почитайте внимательно.

0.1 Все, что я напишу, касается почти всегда настроек DFL

1. Забудьте, все что знаете о VLAN и не используйте в этом проекте.

1.1 Вам нужны только сети и подсети IPv4.

2. Сбросьте конфигурацию к дефолтной

3. рассматривайте 100-ю подсеть DFL как и все остальные. она обычная. Со своими небольшими особенностями - весть неизвестный трафик идет через нее к DFL

4. Подсети локальной сети на DFL у вас вроде настроены правильно. Надо еще их объединить в группу и оперировать далее только ей (группой).

5. Читайте внимательно последний совет в моей подписи (any/all_net). Можно пошутить: any/all-nets - признак админской слабости. :)

6.разрешить пинги на все собственные адреса DFL из локальных подсетей. При этом везде используйте группы адресов, сетей и интерфейсов. Это делается ОДНИМ ip-правилом.

7. сделайте ОДИН маршрут на DFL до всех локальных подсетей.

8. вам чем-то понадобится эмулировать интернет за DFL, раз это стенд. Думай как. Это второе домашнее задание

9. для выхода в инет ваших локальных сетей вам также понадобится ОДНО правило. На самом деле чуть больше, но это нюансы.

10. В целом, пока это всё.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Сб дек 15, 2018 16:02 
Не в сети

Зарегистрирован: Вт дек 11, 2018 18:15
Сообщений: 13
YuriAM писал(а):
Посмотрел на ваши настройки. Видны тщетные попытки разными способами решить проблему.

Гораздо проще все выкинуть. Это не красное словцо. Так и сделайте.
Если это стенд и нет в настройках ничего ценного, даже бекапить это безобразие не стоит.

Я напишу основные тезисы. А вы поправьте меня или спросите, где будет непонятно.

0. Не думайте, что кто-то за вас все сделает. Вам самому в первую очередь надо думать и работать. От нас только совет. Тут на форуме есть несколько тем на вашу тему. В том числе с моим участием. Вот вам домашнее задание: найдите хотя бы одну и почитайте внимательно.

0.1 Все, что я напишу, касается почти всегда настроек DFL

1. Забудьте, все что знаете о VLAN и не используйте в этом проекте.

1.1 Вам нужны только сети и подсети IPv4.

2. Сбросьте конфигурацию к дефолтной

3. рассматривайте 100-ю подсеть DFL как и все остальные. она обычная. Со своими небольшими особенностями - весть неизвестный трафик идет через нее к DFL

4. Подсети локальной сети на DFL у вас вроде настроены правильно. Надо еще их объединить в группу и оперировать далее только ей (группой).

5. Читайте внимательно последний совет в моей подписи (any/all_net). Можно пошутить: any/all-nets - признак админской слабости. :)

6.разрешить пинги на все собственные адреса DFL из локальных подсетей. При этом везде используйте группы адресов, сетей и интерфейсов. Это делается ОДНИМ ip-правилом.

7. сделайте ОДИН маршрут на DFL до всех локальных подсетей.

8. вам чем-то понадобится эмулировать интернет за DFL, раз это стенд. Думай как. Это второе домашнее задание

9. для выхода в инет ваших локальных сетей вам также понадобится ОДНО правило. На самом деле чуть больше, но это нюансы.

10. В целом, пока это всё.


Спасибо за Ваши ценные советы!
Непременно займусь этим в понедельник и буду следовать Вашим советам, надеюсь, что все получится,
Еще раз - спасибо и благодарю за Ваше уделенное время моей проблеме.

1) По поводу эмулирования интернета, я так понимаю, что наилучшим вариантом будет - создание loopback интерфейса и настройка NAT на этот самый loopback.
2) А по поводу VLANов, разве не надо их обозначить на DFL? До этого у меня дропало пакеты по причине "unknown_vlan_id".
3) Волнует вопрос по поводу access и trunk портов. Я не могу понять, как задан порт на DFL и есть ли в принципе возможность, как-то поменять режим его работы?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Сб дек 15, 2018 17:38 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7128
Откуда: Екатеринбург
dirt234 писал(а):
1) По поводу эмулирования интернета, я так понимаю, что наилучшим вариантом будет - создание loopback интерфейса и настройка NAT на этот самый loopback.
Я подумал. Самое простое - просто разрешить пинг wan адресов DFL - лучше парочки. Если клиенты, не имея спец. настроек, смогут их пинговать, значит все ок

dirt234 писал(а):
2) А по поводу VLANов, разве не надо их обозначить на DFL? До этого у меня дропало пакеты по причине "unknown_vlan_id".
Сделайте простой, нетегированный канал между DFL и центр. коммутатором. И все будет ок.

dirt234 писал(а):
3) Волнует вопрос по поводу access и trunk портов. Я не могу понять, как задан порт на DFL и есть ли в принципе возможность, как-то поменять режим его работы?
Это есть на DFL, но сделано на свой манер и не так строго, как в VLAN коммутаторах.

Я вам говорю, забудьте о VLAN. Если они Вас так волнуют и на то есть важная причина, о которой Вы не сказали, то лучше скажите сейчас.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Пн дек 17, 2018 13:39 
Не в сети

Зарегистрирован: Вт дек 11, 2018 18:15
Сообщений: 13
YuriAM писал(а):
dirt234 писал(а):
1) По поводу эмулирования интернета, я так понимаю, что наилучшим вариантом будет - создание loopback интерфейса и настройка NAT на этот самый loopback.
Я подумал. Самое простое - просто разрешить пинг wan адресов DFL - лучше парочки. Если клиенты, не имея спец. настроек, смогут их пинговать, значит все ок

dirt234 писал(а):
2) А по поводу VLANов, разве не надо их обозначить на DFL? До этого у меня дропало пакеты по причине "unknown_vlan_id".
Сделайте простой, нетегированный канал между DFL и центр. коммутатором. И все будет ок.

dirt234 писал(а):
3) Волнует вопрос по поводу access и trunk портов. Я не могу понять, как задан порт на DFL и есть ли в принципе возможность, как-то поменять режим его работы?
Это есть на DFL, но сделано на свой манер и не так строго, как в VLAN коммутаторах.

Я вам говорю, забудьте о VLAN. Если они Вас так волнуют и на то есть важная причина, о которой Вы не сказали, то лучше скажите сейчас.


Добрался до стенда, следовал Вашим советам, но все застряло там же, коммутатор и DFL друг друга видят, проходит пинг между 192.168.100.1 и 192.168.100.2, но дальше он не заходит.
Начинаю винить коммутатор во всех бедах, но ведь маршрутизация между VLAN 15, 25, 35, 45, 55 работает без нареканий.
VLANы нужны в схеме, которую мне дали на руки со словами "сделай так, чтоб с любого VLANа можно было обращаться к DFL".

Я следую простой логике и все проговариваю: для того, чтобы нам обратиться к сети 192.168.15.0, нам нужен исходный интерфейс (192.168.100.1), к которому подключена сеть и шлюз, через который мы смогли бы к этой сети обращаться (192.168.100.2), а дальше маршрутизацией должен заняться L3 свитч, к которому подключены все остальные сети.

Искренне не понимаю, почему маршрутизация не работает, ведь на тех же Cisco можно просто указать ip route 192.168.15.0 255.255.255.0 192.168.100.2.
Задумываюсь, что будет проще попробовать настроить OSPF.

MAIN_NETWORK - 192.168.0.0/24


Вложения:
Route DFL.png
Route DFL.png [ 7.97 KiB | Просмотров: 306 ]
Policies DFL.png
Policies DFL.png [ 16.37 KiB | Просмотров: 306 ]
Log DFL.png
Log DFL.png [ 5.81 KiB | Просмотров: 306 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Пн дек 17, 2018 15:10 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7128
Откуда: Екатеринбург
Видны косяки. Не один. Но я пока на работе занят.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Пн дек 17, 2018 15:11 
Не в сети

Зарегистрирован: Вт дек 11, 2018 18:15
Сообщений: 13
YuriAM писал(а):
Видны косяки. Не один. Но я пока на работе занят.


Хорошо, спасибо.
Буду работать.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Пн дек 17, 2018 16:44 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8820
Откуда: Москва
дайте ка таблицу маршрутизации и на АД и на свичах :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Пн дек 17, 2018 16:51 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7128
Откуда: Екатеринбург
1. MAIN_NETWORK - 192.168.0.0/24

если это все локальные сети, то это неверно

это должна быть группа локальных сетей 15, 25, 35, 45, 55.
Об этом я писал

2. маршрут на all-nets должен быть ЕДИНСТВЕННЫМ. искаться через wan1_gw. Даже если нет интернета.

3. распишите, что на ваших скриншотах чему соответствует.

4. В частности, адреса DFL 192.168.100.1 и свитча 192.168.100.2. Это верно?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Пн дек 17, 2018 22:09 
Не в сети

Зарегистрирован: Вт дек 11, 2018 18:15
Сообщений: 13
YuriAM писал(а):
1. MAIN_NETWORK - 192.168.0.0/24

если это все локальные сети, то это неверно

это должна быть группа локальных сетей 15, 25, 35, 45, 55.
Об этом я писал

2. маршрут на all-nets должен быть ЕДИНСТВЕННЫМ. искаться через wan1_gw. Даже если нет интернета.

3. распишите, что на ваших скриншотах чему соответствует.

4. В частности, адреса DFL 192.168.100.1 и свитча 192.168.100.2. Это верно?


1. Значит я Вас не так понял, завтра исправлю;
2. То, что all_nets на первом скрине, это потому что я указал для интерфейса 192.168.100.1 шлюз коммутатора 192.168.100.2, и DFL задал сразу правило по-умолчанию, которое я не могу изменить. Завтра уберу эту настройку.
3. Скрины:
Route DFL - маршруты, которые я задал на DFL (уже понял, что неправильно);
Policies DFL - правила, которые я указал для разрешения ICMP сервиса и пинга в сторону всех адресов DFL;
Log DFL - кусочек лога, который показывает дроп пакета при попытке пинга с адреса подсети. Судя по той инфе, которую я нашел, Default_Access_Rule как раз дропает пакеты, потому что нет маршрута;
4. Да, абсолютно верно.

Спросил совета еще у знакомого человека, он посоветовал проверить TTL пакетов, мб DFL дропает пакеты, TTL которых выше определенного значения.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Вт дек 18, 2018 06:37 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8820
Откуда: Москва
Дропает, потому что правил нету..

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Вт дек 18, 2018 10:02 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7128
Откуда: Екатеринбург
dirt234 писал(а):
Спросил совета еще у знакомого человека, он посоветовал проверить TTL пакетов, мб DFL дропает пакеты, TTL которых выше определенного значения.
Не надо этих тонкостей. Тут просто неверная настройка. Как я предполагаю, из-за того, что сетевые технологии - не ваш профиль. :)

В принципе, если прописать до локальных сетей один правильный маршрут, компы в них должны пинговаться с DFL. И как минимум, должны пинговаться адрес свитча в сети 100 и его адреса в других сетях. А это уже половина дела. )

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Настройка VLAN на DFL-870
СообщениеДобавлено: Вт дек 18, 2018 17:44 
Не в сети

Зарегистрирован: Вт дек 11, 2018 18:15
Сообщений: 13
Все получилось, всем спасибо за советы.
Хватило одного правила и одного маршрута, оказалось очень просто.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 27 ]  На страницу Пред.  1, 2

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 25


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB