Ну вот в FreeBSD мы, например, пишем:



А есть ли такая железка, которая бы это всё дело выполняла сама, без участия сервера?

_________________
Всё нормально.

Вам нужен или аппаратный маршрутизатор или коммутатор с функциями маршрутизации, т.е. уровня три.

Главное сразу понять какая функциональность Вам нужна: маршрутизация, динамическая маршрутизация (OSPF), firewall, NAT, шейпер трафика и т.п.

Т.е. как я понял это привязка IP-интерфейсов к VLAN-ам.

Да. Это привязка виртуальных сетевых интерфейсов FreeBSD к вланам.
На каждый влан выдается /30. О том, что есть решения лучше (на мой взгляд), я уже писал...

Особенно интересно будет, если в здании будет "тупой" свитч, а на нем несколько клиентов, т.е. надо будет выдать несколько вланов на один интерфейс свитча. Mac-based?

Нет в этом случае не будет. Только привязать несколько IP-интерфейсов к VLAN-у.

Ок, спасибо, будо советоваться и выбирать...

_________________
Всё нормально.

А кто-нибудь может здесь описать, знающий?

To s.v.m.

я пересобрал ядро с device if_bridge и все виланы стали видеть друг друга.

Теперь, что бы запретить определённым подсетям общаться с другими пишим в настройках фаервола:

ipfw add 10 deny ip from any to any //убиваем все пакеты (что бы VLan'ы друг друга не видели). с этим по-аккуратнее, ибо убъёт вообще все пакеты

ipfw add 50 deny ip from 192.168.1.0/24 to 192.168.2.0/24 //разрешаем подсети 192.168.1.0/24 видеть подсеть 192.168.2.0/24

ipfw add 51 deny ip from 192.168.2.0/24 to 192.168.1.0/24 //разрешаем подсети 192.168.2.0/24 видеть подсеть 192.168.1.0/24

_________________
Всё нормально.

Извините, а в чем смысл вланов, если Вы потом делаете бридж?

Все равно весь трафик уровня три пойдет только через маршрутизацию роутера (хотя умные ПК могут обнаружить друг друга ARP'ми и начать работать напрямую через бридж роутера. Не уверен, что firewall в этом случае вообще сработает).

и мало того, в правилах написано "deny", а в комментариях - "разрешаем"

2 s.v.m.:

man ipfw
man pf

выбирайте

Тема еще такая, пользоваетли в разных vlan пингуют друг друга.

Где вланы терминируются? Может трафик идет через маршрутизатор, а правила firewall на него не влияет?

Или это у Вас сделан бридж в ядре между вланами? Тогда неудивительно...

Где вланы терминируются?
Маршрутизатор на базе Linux(в качестве интерфейсов Ethernet, карточки Intel c 802.1q).

Бридж не настроен между vlan

Для информации, коммутатор DES-3226S(прошивка DES_3226S_4_02_B52.had)

Включите пинг от пользователя на одном влане на пользователя на другом влане.

Поставьте tcpdump (proto icmp) на один из вланом на роутере. Если трафик проходит через роутер, то все ОК. Вланы работают, маршрутизация работает, а дальше смотреть на настройки firewall.

Если же пинг идет, а tcpdump его не видит или видит только первых 1-2 пакета, а дальше нет, то настройки вланов на свитче в форум.