Задача:
к портам 1-24 подключены мыльницы
к портам 25-28 подключены шлюз в интернет(внутр сетевой адрес /16 и алиас для реальных IP), WEB, DNS, Filestore(ftp). WEB доступен извне по SNAT через шлюз.
Нужно чтобы ПК на мыльницах ходили в интернет и видели внутренние ресурсы, и не видили части сети подключенные к другим портам DES 3828. Как я понял нужны нетегированые VLAN. С VLAN не работал. Поиск по форуму дает много частично похожих результатов, но проверять каждый на практике возможности нет, много больших пауз в работающей сети на даный момент допускать нельзя - поэтому нужно сделать все и сразу. Помогите с решением даного вопроса. Спасибо.

Исходя из изложенной задачи, Вам скорее всего удобнее будет воспользоваться механизмом traffic segmentation. Ознакомиться с ним можно по адресу: http://dlink.ru/up/uploads_media/Traffic_segmentation.pdf

На даный момент да- но это опция Л2, в дальнейшем мыльницы будут заменены на 3550, уже на даный момент таковых несколько. Хотелось бы использовать полный функционал. Спасибо.

попробовал сделать:


Доступ отвалился... Я что-то не понял? В этой модели тоже все же нужны ВИЛАНы?

А откуда у Вас осуществляется доступ? Схему покажите пожалуйста. Также посмотрите вот этот FAQ http://www.dlink.ru/ru/faq/62/204.html Возможно он поможет реализовать схему так как Вы хотите.

схема:
gateway(eth1 192.168.10.1/16) with SNAT & DNAT - port 28, DNS 192.168.10.2, WEB -27 192.168.10.3 - 26 , STORE 192.168.10.4 - 25
на остальных портах - пара 3550, остальное - мыльницы.
Захожу по телнету через одну из мыльниц.

После описаных манипуляций выход в интернет закрывается, шлюз(и сервера) не видятся.

По идее у вас должно быть так:

config traffic_segmentation 25-28 forwarding_list 1-28
configtraffic_segmentation 1 forwarding_list 1,25-28
configtraffic_segmentation 2 forwarding_list 2,25-28
configtraffic_segmentation 3 forwarding_list 3,25-28
.....

хм.. спасио, сейчас проверю.. я не правильно понял что и куда форвардится, теперь суть вроде бы ясна.

Есть ли возможность прописать правила для отдельных IP (в целях удобства администрирования, а то на данный мрмент не доступно управляемое оборудование на других портах а форвардить целые сегменты не хотелось бы)?

ЗЫ помогло, теперь есть время подумать в сторону виланов, но полагаю на первых порах данное решение ограничит разгул заразы в сети.