Схема на сети такая



На коммутаторе DGS-3627g N 1 следующие настройки:
Настройки vlan default:


Имеется к нему один интерфейс


И еще один интерфейс


Также есть еще vlan trunk1and2


И к нему интерфейс


На коммутаторе DGS-3627g N 2 следующие настройки:
Настройки vlan default:


К нему соответственно интерфейс



И также есть еще vlan trunk1and2


К нему соответственно интерфейс



Собственно сам вопрос в том что при создании маршрута на коммутаторе №2 следующего характера

не даёт нам доступ к сети 10.80.0.0/16 с этого коммутатора(грубо говоря я не могу пропинговать ни одну машину), хотя при этом с компьютера из подсети 10.80.0.0/16 доступ к этому коммутатору я имею.

А если я создаю такой маршрут:

то доступ к сети 10.80.0.0/16 я имею (грубо говоря я могу пропинговать лубую машину).

Иван Дёмин подсказал мне включить local proxy arp на этих интерфейсах на коммутаторе N1 (так как маршрутизации между локальными интерфейсами в одном vlan не работает - если я конечно правильно его понял), но мне это не помогло.

А если из первого VLAN удалить 25 порт ?

VID : 1 VLAN Name : default
VLAN Type : Static Advertisement : Disabled
Member Ports : 1-4,6-18,20-27
Static Ports : 1-4,6-18,20-27

Он как бы тут и не нужен, коль речь идет о маршрутизации.
Тогда пакеты будут приходить на интерфейсы и дальше по маршрутизации идти в нужный VLAN согласно прописанным интерфейсам.

И еще на каждом коммутаторе(или на одном из них, зависит от схемы подключения) проще не сетки маршрутизировать по отдетльности, а прописать дефаулт-роут на вышестоящий коммутатор(зависит от схемы подключения)

Получится две несвязных сети vlan-а default с одинаковой адресацией - 10.95.0.0/16.


У "lumen" по линку между коммутаторами между 25-ми портами ходят vlan-ы default и trunk1and2. При этом на N1 присутвует три сетевых интерфейса, на N2 - два.
Смысл такого построения мне совершенно непонятен. Асимметричный роутинг способен поднять неочевидные грабли.

Если межкоммутаторный линк - для L2, то я бы оставил на одном из коммутаторов единственный IP-интерфейс для VLANа управления (назначил бы интерфейсам System отдельный VLAN на всех свичах). При этом маршрутизация пользовательских сетей (и Proxy-ARP) висела бы на одном свиче.

Если строить линк L3 - то вообще непонятно, какие сети маршрутизирутся.

Сама идея не понятна, разные сети включать в разные коммутаторы, разве, что портов не хватило.

Тогда можно было бы проще сделать.
1. Сеть 10.254.254.0/30 использовать как точка-точка для связи между коммутаторами.
2. Сеть 10.95.0.0/16 поделить на 2 сегмента (если можно, а скорее всего это возможно), допустим пополам /17
3. Дефаулт роуты 0.0.0.0/0 на 10.254.254.1 на одном и
0.0.0.0/0 на 10.254.254.2 - на другом. И пусть живут.

Тогда можно маршрутизировать на 3-м уровне с одного на другой коммутатор, и 25 порт будет только в одном VLAN (1000) + управляющий VLAN для коммутатора, если надо.
Все остальные VLAN как бы дело каждого коммутатора. Связь будет по 3-му уровню.

Суть в том что то ли не хватает у него производительности, то ли какой трафик грузит его проц до 100%, поэтому решили разнести сети на два коммутатора - тем более что есть второй.

1. Сеть 10.254.254.0/30 используется как точка-точка для связи между коммутаторами.
2 . Делить сеть не будем. В принципе и так всё работает, не ясно одно - смотреть сам вопрос.
3. Вопрос был не в том чтобы прописать Дефаулт роуты 0.0.0.0/0 на 10.254.254.1 на одном и 0.0.0.0/0 на 10.254.254.2 - на другом. С этим и так ясно.

Вопрос в том почему доступ к сети 10.80.0.0/16 работает только через
маршрут

Правильно ли я понимаю Ваш дизайн сети и соответствующие настройки оборудования:
Коммутатор N1 - пользователи в сетях 10.95.0.0/16 и 10.80.0.0/16 (Например, 10.95.95.101 и 10.80.80.101)
Настроек маршрутизации для доступа между сетями не нужно, т.к. все сети - на одном устройстве
Коммутатор N2 - пользователи в сети 10.95.0.0/16 (Например, 10.95.195.202)
Настройки на N2:
create iproute 10.80.0.0/16 10.254.254.1
Хост 10.95.195.202 не "видит" хост 10.80.80.101
?

Если я правильно понимаю, у знатоков оборудования d-link есть то ли точка зрения, то ли рекомендация... При обсуждения высокой загрузки процессора - следуют уточняющие вопросы, первый из которых - а управление коммутатором находится в отдельном VLANе, доступ к которому ограничен?
Попробуйте всё-таки вынести интерфейс управления коммутатором (ipif System) в отдельный VLAN.

:?: Назначение этой сети? Какой трафик, с Вашей точки зрения, должен ходить между L3-интерфейсами с адресами 10.254.254.1 и 10.254.254.2? Точнее, трафик между какими сетями должен ходить по этому L3-линку?

:shock:

Видимо потому, что для хоста 10.80.80.101 маршрут к хосту 10.95.195.202 предпочтителен через 10.95.0.1

это где же у вас /30 ? у вас там зачем то целая /24 зафигачена.
У вас 10.254.254.1 вообще с 10.254.254.2 пингуется?


+1

P.S. и вообще, /16 сети это ваще жесткач полный. Сколько у вас там машин ???

_________________
LiveComm

Спасибо так и сделаем.

Слишком много демагогии, меня интересовал

[quote="o_st"]При обсуждения высокой загрузки процессора - следуют уточняющие вопросы, первый из которых - а управление коммутатором находится в отдельном VLANе, доступ к которому ограничен?
Попробуйте всё-таки вынести интерфейс управления коммутатором (ipif System) в отдельный VLAN.
default и есть управляющий vlan, в нем только присутствует две подсети. Другие подсети я просто не указываю.

Схема примерно такая - viewtopic.php?t=68598&highlight=

А про загрузку цпу уже долго общаюсь с тех. поддержкой - пока результатов нет. Хотим разнести нагрузку между коммутаторами так как планируем включать multicast.

Ребят вопрос был только один конкретный, он был озвучен выше.

Машин в сети около 4000

трындец полный. делите на несколько сетей.

и вынесите управление (ipif System) в отдельный от пользователей VLAN.

_________________
LiveComm

Забыл

конечно пингуется.

Повторяю, примерная схема по ссылке viewtopic.php?t=68598&highlight=.
И еще повторю - всё управление вынесено в отдельный VLAN.
Всё и так поделено на подсети и vlan, тут я не представил всю схему сети - здесь не показаны сети общего доступа (так как будет много информации для восприятия, всё сократилось до того что касается конкретного вопроса), если интересно могу послать вам конфиг весь.
Сеть 10.95.0.0/16 - сеть коммутаторов - 400 штук (юзеров там нет), vlan -default.
Сеть 10.80.0.0/16 - сеть администраторов (5 юзеров), vlan - default.
Все юзеры сидят в отдельных vlan, маршрутизация в подсеть 10.95.0.0/16 закрыта acl, только подсеть 10.80.0.0/16 имеет туда доступ.

Меня интересовал только один вопрос, который я задал выше.

Вот и интересно почему он предпочтительнее, чем вот этот

и этот

Скорее всего это связано с тем, что сети 10.80/16 и 10.95/16 находятся в одном VLAN. Поэтому, коммутатор не понимает, зачем гнать на третьем уровне то, что находится в одном VLAN.
поэтому проброс через 10.254.254.х - не работает.(работает 10.95.0.1 - он находится в том же VLAN, что и сети)

Можно сети 10.80/16 - загнать в один влан,а 10.95/16 в другой и прописать роуты на 10.254.254.х для каждого коммутатора.
Тогда должна сработать маршрутизация, т.к. единой области идимости не будет. Либо, шлюз должен быть из своего VLAN.

Не будучи специалистом по оборудованию d-link, не стану утверждать что моё объяснение претендует на полноту или исключительность, или что нельзя придумать какой-то другой механизм.

IP сети 10.80.0.0/16 и 10.95.0.0/16 непосредственно доступны с интерфейсов System. Такие сети для этих коммутаторов можно назвать словом CONNECTED. Пакетик (неважно с каким Source IP адресом) отправится на тот интерфейс, куда ему скажет FDB, заполняемая из таблички ARP. Логично?

Можно сказать, что в таблицах маршрутизации коммутаторов N1 и N2 присутствуют ( с самым высоким весом, с метрикой равной 0 ) маршруты ко всем connected сетям.

Как в такой алгоритм привязать STATIC маршрут, и сделает его предпочтительным - не знаю. Логично, когда Вы указываете статический маршрут на дальнюю сеть через узел в CONNECTED сети.
Изощрённо придумать, наверное, можно...

А слова меня путают и пугают.

А почему бы не оставить на N1 на ipif System два адреса - 10.95.0.1 и 10.80.0.1 ? На других коммутаторах сеть 10.80.0.0 не нужна. На администраторских хостах - шлюз по умолчанию 10.80.0.1
Все (включая широковещательные) пакеты с компьютеров администраторов будут достигать всех коммутаторов, если Вы не ограничите каким-либо образом дальнейшую их пересылку узлом N1.
На коммутаторах второго уровня шлюз по умолчанию, очевидно, 10.95.0.1
На коммутаторах третьего уровня - статический маршрут на сеть 10.80.0.0 через тот же 10.95.0.1

2 zatupitel - ваша точка зрения более близка к моей, спасибо.

2 o_st

А на один интерфейс разве можно повесить два разных адреса? vlan у них общий - default, а интерфейсы как бы разные, но так как они в одном vlan мак у них одинаковый.

System 10.95.0.1 00-1E-58-D4-45-00 Local
iadm 10.80.0.100 00-1E-58-D4-45-00 Local


А чтобы вас не путать:
Сети 10.95/16 и 10.80/16 находятся в vlan default (на коммутаторах l2 vlan default является управляющим vlan'ом). пользователи находятся в других vlan'ах. На коммутаторах создаются acl, с помощью которых доступ в сеть 10.95/16 закрывается от всех кроме 10.80/16.

Укажите пожалуйста в личку Ваш телефон.