Здравствуйте.
Строим сеть на DES-3526 клиенты и DGS-3650 в ядре.
DGS-3650 настраиваем, ссылаясь на мануалы L2, но с настройкой функций L3 возникли проблемы. Помогите-опишите настройку функций L3 (маршрутизация и т.д...), может быть подойдут мануалы (RUS) от других L3, имеются такие?

а чем там настраивать? создали интерфейсы в VLAN'ах и всё само заработает )
ACL работают всё по тому же принципу.
Протоколы маршрутизации вроде OSPF - сначала изучите сам протокол, а потом и настройки станут сразу понятны.
если что в англ доках всё что надо есть с пояснениями.

_________________
LiveComm

Вышлите пожалуйста какую-нибуть конфигу на данный девайс, для ознакомления возможных вариантов его настройки.

никто такой фигнёй заниматься не будет. настраивайте _так, как нужно вам_. и ничего более.

новые интерфейсы создаются командой

в мануале, ну или в самом коммутаторе, будут подсказки по дальнейшему синтаксису команды.
когда создадите интерфейсы в ваших VLAN - пользователи в разных VLAN смогут общаться друг с другом через этот свитч.

_________________
LiveComm

Попробуйте начать с изучения вот этого FAQ http://www.dlink.ru/ru/faq/62/204.html

Значит так, настроил вланы, назначил им интерфейсы прописал роут, на клиентах прописал шлюзы и днс...
#клиентские
create vlan v102 tag 102
create vlan v103 tag 103
create vlan v104 tag 104
create vlan v105 tag 105
#управляющие
create vlan v166 tag 166
create vlan v201 tag 201
#на сервер
create vlan v200 tag 200

#на DGS-3650
create ipif i102 192.168.2.254/24 v102
create ipif i103 192.168.3.254/24 v103
create ipif i104 192.168.4.254/24 v104
create ipif i105 192.168.5.254/24 v105
#
create ipif i166 192.168.66.254/24 v166
create ipif i200 192.168.0.254/24 v200
create ipif i201 192.168.1.254/24 v201

config vlan default delete 1-30
#
config vlan v102 add tagged 1-30
config vlan v103 add tagged 1-30
config vlan v104 add tagged 1-30
config vlan v105 add tagged 1-30
#
config vlan v166 add untagged 1-5
config vlan v200 add untagged 31
config vlan v201 add untagged 32

create iproute default 192.168.0.1

--
все работает все всех видят, и-нет есть, далее настраиваю АСЛ

цель такая - чтобы v102-v105 видели v200, но не видели друг друга и управляющие сети.
--
пробую так:

#разрешаем
create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 10

conf access_prof prof 10 add access_id auto ip source 192.168.2.0 dest 192.168.2.0 vlan v102 port 1-5 permit
conf access_prof prof 10 add access_id auto ip source 192.168.0.0 dest 192.168.2.0 vlan v102 port 1-5 permit
conf access_prof prof 10 add access_id auto ip source 192.168.2.0 dest 192.168.0.0 vlan v102 port 1-5 permit

conf access_prof prof 10 add access_id auto ip source 192.168.3.0 dest 192.168.3.0 vlan v103 port 1-5 permit
conf access_prof prof 10 add access_id auto ip source 192.168.0.0 dest 192.168.3.0 vlan v103 port 1-5 permit
conf access_prof prof 10 add access_id auto ip source 192.168.3.0 dest 192.168.0.0 vlan v103 port 1-5 permit

conf access_prof prof 10 add access_id auto ip source 192.168.4.0 dest 192.168.4.0 vlan v104 port 1-5 permit
conf access_prof prof 10 add access_id auto ip source 192.168.0.0 dest 192.168.4.0 vlan v104 port 1-5 permit
conf access_prof prof 10 add access_id auto ip source 192.168.4.0 dest 192.168.0.0 vlan v104 port 1-5 permit

conf access_prof prof 10 add access_id auto ip source 192.168.5.0 dest 192.168.5.0 vlan v105 port 1-5 permit
conf access_prof prof 10 add access_id auto ip source 192.168.0.0 dest 192.168.5.0 vlan v105 port 1-5 permit
conf access_prof prof 10 add access_id auto ip source 192.168.5.0 dest 192.168.0.0 vlan v105 port 1-5 permit


#Запрещаем

create access_profile ip source 0.0.0.0 dest 0.0.0.0 vlan prof 11

conf access_prof prof 11 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan v102 port 1-5 deny
conf access_prof prof 11 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan v103 port 1-5 deny
conf access_prof prof 11 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan v104 port 1-5 deny
conf access_prof prof 11 add access_id auto ip source 0.0.0.0 dest 0.0.0.0 vlan v105 port 1-5 deny

да, никто никого не видет, кроме v200, но и-нет пропадает, при этом v200 (сервер 192.168.0.1) пингуется

чего я тут напутал и правильно ли то, что я настраиваю асл на 3650? может быть нужно на клиентских коммутаторах это делать, но на них проблематично будет т.к они разнотипные... В данный момент эксперимент на des-3526.

если еще нужны какие то конфиги то пож-та говорите, выложу, а так же скажите, как будет выглядеть к примеру открыть доступ между v104 и v105, а v103 закрыть к v200
...спасибо

У вас сервер инет раздает NAT'ом ? если да, то так и должно быть. Вы же не разрешали своими ACL трафик в Интернет. Разрешили только трафик на сервер.

_________________
LiveComm

Да, раздается NAT'ом
при таких настройках работает и-нет только на первом влане, остальные только пингуются, если настроить так:


create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 10

conf access_prof prof 10 add access_id auto ip source 192.168.2.0 dest 192.168.2.0 vlan v102 port 1-5, 45-48 permit
conf access_prof prof 10 add access_id auto ip source 192.168.0.0 dest 192.168.2.0 vlan v102 port 1-5, 45-48 permit
conf access_prof prof 10 add access_id auto ip source 192.168.2.0 dest 192.168.0.0 vlan v102 port 1-5, 45-48 permit

create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 11

conf access_prof prof 11 add access_id auto ip source 192.168.3.0 dest 192.168.3.0 vlan v103 port 1-5, 45-48 permit
conf access_prof prof 11 add access_id auto ip source 192.168.0.0 dest 192.168.3.0 vlan v103 port 1-5, 45-48 permit
conf access_prof prof 11 add access_id auto ip source 192.168.3.0 dest 192.168.0.0 vlan v103 port 1-5, 45-48 permit

create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 12

conf access_prof prof 12 add access_id auto ip source 192.168.4.0 dest 192.168.4.0 vlan v104 port 1-5, 45-48 permit
conf access_prof prof 12 add access_id auto ip source 192.168.0.0 dest 192.168.4.0 vlan v104 port 1-5, 45-48 permit
conf access_prof prof 12 add access_id auto ip source 192.168.4.0 dest 192.168.0.0 vlan v104 port 1-5, 45-48 permit

create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan prof 13

conf access_prof prof 13 add access_id auto ip source 192.168.5.0 dest 192.168.5.0 vlan v105 port 1-5, 45-48 permit
conf access_prof prof 13 add access_id auto ip source 192.168.0.0 dest 192.168.5.0 vlan v105 port 1-5, 45-48 permit
conf access_prof prof 13 add access_id auto ip source 192.168.5.0 dest 192.168.0.0 vlan v105 port 1-5, 45-48 permit

и-нет везде появляется, но после 14-ти профилей пишет -
DGS-3650:5#create access_profile ip source 255.255.255.0 dest 255.255.255.0 vlan
prof 15
Command: create access_profile ip source_ip_mask 255.255.255.0 destination_ip_ma
sk 255.255.255.0 vlan profile_id
Next possible completions:
<value 1-14>

DGS-3650:5#
DGS-3650:5#conf access_prof prof 15 add access_id auto ip source 192.168.6.0 dest 192.168.6.0 vlan v106 port 1-5, 45-48 permit
Command: config access_profile profile_id
Next possible completions:
<value 1-14>
т.е. больше профилей нельзя создать. Как правильно сделать?

Если присмотреться на профили с 10 по 14, то их можно объединить в один, так как выборка у Вас идёт по одним и тем же критериям.

P.S.: Можете прочитать следующие презентации для ознакомления с функционалом:
ftp://ftp.dlink.ru/pub/Trainings/D-Link ... _Basic.rar
ftp://ftp.dlink.ru/pub/Trainings/D-Link ... vanced.rar

_________________
С уважением,
Бигаров Руслан.

Если посмотреть на предыдущие посты, видим что все профили находятся кок раз в одном, но при этом и-нет есть только в первом по списку vlan-e, или есть другой способ объединения профилей?

Профили для ethernet по мануалам основаны либо на маке, либо на айпи пользователя, это никак не подходит для нашего случая, нужно чтобы профиль был основан на влане или подсети, но такое не удается реализовать для доступа в интернет, что я тут недопонял, помогите разобраться.

Маршруты на шлюзе для внутренних подсетей настроены?

_________________
С уважением,
Бигаров Руслан.

на сервере с IP 192.168.0.1/24 прописан машрут:
route add -p 192.168.0.0 mask 255.255.0.0 192.168.0.254

на 3650 с интерфейсом 192.168.0.254 прописано:
create iproute default 192.168.0.1

# ROUTE
config route preference static 60
config route preference default 1
config route preference rip 100
config route preference ospfIntra 80
config route preference ospfInter 90
config route preference ospfExt1 110
config route preference ospfExt2 115
config route preference ebgp 70
config route preference ibgp 130
create iproute default 192.168.0.1 1 primary
config ecmp algorithm ip_destination crc_low
enable ecmp ospf

Серверу нужно знать, что подсети : 192.168.2.0/24, 103 192.168.3.0/24, 192.168.4.0/24 v104, 192.168.5.0/24, 192.168.66.0/24, 192.168.1.0/24 находятся за 192.168.0.254

_________________
С уважением,
Бигаров Руслан.

Эээ... может, я что-то неправильно понимаю в маршрутизации. Но по-моему, для сервера записи route add -p 192.168.0.0 mask 255.255.0.0 192.168.0.254 должно быть достаточно. Если он обрабатывает заголовок, в котором destination указан, например, 192.168.2.1. Он смотрит таблицу маршрутов, где 192.168.2.1 попадает в статическую запись 192.168.0.0/16 -> 192.168.0.254. И соответственно пересылает этот пакет на 192.168.0.254. А там пусть уже роутер разбирается куда ему эти пакеты отсылать. Само собой роутер уже никуда (на 3-м уровне) его пересылать не будет, т.к. 192.168.2.254 - это его локальный интерфейс.

Как же рассказать серверу на платформе windows об этих подсетях?