Подходящую тему читал, но.. Похоже, там описан не мой случай.
Имеем в наличии следующую схему сети (упрощенно; "ниже" 3612 находятся "районные" и "домовые" коммутаторы). Схема - "vlan до дома".

Во vlan101, vlan102 и vlan103 находятся абоненты в соответствующих подсетях (10.0.192.0/22, 10.0.196.0/22 и 10.0.200.0/22).
IP адреса абоненты получают от dhcp сервера, находящегося на роутере, там же для них соотв. шлюз во "внешку".
Управление всеми коммутаторами находится в отдельной подсети, которая соответственно находится в отдельной vlan.
Задача: маршрутизировать межабонентский трафик (между vlan-ами) на 3612, не заворачивая его на роутер. Плюс еще очень желательно зафильтровать на нём NetBIOS ("межабонентский" траф нужен только для работы локального торрента).
Всё остальное - соответственно через роутер.
Задача решаема? Если "да", то что конкретно необходимо настроить на 3612?

Снять соответствующие интерфейсы с роутера и поднять их на свиче в соответствующих вланах. На свиче прописать роутер как дефолтный гейт.
Нетбивис зафильтруете через ACL.

Так.. Это понятно. Правда еще не особо представляю, как это делается в 3612 (не приходилось еще), но думаю, что разберусь. Это будет наверное что-то наподобие сабинтерфейсов?
А вот здесь есть вопросы..
1. Сейчас у меня System интерфейс 3612 находится в отдельной vlan и дефолтным гейтом свитча указан именно роутер. Причем кроме отдельной vlan это еще и отдельная подсеть (192.168.4.0/22) в которой находится управление всеми коммутаторами сети. Т.е. например 3612 имеет IP 192.168.4.1 и шлюз 192.168.7.254 (роутер). Все это "хозяйство" находится в vlan2.
Здесь что-то переделывать придется, или не нужно?
2. А что будет с DHCP? Коммутатор сам "разберётся", что надо релеить запросы от клиентов на роутер, или потребуется какая-то доп. настройка?
3. Не появится ли в случае назначения IP во vlan-ах "дыра" в безопасности? Я имею ввиду доступ к коммутатору из абонентских vlan. Или это решается с помощью ACL?

Пропишите тот гейт, который должны видеть пользователи, чтобы не фигурировал управляющий влан. По поводу переделывать - понятия не имею, всё зависит от топологии и схемы.


Вроде всё должно пахать, но пробовать надо, всё опять таки зависит от схемы.


Единственная вменяемая политика доступа к L3 коммутатору - это настройка trusted host. Если же у вас есть отдельный управляющий влан - с помощью ACL запретите абонентам в него попадать.

Гм.. А коммутатор даст прописать гейт из неизвестной ему подсети??
Я так полагаю, что пошлёт подальше..

Вот в этом-то ("надо пробовать") и вся проблема. Коммутатор находится далече и доступа из "внешки" к нему еще нет.. Кабы железка была на моём столе, уже давно бы все покрутил..

Создайте на 3612 интерфейсы в подсетях 10.0.192.0/22, 10.0.196.0/22, 10.0.200.0/22 и настройте dhcp_relay, всё должно работать. Только для роутера надо будет завести отдельную подсеть.

Здесь понятно.

А вот здесь не совсем.. А именно - какому интерфейсу коммутатора назначать IP из этой подсети?

Между роутером и свичом следайте отдельную подсеть (влан), через который и будет производится связь между абонентами и внешним миром.

Да это все понятно! Повторю вопрос - какому интерфейсу коммутатора назначать IP из этой подсети?
Допустим, на роутере создаю интерфейс с IP 192.168.1.1/24 и загоняю его во vlan10. А на какой интерфейс коммутатора назначать IP 192.168.1.2/24 ?
Напомню, сейчас интерфейс System коммутатора находится в подсети управления (192.168.4.0/22), имеет IP 192.168.4.1, во vlan2, default route 192.168.7.254 (интерфейс роутера).

этого достаточно, связь между коммутатором и роутером, значит, уже есть

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Да, в настоящий момент есть. Но это "служебная" подсеть и vlan.
И в таком случае вот этоне имеет смысла делать. Так?
И получается, что со стороны абонентов эта подсеть и vlan будут "видны", и любой Вася Пупкин сможет влёгкую побутфорсить коммутатор ядра! Так?

А кто Вам мешает использовать функцию Trusted Host/Subnet для защиты ядра?!

_________________
С уважением,
Бигаров Руслан.

А у 3612 есть Trusted Subnet?? Не нашел такого в мануале, только Trusted Host. Ну вообщем-то, это не важно, вполне достаточно Trusted Host.
P.S. Еще один вопрос появился - как я понимаю, в данной конфигурации будет необходимо настроить не только dhcp_relay, а еще и dhcp_relay option_82 и "объяснить" это dhcp серверу? Или в случае "привязки" MAC/IP, option 82 не потребуется? Т.к. не понятно, как загнать выдачу "статического" IP в класс (вместо выдачи из пула)..
На всякий случай, вот этот мануал подойдет?

Объясните идиоту: зачем на 3612 использовать otp 82?

Ну во-первых, на 3612 НЕ _opt 82_, а dhcp_relay option_82.
А во-вторых, dhcp_relay option_82, для того чтобы объяснить dhcp серверу, из какой vlan припёрся данный МАС. Чтобы тот (dhcp сервер) выдал ему (клиенту) соотв. IP и отправил его в соотв. vlan.
Или все же кто-то из нас двоих перепутал тёплое с мягким?

P.S. Насчёт Trusted Subnet разобрался - действительно есть. Всё зависит от маски - если /32, то это хост, остальное подсеть.