Здравствуйте, форумчане !
Столкнулся со следующей проблемой, необходимо на DFL-860e настроить работу 2-х (возможно)
более VLAN интерфейсов в режиме Transparent mode. Перелопатил 5-ть десятков форумов, затер до дыр
мануал...не заводится (
Исходные данные:
Суть: есть три коммутатора 2-го уровня, все cisco, скажем так некое наследие с которым особо ничего
не сделаешь.
Коммутатор
sw_1,
sw_2 находятся на "нашей стороне", т.е. на стороне системы которую мы сдаем заказчику
и соответственно в целом нам подконтрольны. Коммутатор
sw_3 - принадлежит заказчику и вмешиваться
в него не можем в принципе. Все это хозяйство "сшивает" межсетевой экран
FW_1 (
DFL-860e).
Так получилось что некая большая IP система (видеонаблюдение с несколькими сотнями IP камерами и
кое что по "мелочи") получилась разбита физически двумя коммутаторами: sw1 и sw2.
Проблема в том, что раздел произошел не по границе сетей, а образно говоря посередине - сеть VLAN200
присутствует на обеих (sw_1, sw_2) коммутаторах. Связи между
коммутаторами нет и быть не может по проекту. Между ними (между всеми тремя) стоит межсетевой экран.
Он фактически ядро системы, маршрутизацию, шифрование и пр. обеспечивает он.
Первая задача которую требуется решить -
сшить сеть VLAN200, оказавшуюся частично на одном (sw_1) коммутаторе,
частично на втором (sw2). Коммутаторы подключены к следующим интерфейсам FW_1 (см. рисунок):
sw_1 ->LAN (на нем поднят
SUB инт
VLAN200_if1);
sw_2 -> WAN1 (на нем подняты
SUB инт
VLAN200_if2 и
VLAN100);
sw_3 -> WAN2 (на нем поднят
SUB инт
VLAN55);
На самих физических интерфейсах применены сети вида
172.16.1.0/24, 172.16.2.0/24, 10.200.200.0/24 - сети "
мусорные"
т.е. в работе не участвуют, применены только для конфигурации Ethernet интерфейсов на которых подняты SUB интерфейсы
(VLAN100, VLAN200, VLAN55) которые обеспечивают работу системы.
Первая задача заставить работать Transparen mode между SUB интерфейсами:
VLAN200_if1 и
VLAN200_if2.
Делаю все по науке, удаляю маршруты интерфейсов из main, создаю отдельную таблицу маршрутизации
route_vlan_200,
где создаю два
коммутируемых маршрута. Дальше делаю два встречных тестовых правила,
разрешающих все
ходить из VLAN200_if1 в VLAN200_if2 и обратно.
Тестовый пинг с хоста подключено к sw_1 в сторону хоста подключенного к sw_2 (или в обратную) и.....болт.
IP адреса тестовых хостов:
хост_1 на стороне sw_1:
192.168.52.100 (принадлежит VLAN200);
хост_2 на стороне sw_2:
192.168.52.200 (принадлежит VLAN200);
Пинг хостов встречно результат ноль, пинг из под CLI "выплевывает" следующую строку:
Код:
ping 192.168.52.100
ping: No route to 192.168.52.100 in PBR table "main"
Ниже конфигурация DFL слитая из CLI:
Код:
/-----------------------------------------------------------------------------------------------------------/
#
#Версия Firmware
#
DFL-860E:/> about
D-Link Firewall 2.27.06.10-19068
Copyright Clavister 1996-2012. All rights reserved
QuickSec SSHIPSECPM version 2.1 library 2.1
Copyright 1997-2003 SafeNet Inc
Build : Oct 1 2012
/-----------------------------------------------------------------------------------------------------------/
Код:
/-----------------------------------------------------------------------------------------------------------/
#
#Таблица физических интерфейсов, характеристики
#
DFL-860E:/> show Interface Ethernet
Name IP Network Default Gateway DHCP Enabled
-------- ------------ -------------- --------------- ------------
dmz_int 172.16.3.1 172.16.3.0/24 <empty> No
lan_int 172.16.1.1 172.16.1.0/24 <empty> No
wan1_int 172.16.2.1 172.16.2.0/24 <empty> No
wan2_int 10.200.200.1 10.200.200.0/24 <empty> No
/-----------------------------------------------------------------------------------------------------------/
Ниже сгруппированная таблица по SUB интерфейсам, при необходимости могу забросить
развернутую по каждому интерфейсу (как выше по физ eth интерфейсам):
Код:
/-----------------------------------------------------------------------------------------------------------/
#
#Таблица SUB интерфейсов VLAN,характеристики
#
DFL-860E:/> show Interface Ethernet wan2_int
Name Interface VLAN ID IP Network Default Gateway
------------ --------- ------- --------------- ------------------ -------------
VLAN_100_if2 wan1_int 100 192.168.50.253 192.168.50.0/24 <empty>
VLAN_200_if1 lan_int 200 192.168.52.254 192.168.52.0/24 <empty>
VLAN_200_if2 wan1_int 200 192.168.52.253 192.168.52.0/24 <empty>
/-----------------------------------------------------------------------------------------------------------/
Далее список таблиц маршрутизации:
Код:
/-----------------------------------------------------------------------------------------------------------/
#
#Перечень таблиц маршрутизации, параметры
#
DFL-860E:/> show RoutingTable
Name Ordering Remove Iface IP Routes
-------------- -------- ----------------------
main Default Yes
route_vlan_200 Only Yes
/-----------------------------------------------------------------------------------------------------------/
Для таблицы с коммутируемыми маршрутами параметр
Ordering имеет значение
Only (как того требует документация).
Код:
/-----------------------------------------------------------------------------------------------------------/
#
#Список активных маршрутов, параметры
#
DFL-860E:/> routes -all
Flags Network Iface Gateway Local IP Metric
----- ------------------ -------------- --------------- --------------- ------
192.168.52.253 core (Iface IP) 0
192.168.52.254 core (Iface IP) 0
192.168.50.253 core (Iface IP) 0
172.16.1.1 core (Iface IP) 0
172.16.3.1 core (Iface IP) 0
10.200.200.1 core (Iface IP) 0
172.16.2.1 core (Iface IP) 0
127.0.0.1 core (Iface IP) 0
172.16.2.0/24 wan1_int 100
10.200.200.0/24 wan2_int 100
172.16.3.0/24 dmz_int 100
172.16.1.0/24 lan_int 100
224.0.0.0/4 core (Iface IP) 0
/-----------------------------------------------------------------------------------------------------------/
Перечень коммутируемых маршрутов:
Код:
/-----------------------------------------------------------------------------------------------------------/
#
#Список коммутируемых маршрутов таблицы route_vlan_200, параметры
#
DFL-860E:/> routes route_vlan_200 -switched
Routing table: route_vlan_200
Flags Network Iface Gateway Local IP Metric
----- ------------------ -------------- --------------- --------------- ------
192.168.52.0/24 switched 50
192.168.52.0/24 switched 50
/-----------------------------------------------------------------------------------------------------------/
Список IP правил
Код:
/------------------------------------------------------------------------------------------------------------------------------/
#
#Список правил IPRule, параметры. Два правила формируют двунаправленный трафик
#между SUB интерфейсами VLAN_200_if1 и VLAN_200_if2. Разрешено хождение
#трафика по любому протоколу. Маршруты трафика коммутируемые.
#
DFL-860E:/> show IPR IPRule
# Name Action SrcIf SrcNet DestIf DestNet Service
- -------------- ------ ------------ --------------- ------------ --------------- ------------
1 test_allow_if1 Allow VLAN_200_if1 192.168.52.0/24 VLAN_200_if2 192.168.52.0/24 all_services
2 test_allow_if2 Allow VLAN_200_if2 192.168.52.0/24 VLAN_200_if1 192.168.52.0/24 all_services
/-----------------------------------------------------------------------------------------------------------------------------------/
При сохранении и активации конфигурации из под Web, система выдает следующее сообщение:
Код:
CFG WARNING: Iface 'VLAN_200_if1' has no specific routing table assigned to it. Using 'main' routing table for switching.
CFG WARNING: Iface 'VLAN_200_if2' has no specific routing table assigned to it. Using 'main' routing table for switching.
Как всегда поджимают сроки, так что за ранее большое спасибо за подсказку что не так.
Вход
Регистрация
FAQ
Поиск
