Приветствую!
Подскажите пожалуйста в чем может быть затык?

Схема такая DFL 870 - коммутатор l3 - коммутатор l2 - компьютеры.
Все вланы и интерфейсы созданы на l3 (HPE-1920s), включен роутинг на вланах, дефолтовый маршрут ведет на ДФЛ, настроен ДХЦП релей на l3.
На ДФЛ только НАТ влановских сетей, ДХЦП во все вланы и обратные роуты для сетей на L3 в таблице main.

Предыстория - раньше весь функционал выполнял ДФЛ - несколько интернетов, все вланы были созданы на нем. Понадобилось получать интернет от удаленных филиалов (через айписек) и выдавать его в некоторые вланы (дфеловские) для этого были созданы отдельные таблицы маршрутизации на дфл где были размещены - влановский маршрут, маршрут на удаленный роутер через нужный мне интернет и маршрут с айписеком на оллнетс - всё, таким образом я получал изолированный от локального интернет во влан.

Текущая проблема - решил снять влановую нагрузку с ДФЛ и полностью перенести её на l3. И теперь не пойму что делать? Вланового интерфейса то на ДФЛ теперь нет и как его поместить в изолированную таблицу маршрутизации на ДФЛ не понятно. Да и надо ли? Я так понимаю, что роутером то у меня теперь стал l3 (1920s)? И всё это теперь как то надо делать на нем?
Вычитал про 1920s, что он не совсем l3, а l2+ или l3lite, что наверняка вносит какие-то ограничения? Может мне нужен полноценный l3, которые умеет PBR?

_________________
понял настроил забыл

Не совсем ясно в чем трабл, но предположу, что подсети вланов не выходят в интернет. В свое время я сталкивался с аналогичной проблемой.
Насколько помню, что бы вланы, созданные на свитче, имели доступ в интернет, нужен маршрут в таблице маршрутизации и правило NAT для подсети Влана на DFL.
См.скриншоит - обозначение VLAN просто для обозначения соответствующей подсети и только.

Спасибо за ответ. Трабл в том, что не работает так )
То есть, естественно, для вланов, созданных на l3 коммутаторе, на ДФЛ есть обратный маршрут к ним, вида
- lan - сеть (например, 192.168.2.0/24) - гейт 192.168.10.2 (айпишник HP 1920 в разделе ROUTING)
- lan - сеть (например, 192.168.3.0/24) - гейт 192.168.10.2 (айпишник HP 1920 в разделе ROUTING)
и т.д, как и у Вас на скринах и всё прекрасно работает.. но в простом варианте с одним интернетом для всех.

А теперь представьте, что у Вас несколько местных интернетов на DFL и им пользуется офис. Офис, живя в своих вланах, ходит в инет через PBR. У всех вланов свой провайдер. Всего их четыре.
И вот, Вам дополнительно понадобилось подхватить на DFL интернет из удаленного офиса (филиал) через айписек между DFL и удаленным (филиальным) маршрутизатором и выдать его в специальный влан на DFL, который живет в специальной таблице маршрутизации, в которой присутствует только 3 маршрута - wan1 - IP филиала - wan1 gateway., маршрут - ipsec (с филиалом) - allnets., маршрут - vlan2 - vlan2net. Все. Ничего лишнего. Удаленный инет во влане есть. Натит его удаленный маршрутизатор. Местные пользуются чужим инетом. И таких чужих инетов у Вас ещё с десяток для каждого специального влана на ДФЛ.

Всё это тоже прекрасно работало когда все вланы были созданы на DFL (потому как был интерфейс Влана).
Теперь я решил снять межвлановую нагрузку с DFL и перенести её на HPE1920 и всё, затык. Не пойму как сделать всё тоже самое в новой схеме. Я говорю, мне кажется, что нужен другой L3 коммутатор, потому что 1920 - это l2+ или l3 lite - у него не хватает функционала или у меня мозгов..

Для начала - я создаю отдельную таблицу маршрутизации (ONLY) на DFL и помещаю туда стандартный маршрут - Lan - сеть (например, 192.168.2.0/24) - гейт 192.168.10.2 (айпишник HP 1920 в разделе ROUTING), туда же добавлял маршрут - LAN-LANNET (до кучи) - в таком виде даже ip от ДХЦП поднятого на ДФЛ не идет во влан на 1920, хотя релей настроен на 1920, а когда все эти маршруты
- lan - сеть (например, 192.168.2.0/24) - гейт 192.168.10.2 (айпишник HP 1920 в разделе ROUTING)
- Lan - сеть (например, 192.168.3.0/24) - гейт 192.168.10.2 (айпишник HP 1920 в разделе ROUTING)
находятся в таблице main на ДФЛ - апишники от ДФЛ дхцп приходят по вланам..

_________________
понял настроил забыл

У меня HP JG927A (HP 1920-48), вот он именно L3.
На скрине - таблица маршрутизации с коммутатора (его адрес 192.168.130.1).
Все остальные сети - это вланы. Статический маршрут в самом верху - путь до DFL (его адрес 130.5).
Порт, соединяющий DFL и коммутатор должен быть транковым (тегированным) для всех вланов коммутатора.
Все остальное разруливается на DFL маршрутами и правилами. Так как вланы, созданные на коммутаторе, для DFL будут просто соответствующими подсетями.
Если выход в интернет через второго и следующих провайдеров - делайте PBR.

Спасибо за ответ,
а могли бы сделать скрин настроек транкового порта HP JG927A в разделе роутинг? И скрин таблицы маршрутизации на ДФЛ?
У Вас роутинг на HP JG927A настроен на вланах или на интерфейсах?
Я по разному роутинг включал у себя на 1920s (JL385A) - в последний раз это был не совсем очевидный способ и возможно неправильный, но я смог роутить первый (дефолтовый) влан (это "родная" сеть ДФЛ) и транка у меня на 1920s к ДФЛ, в такой схеме не было. В итоге сейчас у меня роутинг на 1920s настроен на вланах.
И, вообще, мне казалось, что транковый порт на коммутаторе нужен только, если вланы созданы на ДФЛ или, если надо отправить вланы с коммутатора дальше на другой коммутатор, нет?

на моем скрине - ИП ДФЛ 192.168.99.1, а 99.2 - 1920s и таким образом на 1920s прилетала родная сеть ДФЛ, по портам, на которых влан не настроен.

P.S - вижу по Вашему скрину, что у Вас тоже первый влан роутится..

_________________
понял настроил забыл

Скрин таблицы маршрутизации в части касающейся темы я уже прикладывал.
На моем 1920 каждый созданный VLAN я привязывал к соответствующему IP интерфейсу, который создается также на коммутаторе. Иначе как потом выпускать созданные вланы в интернет.
Транковый порт необходим, что бы с него трафик от всех вланов шел на DFL, на котором уже благодаря маршрутам и правилам он пойдет к каждому конкретному провайдеру.

Маршруты для вланов на коммутаторе создаются автоматически.
Вам нужно руками добавить один статический маршрут на свитче, указав, что для всех подсетей следующий узел, это DFL.
У меня на скрине это т статический маршрут как раз есть.

вот всё из перечисленного и Вами и мной уже делал, кроме транкового порта (не помню). И всё работало. Работать перестало как только из main начал переносить маршруты в only.
Попробую с транковым портом поиграться. Отпишусь.
Вы не тот скрин приложили. Мне нужен скрин - роутинг (транкового порта). Посмотрите на мой скрин. У вас же на 47 порту включен роутинг и включен на интерфейс, правильно? У меня же включен на влан.

статический маршрут на коммутаторе до ДФЛ, кстати, тоже автоматически создается, если в глобал роутинге указать шлюзом ип ДФЛ..

_________________
понял настроил забыл

Альтернативная таблица маршрутизации нужна только для выпуска подсетей вланов через других провайдеров.
Роутинга для порта нет. Порт может быть trunk либо access (у некоторых вендоров есть еще одно состояние).
Порт входит во влан или не входит. IP интерфейс создается для всего влана, а не для отдельного порта.
Также каждый IP интерфейс созданный для влана должен пинговаться как обычный IP адрес.

да, состояние Гибрид, знаю, но это всё не то.
но ведь где-то у Вас роутинг включен на HP JG927A ? На вланах то включен? Роутинг для порта есть (посмотрите на мой скрин 1920s) - роутинг включается либо на вланах и выбираешь нужный влан, либо на интерфейсах (это и есть порт). Включая роутинг на интерфейсах выбираешь нужный порт. Вот мне и интересно где у Вас роутинг включен?
И еще вопрос по порту между Л3 и ДФЛ - вот сейчас у меня 24 порт не транковый и по нему ходит и дефолтовый влан (дефолтовая сеть ДФЛ) и остальные вланы и все они выходят в инет (один и тот же). Почему этот порт должен быть транковым?

_________________
понял настроил забыл

Routing - в переводе на русский, это маршрутизация. На HP JG927A есть отдельный раздел - IP v4 Routing, в нем указываются необходимые маршруты, дабы трафик знал куда ему идти. По умолчанию, на коммутаторе маршрутизация между всеми вланами включена.
Что в Вашем понимании роутинг, мне не понятно.
Транковый порт используется для связи коммутаторов, а также коммутатора и маршрутизатора. Потому у меня он и транковый, порт однолвременно принадлежит нескольким вланам.

спасибо конечно, но толку от нашей переписке никакого. может кто-нибудь ещё поучавствует?

_________________
понял настроил забыл

начну издалека - с помощью PBR можно управлять только локальными (подключенными напрямую к маршрутизатору интернетами)?

_________________
понял настроил забыл

ИТОГО - не надо лениться.
Если есть возможность собрать лабу, то собирайте и получите все ответы на свои же вопросы. Я раньше вланы собирал на ДФЛе, за неимением л3 коммутатора, и пускал их дальше по транку на л2.
Так как вланы, собранные на ДФЛе, имеют свой виртуальный интерфейс, то их сразу же можно было, по мере необходимости, запихивать в изолированную таблицу маршрутизации и дальше в этой таблице дружить с остальными маршрутами, живущими в этой же изолированной таблице, и никакой ПБР даже не нужен был трафик и так шел как надо.
Но, с появлением Л3 все влановые интерфейсы перешли на Л3 и теперь уже, помимо альтернативных таблиц, понадобился и ПБР.
Повторюсь - у меня была задача - поместить влан в изолированную таблицу вместе с АЙПИСЕКОМ на аллнетс, то есть получать чужой инет (филиальный) во влан (локальный) через айписек (филиальный).
В принципе, всё это и так работало в схеме ДФЛ + Л2, но решил добавить Л3 и перекинуть на него все вланы. И возникло некоторое недопонимание, что делать дальше, потому как не работало ) затык оказался в ПБРе.
И ещё раз - никакого транка между ДФЛ и Л3 у меня нет. Он и не нужен. Ибо это и есть маршрутизация.

На картинке два микротика - это "филиальные" маршрутизаторы с "внешними" адресами, ДФЛ - локалка и "два интернета", л2 с которого я все эти "инеты" раздаю ("инеты" приходят с другого микрота, который за пределами кадра)), а л3 это вланы на ДФЛ..

_________________
понял настроил забыл