Читайте внимательно!

Скорее всего в этом случае VLAN Вам вообще не нужны!

Ладно, забыли про виланы на DFL. Тогда возникает вопрос: за счет чего DFL будет разделять два WAN-подключения и определять кому какое, ведь на DES я могу задать только 1 дефолтый маршрут, и тот - на ip-адрес DFL?

Вот примерная схема:


Upd.: похоже на меня снизошло озарение: шлюзами для клиентов должны быть соответствующие вилан ip-адреса DFL, а не DES, а маршруты к виланам DES итак будет обрабатывать в первую очередь как directly connected networks! Ушел тестить...

схемка вполне верная.

озарение у вас неверное.

1. забудьте пока о разделении по wan1-wan2. сделайте сначала выход всех подсетей по предложенной мной схеме через wan1:
у вас не будет настроенных порт-базед портов на DFL. будет простой LAN - коммутатор в технологической сети (DFL-DES)

на DFL маршрут на все сети будет через шлюз - адрес DES в технологической сети

2. уже после того, как это заработает, реализуете PBR для разделения подсетей по Ванам (на основе адреса источника (клиента))

3. У вас же обмен между подсетями не ограничен или будет регулироваться ACL на DES, без привлечения DFL. Так?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Правдами и неправдами я настроил работу подсетей для выхода в инет через wan1!!!
Как это было:
0. У меня на DES-3828 задействован DHCP Relay с пересылкой из каждой подсети на сервер с WinServer2012, обмен между подсетями ограничен ACL: одна подсеть видит всех и ее все видят, другие подсети друг друга не видят.
1. Итак, я попробовал заменить шлюз на клиентах на ip-адрес DFL-860E и инет заработал, но перестала работать локальная сеть...
2. Вспоминаю про продвинутость виндового DHCP, лезу в настройки и нахожу, что там можно раздавать бесклассовые статические маршруты! Я создаю маршрут для каждой области вида 192.168.0.0 255.255.255.0 192.168.Х.1, где 192.168.Х.1 - адрес DES в соответствующем вилане.
3. Все заработало! Локалка пашет, инет работает!
P.S. DES-DFL у меня соединены через виланы по портам 1 патч-корд на вилан. Потом, попробую под тегированные виланы перевести это дело, тчобы подобную схему можно было реализовать на DFL-800, который не поддерживает port-based vlan.

Part 2. Теперь нужно настроить разделение Wan1/Wan2, но под рукой у меня 1 инет. Подойдет ли схема раздачи инета с одного ADSL-роутера на Wan1 и Wan2?

как и зачем делать разделение по wan1-wan2 если у вас один канал в инет?

это не понятно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Просто я имею возможность заниматься настройкой только в одном здании, где одно интернет-подключение. Боевое подключение будет уже с двумя отдельными подключениями от разных провайдеров, но сейчас это дело надо как-то протестировать на одновременную работу, вот и возникла идея с одного модемароутера раздать инет в 2 Wan'а на DFL.

можно. почему бы нет?

viewtopic.php?f=3&t=93443

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

ну поставте еще прослойку какую нибудь типа дира , занатьтесь - и получите результат .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

При наличии двух устройств, умеющих маршрутизировать, задавать еще и маршруты на компьютерах как-то странно. И что Вы привязались к этим VLAN -- непонятно. На DFL PBR-маршрутизация, что на основе IP-адреса, что на основе интерфейса источника, делается абсолютно одинаково. Сразу хочется сказать про нетрадиционную стоматологию, но сдержусь, а то еще забанят .

YuriAM
С одним модемом-роутером на два Wan-интерфейса не пошло, в логах на wan-интерфейсах ошибки ARP.

Vladimir22
Под рукой больше ничего нет, придется нести все добро на передовую.

alex63
Предложите, пожалуйста, другие варианты как развести доступы между подсетями и распределить между ними 2 инета. Буду рад услышать!
P.S. Без ущерба для производительности сети в 200ПК.

сам я такую конфигурацию не тестил, но, думаю, должно работать.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

А как Вы собираетесь "разводить" через VLANы на DFL? Кроме PBR, я другого способа не знаю.
И почему Вы считаете, что PBR приведет к потере производительности?

а петли то не получится ?! ведь DFL на двух интерфейсах увидит один и тт же MAC, отсюда и ошибки я полгогаю
поэтому и предлагал прослойку

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Теперь вопросы по PBR... Вот мои настройки по аналогии с приведенным примером настройки PBR от YuriAM:
1. Создал alt таблицу и добавил маршрут для wan2

2. Создал routing rule (destination interface пробовал и wan1, и wan2)

3. Создал разрешающее правило

Вот моя main таблица

Три раза переделывал описанное выше, не помогло

Сказать по правде я так и не понимаю вашу текущую схему:

То ли подсети связханы через DFL, то ли через DES. Судя по вашим скринам - первое.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.