Доброго времени суток!
Помогите настроить DFL-800.
Необходимо настроить VLAN, через который можно было управлять настройками DFL без разницы через какой интерфейс, желательно через LAN.

Пример для SSH в консоли:

1) Создаем VLAN my_vlan1 с VID=1 и IP 192.168.100.1 на интерфейсе LAN

2) Создаем управление SSH:


Настройки подкорректировать по вкусу

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Попробовал так сделать - не получается зайти по web интерфейсу, и не пингуется.
Схема подключения:
комп - DGS3612 -DES3526-DFL800

c DGS3612 пингуется, а с компа нет.
Если делаю без VLANа, то с компа могу и пинговать и заходить на web интерфейс

Ну если даже не пингуется после создания VLANа, то проблема в настройке DGS или компа. ПК должен быть в той же подсети, что и VLAN DFL. Плюс в том же VLANе.
Также не забывайте, что порт DGS должен быть тегированным в сторону DFL. Неплохо бы скриншоты увидеть DFL раздела Remote management ну и вывод команд на свитче show vlan ....

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Пинговаться он у вас и не будет, вы не создали соответствующее правило.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Можно ли настроить DFL так, чтобы можно было к нему подключаться из другой сети? DGS настроен правильно, если подключаем ноутбук, он пингуется (когда убираем с порта тегирование).
Из другой сетки без VLANа я же захожу.

Какое правило необходимо создать, для того чтобы пинговался?

Конечно, можно.
То, что пингуется без тега, может говорить о разрешающем правиле на конкретную сеть (но не VLAN). Правила для пингования приведите. Я просто понадеялся, что уж правила будут написаны, либо уже прописано разрешение для any и all-nets.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Правила:
1. Действие allow
srs If any
src net all-nets
dst If any
dst net all-nets
сервис all-services
2. Действие allow
srs if any
src net all-nets
dst if vlan2001
dst net vlan2001_net
сервис all-services
3. Действие allow
srs if vlan2001
src net all-nets
dst if core
dst net vlan2001_net
сервис all-ismp

У Вас первое правило разрешает всем ходить куда угодно откуда угодно. Правило 2 и 3 лишние. Но пинг блокируется не правилами, значит, проблема с тегами. А как Вы настраиваете DFL? Через веб или в консоли? Когда настроили VLAN, не забыли потом активировать перед прописывание порта на DGS тегированным? Именно ДО, а не после? Сниффером посмотреть можете тот порт, что соединяет DGS и DFL?
А комп в той же подсети, что и VLAN на DFL? А в том же VID, что и созданный VLAN на DFL?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Оставил только первое правило. Настраиваю через web.
Комп и DFL в разных VLANах. Добавил в DFL маршрут на сеть, в которой находится комп.
Смог зайти через VLAN на DFL.
Теперь возник другой вопрос:
Пытаюсь настроить 2 VLANа на LAN интерфейсе. Настройки VLANов один в один за исключением VID, IP адреса, сетки и шлюза. Первый пингуется, а второй нет. Если перемещаю маршрут второго выше маршрута первого, то тогда второй пингуется, а первый нет. Как можно сделать так, чтобы они оба одновременно были доступны? В логах вот что на пинги пишет:
2009-08-20 14:05:54 Предостережение RULE 6000051 Default_Access_Rule ICMP vlan2000 XXX.XXX.XXX.XXX 172.16.0.3 ruleset_drop_packet drop

А зачем в разных VLANах? Вот здесь и кроется ошибка. Комп должен быть в том же VLAN плюс этот же VLAN на порту DGS тегированным, а тут получается, что соединяетесь как раньше, но DFL банально роутит из LAN в VLAN. Ведь изначально условие было соединяться непосредственно по VLAN. Нафига тогда VLAN создавать на DFL, если кроме DFL никто про него не знает и не используется?
Собственно, это ответ и на второй вопрос - не соединяется, потому что нет маршрута на ту сеть, откуда приходит запрос в vlan2000.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

У нас есть провайдеры, которые к нам приходят по разным VLANам. Не хочется просто создавать отдельный VLAN для управления DFL и пробрасывать его до компа. В предыдущем посте я написал, что возникла другая проблема, и на нее хотелось бы услышать ответ...

А я ответил на этот вопрос, что означает эта ошибка:


Маршрут необходим до vlan2000 и подсети XXX.XXX.XXX.XXX.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Маршруты есть, я их местами переставляю, какой маршрут от VLANa к сети ххх.ххх.ххх.ххх вверху, тот VLAN и пингуется и доступен, а второй VLAN нет.

Ну я вижу, что у Вас проблема в данный момент совершенно понятная - маршрутизация. Чтобы её разрулить, надо указать, где какие подсети (можете даже цифры изменить, но чтоб потом сами привели в нужный вид) и в каком VLAN находятся, и объяснить, что требуется получить (резервирование Интернета, балансировку нагрузки и т.д.). Что касается того, почему зависимость от положения в списке, то тоже понятно, ибо метрики, наверное, одинаковые, а маршруты оба до all-nets. Вот DFL и выбирает первый по списку, ибо другого критерия приоритетности он не видит.
Если же необходимо, чтобы яндекс был доступен через один VLAN, а dlink.ru через другой, то это тоже настраивается правилами маршрутизации. В общем, давайте данные и будет конкретное решение.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)