Приобрели. Изначально думалось использовать только как внешний шлюз в Инет с довольно сложным NATом.
Но "пощюпав", захотелось большего...

Сложно с документацией, на русском по этой железяке только общее и начальное. Боле-менее есть на русском для DFL-1100. На сколько он совпадает "в общем"?

Вопросы по DFL-1600.

1. Может ли делать мосты между интерфейсами? Надо полностью прозрачно соединить 2 интерфейса, чтобы было без разницы куда подключать хост (192.168.1.0/24).
На первом интерфейсе 192.168.0.0/16 через Cisco + 192.168.1.0/24 непосредственно. На втором - только 192.168.1.0/24 непосредственно.
Требуется безболезненно перенести (подключить) большинство (не все) хосты 192.168.1.0/24 с первого интерфейса на второй.
И можно ли в этом случае контролировать трафик между интерфейсами (правила).
И как в таком случае делать маршрутизацию? Назначение - 192.168.1.0/24, на какой интерфейс отправлять?
При этом, управление разрешить только со 2го интерфейса.

2. Возможно ли обращение к шлюзу, находящимуся за DFL-1600?
Подробнее.
- Хост, 192.168.1.1/24, default маршрут в его настройках - 192.168.1.2, подключен к IF1 (первый интерфейс). Этот хост является роутером для сети 192.168.0.0/24
- Шлюз 192.168.1.2/24 реально подключен к интерфейсу IF2.
Возможно ли в таком случае обеспечить трафик?
И будет-ли проходить трафик до этого шлюза, если реально в файреволе есть другой default маршрут?
Т.е. надо все, что ролится на шлюз (и только это!), на него и заруливать. Не учитывая адреса отправления и назначения.

Буду благодарен за любые ссылки. В том числе и на маны (желательно на русском).

Мануалов на русском нет, от 1100 не подойдут (т.к. это устройства разных линеек).

По вашим вопросам

1. Есть transparent mode, его можно задействовать для прозрачного объединения интерфейсов. При этом, правила будут нужны естественно, но не факт что будет ходить широковещание (для сетевого окружения настройте WINS)
То, что у вас на одном из интерфейсов дополнительная сеть, решается дополнительной сетью.

2. На вышестоящие шлюзы естественно можно отправлять трафик. Можно статически (для определенных хостов/сетей), можно динамически (для определенных клиентов/протоколов/по времени) - при помощи PBR.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

у if1, if2 какие адреса ?

_________________
если человек - идиот, то это надолго

С первым вопросом (насчет моста) разобрался.

Может кому пригодится...

1. Два интерфейса, которые надо объединить, свойства:
"Автоматически добавить маршрут для этого интерфейса, используя данную сеть." - убрать.
2. Делаем группу интерфейсов, в нее 2 нужных интерфейса.
3. Делаем в таблице main "маршрут коммутатора". Интерфейс - новая группа. Сеть - общая для нужных хостов (в моем случае 192.168.1.0/24). На закладке "Proxy ARP" выбираем эти же 2 интерфейса.

Управление разрешил с интерфейса, с которого мне надо. Получилось. С другого не пускает.
Все работает. Правда, хосты "на той стороне" видны не сразу, требуется некоторое время.
Правила на трафик между разными сторонами "моста" работают.

По поводу второго вопроса (использование шлюза "за DFL") сложнее...
Похоже, DFL выкидывает из пакета "шлюз назначения" и подставляет свой (в соответствии со своей таблицей маршрутизации). Т.е. настройки шлюза на хосте роли не играют. Главное чтобы указанный IP существовал и находился "на той стороне" (проверял методом "тыка").
В общем, разруливать мне придется созданием своей таблицы и правил маршрутизации.

как установить в пакете "шлюз назначения" ?

_________________
если человек - идиот, то это надолго

В пределах маски DFL не должен по идее ничего трогать.

Однако, вы из сети 0.0 на шлюз в 0.0 или 1.0 пытаетесь получить доступ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Не знаю.

Но реально работает:

If1, If2 - мост.
К If1 подключен 192.168.1.1 (роутер, за ним Инет).
К If1 подключен 192.168.1.3 (обычный хост).
К If2 подключен 192.168.1.2. На нем адрес шлюза - 192.168.1.3.
С 192.168.1.2 Инет есть.

В DFL дефолтный маршрут - If1/192.168.1.1. Без этого маршрута с 1.2 шлюз 1.1 виден, дальше - никак.

PS. Пробую пока все на тестовой площадке.
PPS.
"у if1, if2 какие адреса ?"
192.168.1.151/24 и 192.168.1.152/24

Правило у вас надеюсь allow if1/all-nets if2/all-nets ?

Пинг с 1.2 на 1.3 есть?
Пинг с 1.2 (со шлюзом 1.3) во внешнюю сеть - работает? Что в Status > Connections ?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

путаница какая-то, почему шлюзом стал 192.168.1.3 ?свич-рут ?

_________________
если человек - идиот, то это надолго

Правило сейчас одно:
Allow/any/all-nets/any/all-nets/all_services

Пинг есть. В статусе видно начальные и конечные точки.

Шлюз "плохой" просто попробовал. Чтобы убедиться, что игнорируется.

192.168.1.1 - аппаратный роутер с NATом. Да и какая разница?

Ну так ставьте у 1.2 шлюзом 1.1 и запускайте пинг вовне
В Status > Routes вы должны увидеть if2:192.168.1.2 if1:назначение
Все так?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

зачем ?

_________________
если человек - идиот, то это надолго

Так то так, но до тех пор, пока в DFL есть такой-же маршрут.
Если в DFL такого маршрута нет, то совсем "не так".

Т.е. настройка шлюза на 1,2 просто игнорируется. Главное, чтобы трафик попал в DFL, а там он сам разруливает. И на 1,2 можно настраивать любой шлюз. Хоть какой-то хост (произвольный!) "за мостом", хоть ближайший интерфейс DFL. Главное чтобы по ARP был виден.

Собственно, что хотел, выяснил. Всем спасибо.

_________________
если человек - идиот, то это надолго