DES-1250G, DGS-1224T/C1.

Пакет приходит на коммутатор. Что с ним происходит?
а) Тэга нет => пакету присваеватся PVID ingress-порта
б) Тэг есть, совпадает с PVID => OK
в) Тэг есть, не совпадает с PVID => ??????????

Десять 1250G и "сервер" соединены между собой через 1224T. На каждом 1250 висит 20 человек, по одному на порте.

Необходимо: люди друг друга вообще не видят, но каждый видит "сервер".

Самое простое решение (?) : на кажом 1250 создаётся 20 вланов (101-120), по влану на порт. Каждому порту, кроме магистрального присваивается соответсвтующий PVID, для каждого из новых вланов делается egress untagged на магистральный порт, not member на остальные порты. Тоже самое на 1224, только 10 вланов, магистральный порт - на котором висит "сервер".

Но, поскольку у нас не port-based, а dot1q, очень желательно: каждому человеку по влану от него до "сервера". "Сервер" принимает и отсылает тэгированные пакеты. То есть на кажом 1250 создаётся 20 вланов, по влану на порт. Номера вланов - из единого для всей сети реестра. Каждому порту, кроме магистрального присваивается соответсвтующий PVID, для каждого из новых вланов делается egress tagged на магистральный порт, not member на остальные порты. При этом от 1224 требуется хотя бы просто коммутировать пакеты, не обращая внимания на тэги и не трогая их. Сможет ли он это сделать? Если нет, то кто сможет?

Всё правильно только не до конца. На DGS-1224T тоже нужно создать VLAN-ы и добавить магистральный и серверный порты как tagged во все необходимые VLAN. DES-1224T rev.C1 поддерживает с последней прошивкой 3.00.17 802.1q VLAN.

20 человек * 10 свичей = 200 человек. 1224T держит вроде только 64 влана. Да и человек потом будет 300-400. Неужели придётся искать на замену мыльницу, которая не трогает фреймы? Пропустит ли вланы DGS-1024D?

Теги то он пропустит, только вот в корне такой сети с приличной нагрузкой вряд ли выдержит

А что по поводу входящих пакетов с тэгами, у которых VID не совпадает с PVID принимающего порта?

PVID нужен только для нетегированного порта, на тегированном он просто игнорируется

Млин, вы меня простите, но неразбериха полная.

Что значит тэгированный-нетэгированный порт? У нас на D-Link'ах port-based vlan'ы по выражению компании "migrated to .1q". Фактически это те же портовые вланы с возможностью тэгирования/растегирования. Я неделю искал доки по длинковым вланам, откопал и прочитал всё, что упоминалось на этом форуме и многое из гугла. Даже существующий урезанный функционал нигде прилично не документирован.

То есть поведение девайсов можно выяснить только тестированием. И если вы в этом не поможете, то пропадают все надежды на функционирующий production.

Как может игнорироваться PVID, если только он определяет влан входящих голых пакетов.

Ещё раз - если порт тегирован в одном или нескольких VLAN, то PVID на порту не рассматривается (я подчёркиваю - порт только tagged)

Вы хотите сказать, что если порт только tagged и not member, то native пакеты на нём не принимаются? Если так, то всё понятно, спасибо.

А если порт untagged в нескольких вланах? Я так понимаю, что PVID решает, к какому влану относится входящий голый пакет. А если PVID не совпадает ни с каким вланом, который на порту tagged или untagged? А если на порт приходит тегированный пакет, влан которого не совпадает ни с PVID порта, ни с его tagged/untagged вланами? Вот такие тонкие вопросы очень важны и нигде про них ни слова.

1) Да, абсолютно правильно - по стандарту такого понятия как Native пакеты не существует.
2) Если порт находится в нескольких VLAN как untagged - то это фирменное расширение стандарта 802.1q - Assymetric VLAN - здесь логика работы несколько иная.
3) Если порт находится хотя бы в одном VLAN-е как untagged, (по стандарту 802.1q) то у него PVID=VID этого VLAN-а иначе связности по этому VLAN-у не будет.
4) Если на порт приходит пакет маркированный несуществующим на порту VLAN-ом то он естественно отбрасывается