Тема заезженная, но прошу не пинать.

Что имеем:
Debian GNU Linux + DGE-550T
IP=10.10.10.1/24

DGS-3324SR
Boot PROM Version=Build 2.01-B01
Firmware Version=Build 4.10-B15
Hardware Version=3A1

DES-2110
Firmware Version=3.00.00
Protocol Version=2.001.002
IP=10.10.10.2/24

Компьютер и 2110 (9-м портом) подключены к 3324. 3324 с настройками "по умлочанию".

Хочу настроить так чтобы с портов 1..8 комутатора 2110 никто не мог управлять этим комутатором, причем надо использовать 802.1Q VLAN, и пользователей портов 1..8 не загонять ни в какой VLAN.

Что надо сделать: создать VLAN 123 (например) и сделать его Management VLAN.

Настраиваем 2110:
После этой настройки, пакеты с портов 1..8 бегают на машину и лунуксом без проблем, но пинговаться 2110 перестал, как и управление им пропало. Все нормально, пора настраивать линукс на работу с виланом 123.

Настраиваем машину с линуксом:
После этого пинг до 2110 не доходит и управление им получить все-равно не могу. TcpDump показывает что пакеты на интерфейс eth0.123 поступают от самой машины, а вот ответов нет.


Все ли правильно я настраивал, или надо как-то по другому?

Надо настроить этот же VLAN и на DGS-3324SR добавить порт, к которому подключён DES-2108 в VLAN c VID=123 как tagged. Управляющую рабочую станцию, которая подключена к DGS-3324SR тоже нужно добавить в VLAN с VID=123, но уже как untagged. Если же она должна находится в обоих VLAN, то нужно добавить порт как tagged в оба VLAN и создать на карточке два логических интерфейса в этих VLAN.

Demin Ivan
Вы мне предлагаете заставить 3324 ставить и снимать метки на портах, а зачем? У него "по умолчанию" GVRP=Disabled. На сколько я понимаю, при отключенном GVRP у проходящих сквозь коммутатор пакетов метки VLAN модифицироваться не будут, это значит, что если пакет пришел с меткой VID 123, то он и выйдет с ней дальше. Это так или я ошибаюсь?

Если коммутатор, поддерживающий 802.1q не имеет тегированных портов в необходимых VLAN значит тегированные кадры пропускать он не будет.