Проблема в следующем. Существует сеть с Active Directory, есть несколько серверов и отдел администрирования этой сети(ИВЦ), а также порядка 300 других машин(в разных подразделениях организации), все зарегистрированы в домене. Задача состоит в том чтобы машины в подразделениях видели только: машины из своего же подразделения, сервера(Proxy, FTP, AD PDC) и машины администраторов ИВЦ. Желательно все эти машины привязать по IP-MAC (в целях безопасности).
Кроме того, есть необоходимость чтобы некоторые машины из одного подразделения видели некоторые машины из другого.
В сети на магистрали стоят DES3828 FW 2.00.B30 HW 1A1 (2 штуки, часть подразделений на одном коммутаторе, часть на другом, между собой они соединены гигабитным концентратором (не D-Link)). От DEs3828 сеть идет на хабы в подразделения (различных производителей).
Проблема обостряется тем, что администрация организации не хочет приглашать сторонних специалистов для наладки сети , т.е. нужно сделать все своими силами. А как не понятно. Былая идея на счет ассиметричных виланов, но коммутаторы 3-его уровня из не поддерживают. Т.О. нужно использовать ACL, а как??? Ну хотя бы один примерчик (желательно не один) для решения данной задачи.

З.Ы. Сам я сетями начал заниматься только с понедельника, до этого с ними дел имел мало (терминологией сетевой владею слабовато).
З.З.Ы. Пользоваться поиском в Интернете/на форуме умею, но подходящего объяснения решения существующей проблемы за 3 дня активного поиска не нашел.

Помогите пожалуйста!!!

Во-первых чтобы исключить возможные проблемы я бы посоветовал вам использовать прошивку, которую я вам выслал. Примеры ACL есть здесь, я думаю с точностью до модели разьерётесь:

http://www.dlink.ru/technical/faq_hub_switch_70.php
http://www.dlink.ru/technical/faq_hub_switch_75.php
http://www.dlink.ru/technical/faq_hub_switch_45.php
http://www.dlink.ru/technical/faq_hub_switch_47.php
http://www.dlink.ru/technical/faq_hub_switch_74.php
http://www.dlink.ru/technical/faq_hub_switch_90.php

Иван большое спасибо, кое что начинает проясняться.
Но, возникают новые вопросы.
всего у нас в сети будет порядка 300 компьютеров. Если действовать по принципам которые указаны здесь то придеться создавать очень много правил. Может быть, можно как-то объединить компьютеры подразделений в VLAN-ы и настраивать доступ уже для этих VLAN-ов? Но как это сделать? Кроме того, хотелось бы привязку сделать не по IP-адресам, а по MAC(IP-MAC), потому что так сложнее будет подменить комп злоумышленнику в сети. И ещё бы к портам коммуникатора привязать VLAN-ы, т.е. чтобы в результате можно было бы объединить во вланы машины с определенными IP-MAC адресами, сидящими на определенных портах коммуникатора, и уже для этих VLAN-ов разграничить доступы, так чтобы VLAN-ы видели только сервера и админов, но может понадобиться сделать так чтобы комп из одного VLAN-а увидел компы из другого VLAN-а. Это все необходимо для обеспечения безопасности, так как уже были случаи промышленного шпионажа. Вообще можно ли такое реализовать, и если можно, то как?

Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390. Если удобно то можно обратиться в близжайший к Вам офис. Все координаты на сайте.

Иван спасибо, но по ряду объективных/субъективных причин связаться по телефону не получиться. По этому я попробую разбить стоящую задачу на части, и Вы если не трудно могли бы прояснить кое-какие детали.
Конкретно сейчас интересует как реализовать с использованием DES-3828 решение задачи из примера 1 в описании асимметричных VLAN. В мануале написано, что, эта задача решается на коммутаторах 3-его уровня с помощью ACL. Не могли бы Вы привести пример решения задачи (Пример 1 асимметричные VLAN).

Вот здесь всё описано http://www.dlink.ru/technical/faq_hub_switch_74.php

В этом FaQ написано как разграничить доступ между подсетями организованными на разных коммутаторах, а как это сделать между VLAN на одном коммутаторе DES-3828 не понятно. Приведите пример пожалуйста.

В чем сложность? Также настраивайте ACL на основе IP-адресов.

Мне не понятно, смогут ли при задании этих правил #1vlan2 обращаться к #2vlan2, и сможет ли #2vlan2 обращаться к #1vlan2, ведь эти виланы ограничены 1-16 портами коммутатора #2, а коммутатор #1 прицеплен на порт 24 коммутатора #2 ?

Смогут. Тегированный трафик будет передаваться через 24ые порты.

Я что-то не могу понять. Чтобы тегированный трафик передавался на порты не входящие в VLAN, для этого надо у второго коммутатора обязательно указать

и тогда он будет трафик передавать через не входящие в виланы порты коммутатору #1. Или указывать коммутатор #1 в качестве iproute (это шлюз что ли?) не обязательно.
Кроме того, мне надо создавать VLAN не на основе портов коммутатора, а на основе MAC-адресов рабочих станций, и чтобы они все могли обращаться к серверам, и не могли обращаться к членам других VLAN. Можно ли это сделать не перенастраивая клиентские машины. В клиентских машинах в качестве маршрутизатора указан контролер домена (Win2k3 SE R2). Или все же лучше указать на клиентских машинах в качестве маршрутизаторов ipif-ы VLAN(или коммутатора?), а у коммутаторов в качестве gateway указать ip контроллера домена, или в качестве DNSR Server у коммутаторов указать ip контроллера домена, как будет лучше?

Команда задает шлюз по-умолчанию, в данным случае второй маршрутизатор.
Пользователи в какие коммутаторы подключены?
Шлюзом у них должен быть адрес интерфейса коммутатора из их подсети.

Конечные пользователи (кроме администраторов) подключены к неуправляемым коммутаторам различных производителей, эти коммутаторы подключены к двум DES-3828, а уже DES-3828 подключены к гигабитному неуправляемому коммутаторы (не D-Link), к которому подключены сервера.

Т.е. для пользователей #2vlan2 в качестве шлюза надо указать 192.168.0.101 или 192.168.2.1?
И как мне всё таки сделать виланы не на основе портов коммутатора, или IP адресов конечных пользователей, а на основе MAC-адресов пользователей, но с возможностью разграничения доступа(возможно ли это?)?

Для vlan2 - 192.168.2.1.

Вы не могли бы объяснить принцип взаимодействия коммутатора и рабочих станций. Т.е., например в vlan#1 находятся сервера, в vlan#2,vlan#3,...,vlan#n находятся рабочие станции (по подразделениям). Допусти все сделано по принципу описаному здесь, и машина пользователя(vlan#2) опрашивает все машины которые есть в её окружении, чтобы в "сетевом окружении" их можно было увидеть. Все ОК. Траффик на другие подсети не идет. Если эта машина обращается к серверу расположенному в другой подсети (vlan#1), она посылает запрос, коммутатор обрабатывает его и по маске определяет что запрос идет на другую vlan. Он же его просто отбросит и всё. Или он его передаст серверу нормально? Если передаст нормально, то почему, ведь тогда он может передать траффик из vlan#2 в vlan#3, а это не нужно. Не понятен сам принцип того как коммутатор работает с vlan-ами, когда нужно объявлять для портов ярлыки(tag) а когда нет. Читал "Учебное пособие: Коммутаторы локальных сетей D-Link", но там этот вопрос рассматривается не совсем понятно.