Добрый день.
Купил, вот, субж. Купил для того, чтобы решить такую задачу: есть 2 сети в здании, надо, чтоб они друг друга не видели, но видели шлюз, который я хотел в него воткнуть. Оказалось, что этих свитчей бывает 3 разных (Revision A or B, Revision C, Revision D). Так вот начиная с версии прошивки v3.00.17 д-линк учудил такую вещь: Migrate Port-based VLAN to 802.1Q Tag-VLAN. Так вот, если я правильно понял, попадись мне не Revision D, а любой другой, там был бы Port-based VLAN и все в шоколаде, а так, у меня прошивка 4.00.12, с 802.1Q Tag-VLAN. И ограничение, что Untag Port can only in one VLAN.
Хочется знать мнение профессионалов, могу ли я на этой железке решить свою задачу?
Спасибо.

Нет, не сможете, если сетевая карта шлюза не поддерживает 802.1q. Всё в соответствии со стандартом.

А не подскажете тогда, на какую железку мне его поменять? Портов мне хватило бы и 16, но обязательно 10/100/1000. Умеет ли какая-нибудь железка в этой ценовой категории добавлять один порт как Untagged в несколько VLAN-ов?

Вам подойдёт DES-3526.

А если сетевая карта шлюза поддерживает 802.1q, то что? Как тогда решать эту задачку?

В этом случае всё реализуется по стандарту 802.1q.

Поднимаю тему.
Также имеется DGS-1224T Revision D.
Локальная сеть. В неё включен широкоформатный струйный принтер (на борту сетевой интерфейс, но 802.1q им естественно не поддерживается). Необходимо сделать так, чтобы к принтеру мог обращаться только один компьютер дизайнера. По логике всё просто: убрать порт принтера из группы default и создать ещё один VLAN на два порта - дизайнера и принтера. Но поскольку Port-based VLAN в данной ревизии искоренили, вариант отпадает.
Ситуация осложняется тем, что этот свитч - лишь часть сети, в которой присутствует, кроме компьютеров, множество других сетевых устройств, которые о 802.1q понятия не имеют. В частности, это web-камеры Dlink DSC-950, сетевое хранилище Dlink DNS-300 и другие. То есть я не могу в этом сегменте сети, на этом свитче, загнать в Tagged-VLAN группу (скажем, VLAN #1) все порты кроме принтера, а порты дизайнера и принтера оставить в default Untagged.

Так скажите мне, как разрешить эту в общем-то простую ситуацию? И самое интересное - возможно ли это? C благодарностью жду ответа.

А почему вариант с добавление двух портов в отдельный VLAN для них созданный? Просто добавляете порты как untagged в новый VLAN и всё.

Предположим, я включу на всех компьютерах в сети 802.1q и назначу им VLAN #1 (правда, для этого на трети машин придётся заменить карточки, но это не совсем к теме). Вопрос: как все эти компьютеры смогут общаться с

? Добавлю в этот список пару принт-серверов Dlink DP-300U, точку доступа Dlink DWL-2100AP и пару сетевых лазерных принтеров разных производителей.
Напрашивается ответ, что никак. Вот если бы все сетевые устройства, кроме широкоформатного принтера, поддерживали 802.1q - тогда конечно. Иначе - (

И вся головная боль из-за того, что untagged порт может входить только в один VLAN.

В этом случае надо было выбирать другую модель. DES-35XX например. Но подчеркну что для тех хостов которые находятся только в одном VLAN-е поддержка на карточках 802.1q не нужна.

Кажется, я разобрался в ситуации, её можно разрешить и на 1224T. Может, я недостаточно понятно описал? Почитал ещё про 802.1q, но быстрее помогли эксперименты на практике, с картой DGE-530T.

Итак, была задача: исключить один порт свитча, к которому подключен широкоформатный принтер, из общего доступа. Обеспечить доступ к этому порту только с порта, к которому подключен компьютера дизайнера.

Нужно было сделать следующее:
1. В свитче, в группе default VLAN, поставить порт принтера как Not member.
2. В свитче создать группу VLAN с VID = 2 (например). В этой группе включить порт принтера как Untag, порт дизайнера как Tag.
3. На компьютере дизайнера устанавливаем (например) карту DGE-530T, устанавливаем драйверы и обязательно утилиту D-Link Network Control Program.
4. В Панели управления компьютера дизайнера появляется значок D-Link Network Control. Запускаем его, заходим на вкладку Virtual LAN, внизу, щёлкаем наш адаптер. Активируется кнопка Add VLAN..., которую и нажимаем. В поле Virtual LAN ID ставим номер нашего VLAN - здесь 2.Закрываем окно утилиты и идём в Сетевые подключения.
5. В Сетевых подключениях появляется ещё одно подключение, в названии которого будет слово VLAN. Каждому подключению нужно назначить свой ip-адрес. Сама карта (которая выступает как default VLAN) может получить адрес по DHCP, а для второго подключения (VLAN) в данном случае адрес прописывается руками.
6. На всякий случай перегрузить компьютер. Собственно, всё.

Настраивал так же с Intel Pro 1000/MT, там ещё интереснее. На выходе появляются три подключения: собственно карта (которой ip не назначается), default (untag) и VLAN2. Причём default, в отличие от DGE-530T, нужно добавлять руками.

Если кто будет экспериментировать с настройкой VLAN - два совета:
- проверьте, отключен ли брандмауэр на всех тестовых машинах. Меньше придётся чесать голову (это по себе).
- на компьютере, где настраиваются два подключения (как здесь, default и VLAN2), давайте им на время теста адреса разных подсетей. Иначе пинг будет уходить только на тот адаптер, что в привязках стоит первым.

По поводу последнего вопрос: а должны ли в этом случае адреса быть из разных подсетей? Если их назначить из одной, то, к примеру, Служба доступа к файлам и принтерам работает нормально, но проблемы с тем же ping, да браузер не мог найти прокси, хотя на сам прокси можно зайти в его сетевую папку.

Всё правильно естественно сделали как мы обычно в таких случаях и советуем. Последняя проблема это проблема ОС. У Windows есть проблемы если на нескольких логических интерфейсах IP-адреса из одной подсети.