Как вариант: чтобы домен смотрел во все VLAN-ы, для этого нужно установить на сервер карточку с полноценной поддержкой VLAN-ов, например: DGE-530T, создать VLAN-ы с интерфейсами и прокинуть до сервера нужные VLAN-ы на коммутаторе, и настроить соответствующе домен.

_________________
С уважением,
Бигаров Руслан.

От коллег возникло альтернативное предложение, не знаю только насколько но реализуемо. Нельзя ли создавать vlan на коммутаторах 2-го уровня, и настроить на DES-3828 чтобы ИП-адреса такого-то порта транслировались на такой-то порт на такой-то адрес (на сервер), а на сервере соответствующе настроить таблицу маршрутизации? Как Вы думаете?
И опишите по подробнее как реализовать вариант с DGE-530T?

_________________
DIR-620

Решил ещё раз более четко сформулировать стоящую передо мной задачу: Есть 3 сервера: контроллер домена (Active Directory) + доп.контроллер домена + FTP/Mail сервер, всё управляется Win2k3 SE R2 SP2. Они все цепляются к DGS-1016D - уровень ядра сети. К этому же коммутатору цепляются 2 DES-3828 (уровень распределения) -по коммутатору на корпус организации, к des-3828 цепляются отдельские коммутаторы L2 (уровень доступа), о том какие это будут коммутаторы решение окончательно не принято, но пока для экспериментов есть DGS-3024 (может оптимальнее другой коммутатор - предложите какой). К отдельским коммутаторам прицепляются клиентские ПК и м.б. неуправляемые коммутаторы (по комнатам). На данный момент все клиентские ПК находяться в двух подсетях (в зависимости от здания): 172.16.10.0/24 и 172.16.11.0/24, маршрутизация идет через контроллер домена, на нем две сетев. карты, одна в подсети 172.16.10.0/24 другая в 172.16.11.0/24. В итоге имеем слишком много ненужного броадкаста и возможность злоумышленников снифать всю сеть.
Хотелось бы выделить траффик каждого подразделения в отдельную подсеть, т.е. если кодовый номер подразделения - 25, то все его ПК находятся в подсети 172.16.25.0/24. Причем чтобы весь траффик отдела крутился не выходя за уровень доступа (коммутаторы L2), а на уровень распределения пускались пакеты предназначенные исключительно для серверов (сервера находятся в сети 172.16.11.0/24). Причем на уровне распределения включена привязка по IPM-Binding чтобы не могли подключиться злоумышленники (были прецеденты), на уровне доступа тоже должна быть привязка IP-Mac-Port.
Раньше все это было реализованно с использованием в качестве отдельских маршрутизаторов старых ПК с двумя сетевыми картами, но сейчас хотелось бы реализовать это с использованием коммутаторов.

Насколько возможно реализовать подобную схему с помощью управляемых коммутаторов D-Link? какое оборудование может понадобиться для её реализации? Может быть нужно использовать специализированные маршрутизаторы? Если да - то какие?
Заранее благодарен.

_________________
DIR-620

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390 или укажите в личном сообщении мне Ваш телефон.

Доброго дня.
Расскажите, как организовать такую тривиальную задачу:
есть 3828, есть на нем некоторое кол-во ipif, на которые, в свою очередь привязаны соотвествующие vlan. к каждому ipif привязывется сетка адресов. вопрос: как должны выглядеть ACL позволяющие определенным адресам из выделенной сетки адресов посылать/получать пакеты, другие же адреса из данной сетки должны быть заблокирваны.

Примерно так:
http://www.dlink.ru/ru/faq/62/204.html