Добрый день!
Ни как не получается схема с VLAN'ами, есть две железки DFL-210 и DES-2108... lannet 192.168.1.0/24, нужно создать виртуальную сеть к примеру с адресацией 10.1.1.0/24 что бы она выходила на wan (в инет) и больше ни чего не видела...
Подскажите плизз как сделать эту схему.....!!!

Создайте VLAN на DFL - он у вас будет интерфейсом, настройте для него аналогично предустановленному LAN-to-WAN правила. Между VLAN и LAN никакого доступа не делайте, и все будет отлично.

PS Как настроить свитч - в соответствующий раздел.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Тогда хотел бы уточнить всё ли я правильно в интерфейсах сделал VLAN'а.
Имя: VLAN01
Интерфейс: lan
VLAN ID: 2

IP-адрес: vlan_ip (10.1.1.1)
Сеть: vlannet (10.1.1.0/24)
Основной шлюз: (None)


И насчёт "Между VLAN и LAN никакого доступа не делайте", вы это по поводу правил или маршрутизации?

Правил

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Тогда хотел бы уточнить всё ли я правильно в интерфейсах сделал VLAN'а?
Имя: VLAN01
Интерфейс: lan
VLAN ID: 2

IP-адрес: vlan_ip (10.1.1.1)
Сеть: vlannet (10.1.1.0/24)
Основной шлюз: (None)

up

это зависит от того что же вы хотели сделать.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Есть одна сеть 192.168.1.0/24 (lannet)
Хочу настроить VLAN соответственно с любой другой адресацией, что бы VLAN не видели сеть lannet и при этом VLAN должен выходить на WAN (в инет)

Вот так я делал для MultiSSID WiFi. Вычлените себе то, что Вам будет нужно для сегмента ЛВС.

К существующим интерфейсам lan, wan, dmz добавляем новый интерфейс, например, VLAN3. Прописываем ему предварительно подготовленные vlan3_IP (это собственно адрес железки со стороны vlan3) и vlan3_net, которая отличается от lannet.

К примеру,
lan_IP = 192.168.1.254
lannet = 192.168.1.0/24
VLAN3_IP = 192.168.3.254
VLAN3_net = 192.168.3.0/24
ставим галки:
- Add route for interface network
- Add default route if default gateway is specified

Далее создаем два DHCP-сервера:

DHCP_lan раздает как обычно через интерфейс lan
IPPool_lan = 192.168.1.101-192.168.1.200 маска 255.255.255.0
шлюз - lan_IP
ну там еще DNS'ы от провайдера или днс-рэлэй

DHCP_VLAN3 раздает череp интерфейс VLAN3
IPPool_VLAN3 = 192.168.3.101-192.168.3.200 маска 255.255.255.0
шлюз - VLAN3_IP
ну там еще DNS'ы от провайдера или днс-рэлэй

Оформляем разрешающее правило на интерфейсы, например, для выхода в интернет:
NAT all-tcpudp VLAN3/VLAN3_net -> wan/all-nets

Теперь берем точку.
Настраиваем как обычно точку на подсеть lan с присвоением SSID.

Потом открывает вкладку MultiSSID
Открываем возможность VLAN'ов. соответственно, базовая SSID становится мастером.

Назначаем другой SSID и привязываем его в VLAN ID 3
Оформляем шифрование.

Вот вобщем-то и фсё.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Благодарю за приведённый свой пример, но в нём много что мне не нужно и отсутствует то что мне нужно....
Правило аналогичное lan_to_wan присутствует, заменил lan на vlan и lannet на vlannet.
Создал интерфейс VLAN с именем: vlan01, Интерфейс: lan, VLAN ID: 2, IP-адрес: vlan_ip (10.1.1.1), Сеть: vlannet (10.1.1.0/24), Основной шлюз: (None).
Также поставил две галки на: "Add route for interface network" и "Add default route if default gateway is specified".

Вопрос заключается в следующем всё ли я верно сделал? или может что то забыл?
И насчёт правил... месторасположения их могут на что либо повлиять?

еще как могут! это основа логики файера! правила выполняются сверху вниз.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

тогда вопрос в следующем... где должно стоять это правило?

Допустим дело в правиле... но при этом стоит на DFL-210 та схема которую указал выше и DES-2108 на котором указан тот же VLAN_ID и VLAN NAME (в первый порт DES воткнут DFL и указан как "tag", а во второй порт воткнут клиентский комп и указан как "Untag")... при этом я должен видеть шлюз указаным VLAN с клиентского компа, но при этом я его не вижу...

Зашёл в статус интерфейсов, на VLAN...
В "Driver information / hardware statistics" написано следующее: "O���$��Xş��'����_�Y��Iy/��2���2�~��W�5�(���_;r�+S�y��< "

1. Про акое именно правило идет речь?
2. Приведите список существующих правил.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Папка "lan_to_wan":
1 drop_smb-all Drop lan lannet wan all-nets smb-all
2 allow_ping-outbound NAT lan lannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT lan lannet wan all-nets ftp-passthrough
4 allow_standard NAT lan lannet wan all-nets all_tcpudp
5 allow_http_https NAT lan lannet wan all-nets http-all
6 allow_pop3 NAT lan lannet wan all-nets pop3
7 allow_standard NAT lan lannet wan all-nets all_tcpudpicmp
8 allow_ftp NAT lan lannet wan all-nets ftp-passthrough

Папка "pptp":
1 fromPPtPclients NAT pptp_server pptp_ippool any all-nets all_tcpudpicmp
2 toPPtPclients NAT lan lannet pptp_server pptp_ippool all_tcpudpicmp
3 Inet_PPTP NAT pptp_server pptp_ippool wan all-nets all_services
4 frompptp-suite Allow pptp_server pptp_ippool lan lannet pptp-suite
5 To_pptp-suite Allow lan lannet pptp_server pptp_ippool pptp-suite

Папка "vlan":
1 allow_standard NAT vlan01 vlannet wan all-nets all_tcpudpicmp
2 allow_ping-outbound NAT vlan01 vlannet wan all-nets ping-outbound
3 allow_ftp-passthrough NAT vlan01 vlannet wan all-nets ftp-passthrough
4 allow_http_https NAT vlan01 vlannet wan all-nets http-all
5 allow_pop3 NAT vlan01 vlannet wan all-nets pop3

Если разбираться по цепочке то проблема не в правилах.... а в vlan'ах, так как я не вижу шлюз vlan'а... а правила помогают выйти в инет...