Доброе время суток.
Хотелось бы получить консультацию по следующим вопросам.

Имеется железо:
DGS-3612 - 1 шт
DES-1252 - 4 шт

Имеется 4 подразделения со своими подсетями, серверами и своими коммутаторами.

Подразделение 1 (VLAN10)
Подсеть 192.168.1.0/24
Коммутатор DES-1252: 192.168.1.2
Интернет шлюз: 192.168.1.3
AD, DNS, DHCP: 192.168.1.5

Подразделение 2 (VLAN20)
Подсеть: 192.168.2.0/24
Коммутатор DES-1252: 192.168.2.2
Интернет шлюз: 192.168.2.3
AD, DNS, DHCP: 192.168.2.5

Подразделение 3 (VLAN30)
Подсеть: 192.168.3.0/24
Коммутатор DES-1252: 192.168.3.2
Интернет шлюз: 192.168.3.3
AD, DNS, DHCP: 192.168.3.5

Подразделение 4 - Админы, которые осуществляют поддержку подразделениям 1-3 (VLAN40)
Подсеть: 192.168.4.0/24
Коммутатор DES-1252: 192.168.4.2

Теперь суть задачи. Каким образом можно настроить все железо для того чтобы:

1. Доступ между подразделениями 1-3 должен быть закрыт.

но при этом

2. Каждое из 4 подразделений могло пользоваться и имело доступ к любым из трех интернет шлюзов (в случае аварии, пользоваться другим шлюзом для выходв в интернет).

3. Подразделение 4 должно иметь полный доступ в любое из подразделений 1 -3.

На рисунке представлена подробная схема возможной реализации данных задач.



На картинке вроде все понятно, а вот как все это построить на выше указанном железе, пока остаеться загадкой. Помогите настроить железо для реализации вышеописанных задач. По возможности хотелось бы получить детальное описание , т.е. где, чего и как нужно настраивать.

пункт 2 неясен.
в ядре предполагаете поставить DGS, а если он сгорит?
Или каналы к подразделениям как будут резервироваться?
тупо менять шлюзы на компах - это шедевр немецкого кинематографа

В качестве ядра выступает DGS-3612
Если сгорит то будет ж......
Насчет резервирования. У каждого подразделения свой интернет канал, который нужен им 24 часа в сутки. Поэтому при падении этого канала нужно както использовать канал из другого подразделения (до восстановления своего).

Если я не правильно излагаю, поправьте меня или объясните как можно это лучше организовать.

Резервирование каналов связи на предложенном железе не сделаешь, т.к. на 1252 нет каких-либо протоклов резервирования + к этому каналы резирвируются дополнительными каналами (вторичными). Если у вас их нет - про резервирование каналов забудьте вообще.

По остальным пунктам:
Management VLAN (1252) + Traffic Segmentation (DGS) решат всё остальное.

Если нужно всё-таки организовать резервирорвание:

Закупите 3 шт 3028 (или 3526), замените ими 1252, проведите дополнительные резервные каналы, разверните STP протокол (или его производные).
Про развёртывание STP и его настройку на форуме есть куча информации, пользуйтесь поиском. Так же обратитесь в раздел FAQ.
На замену DGS-ки в резерв купите DES-3828, он не так дорог, но с поставленными задачами справится полностью

Вообще-то в DES-12XX есть STP.

Я в данном вопросе новичек и опыта совсем нет. Не могли бы вы подробнее описать что нужно сделать и настроить на 1252 и что сделать(настроить) на DGS.

Если я правильно понимаю, то для начала нужно сделать следующее:
1. На DGS создаем 4 VLAN - VLAN1, VLAN2, VLAN3, VLAN4 + к ним 4 интерфейса с разными подсетями.
2. На каждом 1252 создаются VLAN с такими же именами и такимиже подсетями, т.е. на первом 1252 - VLAN1, на втором 1252 - VLAN2 и т.д. Затем все 1252 подключить к DGS через таг порт.
3. На всех клиентах в качестве шлюза устанавливаем ip 1252.

А вот что делать дальше? Как сделать доступ VLAN1-VLAN3 к трем шлюзам, и как сделать полный доступ VLAN4 квсем остальным VLANам не совсем понятно.



К сожалению денег на приобретение нового оборудования и на резервный канал пока нет. Поэтому приходиться решать выше описанные задачи на том оборудовании что имееться.

1. Да, однако Management VLAN (допустим он будет VLAN 4) надо будет отправлять всем подсетям, доспустим тегерированным
2. ага
3. Нет, шлюзом ставим интерфейсы на DGS.
На 1252 принимаем на аплинке оба влана, управляющий и клиентский,
клиентский untag на клиентские порты, на управляющий вешаем интерфейс 1252. В итоге получится, что клиентский влан будет замыкаться на интерфейсе DGS-ки, а интерфейсы свичей будут висеть в отдельном влане, недоступном клиентам.

Шлюзы - это интерфейсы DGS-ки, они у вас уже будут созданы.
По умолчанию маршрутизация никак ограничиваться не будет, т.е. все будут видеть всех. Чтобы это ограничить - есть фича под названием ACL.

В описании об этом ни слова.

Ничего не получается.
Пошагово опишу проделанную работу:

1. Создал VLANы на DGSке
DGS-3612:5#show vlan
Command: show vlan

VID : 1 VLAN Name : default
VLAN Type : Static Advertisement : Enabled
Member Ports : 1-3
Static Ports : 1-3
Current Tagged Ports :
Current Untagged Ports: 1-3
Static Tagged Ports :
Static Untagged Ports : 1-3
Forbidden Ports :

VID : 5 VLAN Name : VLAN00
VLAN Type : Static Advertisement : Disabled
Member Ports : 4-6
Static Ports : 4-6
Current Tagged Ports : 4
Current Untagged Ports: 5-6
Static Tagged Ports : 4
Static Untagged Ports : 5-6
Forbidden Ports :

VID : 10 VLAN Name : VLAN10
VLAN Type : Static Advertisement : Disabled
Member Ports : 7-9
Static Ports : 7-9
Current Tagged Ports : 7
Current Untagged Ports: 8-9
Static Tagged Ports : 7
Static Untagged Ports : 8-9
Forbidden Ports :

VID : 20 VLAN Name : VLAN20
VLAN Type : Static Advertisement : Disabled
Member Ports : 10-12
Static Ports : 10-12
Current Tagged Ports : 10
Current Untagged Ports: 11-12
Static Tagged Ports : 10
Static Untagged Ports : 11-12
Forbidden Ports :

Total Entries: 4

2. Создал интерфейсы к ним:
Command: show ipif

IP Interface : IFACE00
VLAN Name : VLAN00
Interface Admin state : Enabled
IPv4 Address : 192.168.0.251/24 (Manual) Primary

IP Interface : IFACE10
VLAN Name : VLAN10
Interface Admin state : Enabled
IPv4 Address : 192.168.1.251/24 (Manual) Primary

IP Interface : IFACE20
VLAN Name : VLAN20
Interface Admin state : Enabled
IPv4 Address : 192.168.2.251/24 (Manual) Primary

IP Interface : System
VLAN Name : default
Interface Admin state : Enabled
IPv4 Address : 10.90.90.90/8 (Manual) Primary

Total Entries : 4

3. На DES-1252 сделал следующее:
Настройки ВУЫ-1252:
IP: 192.168.1.1
Mask: 255.255.255.0
Gateway: 192.168.1.251

Создал VLAN.
VID : 10 VLAN Name : VLAN10
VLAN Type : Static Advertisement : Disabled
Member Ports : 1-16
Static Ports : 1-16
Current Tagged Ports : 1
Current Untagged Ports: 2-16
Static Tagged Ports : 1
Static Untagged Ports : 2-16
Forbidden Ports :

4. Соединил две железки: DES-1252 Port1 <-> DGS-3612 Port 7 (и там и там порт тагированый)
5. К DES-1252 к порту 2 (untag) подключил комп1 со следующими настройками TCP/IP:
IP: 192.168.1.20
Mask: 255.255.255.0
Gateway: 192.168.1.251 (IP адрес интерфейса DGS-3612 для VLAN10)

6. К DGS-1612 к порту 5 (untag) подключил комп2 со следующими настройками TCP/IP:
IP: 192.168.0.27
Mask: 255.255.255.0
Gateway: 192.168.0.251 (IP адрес интерфейса DGS-3612 для VLAN10)

После всего пытаюсь сделать пинг с комп2:
C:\Documents and Settings\alexey>ping 192.168.0.251

Обмен пакетами с 192.168.0.251 по 32 байт:

Ответ от 192.168.0.251: число байт=32 время<1мс TTL=255
Ответ от 192.168.0.251: число байт=32 время=1мс TTL=255
Ответ от 192.168.0.251: число байт=32 время<1мс TTL=255
Ответ от 192.168.0.251: число байт=32 время<1мс TTL=255

Статистика Ping для 192.168.0.251:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 1 мсек, Среднее = 0 мсек

C:\Documents and Settings\alexey>ping 192.168.1.251

Обмен пакетами с 192.168.1.251 по 32 байт:

Ответ от 192.168.1.251: число байт=32 время<1мс TTL=255
Ответ от 192.168.1.251: число байт=32 время=1мс TTL=255
Ответ от 192.168.1.251: число байт=32 время<1мс TTL=255
Ответ от 192.168.1.251: число байт=32 время<1мс TTL=255

Статистика Ping для 192.168.1.251:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 1 мсек, Среднее = 0 мсек

C:\Documents and Settings\alexey>ping 192.168.1.20

Обмен пакетами с 192.168.1.20 по 32 байт:

Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.1.20:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),


Получается, что сами интерфейсы DGSки пингуются без проблем, а вот за ее пределы пинг не идет. То же самое происходить и с комп1. Т.е. интерфейсы он все пингует, а IP 192.168.0.27 нет.

Подскажите пожалуйста в чем проблемы, как ее решить и что нужно донастроить?

фаеры на компах повыключать
свичи вы настроили правильно

Спасибо. Оказывается Касперыч рубил все. Настроил Каспера и все сразу заработало.

Но у меня появился еще один вопрос. Получается, чтобы все друг друга видели необходимо на всех клиентах в качестве шлюза указывать IP на DGSке. А как же быть с интернетом. Народ у нас тоже ходит через шлюз. Соответственно если я на клиентах прописываю IP DGSки то нета у людей не будет. Как поступить в данной ситуации?

на DGS-ке сделайте основной шлюз, тот, который должен быть, тогда клиенты будут через него маршрутиться на нормальный шлюз.
Ну и со шлюза (того, который инет раздаёт) надо будет прописать обратные статические маршруты на ваши подсети через интерфейс DGS.

Я наверное чего то недопонимаю.
Есть 3 VLANа, у каждого VLANа есть свой шлюз в интернет. Как мне сделать чтобы клиенты своего VLANA могли ходить в инет напрямую через свой же шлюз (без указания прокси). Соответственно вопрос, где им нужно прописать интернет шлюз, ведь на клиентских компах в настройках TCP/IP шлюзом должен выступать DGS-3612.

а один для всех шлюз сделать нельзя ?? и указать его шлюзом по умолчанию для DGS-3612?
Если нет, то шлюзом по умолчанию ставите у клиентов шлюзы в инет, а локальную сеть прописываете отдельными маршрутами через DGS.

_________________
LiveComm

Один шлюз сделать нельзя, так как три разные организации и у каждой свой интернет канал.



Если можно, то объясните пожалуйста более детально. Т.е. где именно в настройках нужно прописать маршруты и каким образом. Я такой свитч первый раз настраиваю, поэтому и вопросов очень много. Буду признателен за помощь.

Свич, роутер, комп с любой ОС, какая разница?

На DGS-ке, статические маршруты, созданные интерфейсами:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
10.90.90.0/8

Допустим, шлюз находится в Default VLAN и имеет IP адрес 10.90.90.80

Нужно, чтобы клиенты подсетей ходили в инет через шлюз:
Тогда, на свиче должен быть default route:

0.0.0.0 0.0.0.0 10.90.90.80

Однако, шлюз так-же должен как-то видеть остальные 3 подсети, тогда на нём нужны маршруты, на эти подсети:

route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.90.90.90
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.90.90.90
route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.90.90.90

на клиентских компах тупо прописываем шлюз на интерфейс свича, ну и статические маршруты на другие подсети не помешают.[/u]