Доброго времени суток.

Хочу поинтересоваться. Можно ли при помощи DFL-210 реализовать следующую схему:

Порты коммутатора на LAN не могут быть независимыми. Поэтому два DHCP сервера на LAN нормально работать не будут. Если увеличивать кол-во независимых портов с помощью VLAN, то их будет максимум 8.

По схеме возникают вопросы.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Понятно. Абстрагируясь от схемы мне необходимо знать смогу ли я на LAN интерфейсе поднять n-ое кол-во серых подсетей, которые смогут смотреть во внешний мир, но не иметь связности друг с другом. Понятно, что вычислив диапазоны сетей, подменой ип-пула можно провалиться в любую сеть, но на данный момент для меня это допустимо.

без проблем

viewtopic.php?t=114463

viewtopic.php?t=114002

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за ответ. Разобрался и реализовал. Осталось непонятным может ли dfl-210 отдавать тегнутыми свои 8 вланов по lan порту.

Может. Почему нет?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Потому что пока не вижу как это реализовывается. Я создал вланы с определенными тегами. Отдал их на интерфейс lan. К одному из lan портов подключил свитчик(DES-3010). Управление назначил из ip pool'а /24, который отдается с портов lan(т.е. управление свитчом находится[о ужас] в VLAN ID:1. Далее на порту коммутации с dfl-210 принял тегнутыми 8 вланов и отдал на 8 портов этого свитча, сняв теги.

Все правильно. Я с 8-ю VLAN-ами не работал. Только с одним. Но проблем с ним не встречал.

Как обычно, должна быть настроена маршрутизация и разрешающие правила.

А что у вас не работает?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не могли бы Вы опубликовать роутинг и acl своего vlan'a? Возможно я что-то упускаю...

Схема на днях ликвидирована за ненадобностью. Но исправно работала года 2.

В чем проблемы у вас?

Там не видно каких-либо трудностей. Создаёте VLAN с определенным ID на нужном интерфейсе с vlan_ip, vlan_net и, возможно, vlan_gw. И вот вам независимый интерфейс.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо за информацию. Потихонечку осваиваю сию железку. Нарезал вланы. Сделал проброс портов до важных хостов.

Столкнулся со следующим головняком. Есть серая сеть. Хосты из этой сети имеют связность с внешним миром, но не не видят друг друга в пределах одного /24 пула. Если не сложно не могли ли Вы привести пример своей серой сети, которая имеет нормальную коннективити? Если в этой сети будет раздавать ИП DHCP сервер - будет вообще замечательно.

Вначале этого абзаца я начинаю испытывать проблемы с пониманием. А на последнем предложении понимаю, что мой IQ ниже 50-ти.

Изложите свою мысль более развернуто.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

[root@NEZNAYKA /home/nikita]# ifconfig
ale0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=319a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MCAST,WOL_MAGIC>
ether 00:26:18:f4:58:92
inet 10.10.1.2 netmask 0xfffffffc broadcast 10.10.1.3
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
[root@NEZNAYKA /home/nikita]# ping ya.ru
PING ya.ru (77.88.21.: 56 data bytes
64 bytes from 77.88.21.8: icmp_seq=0 ttl=58 time=1.446 ms
64 bytes from 77.88.21.8: icmp_seq=1 ttl=58 time=1.421 ms
64 bytes from 77.88.21.8: icmp_seq=2 ttl=58 time=1.390 ms
64 bytes from 77.88.21.8: icmp_seq=3 ttl=58 time=1.374 ms
^C
--- ya.ru ping statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.374/1.408/1.446/0.028 ms
[root@NEZNAYKA /home/nikita]# ping 10.10.1.1
PING 10.10.1.1 (10.10.1.1): 56 data bytes
^C
--- 10.10.1.1 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss
[root@NEZNAYKA /home/nikita]# ping 10.10.1.3
PING 10.10.1.3 (10.10.1.3): 56 data bytes
^C
--- 10.10.1.3 ping statistics ---
11 packets transmitted, 0 packets received, 100.0% packet loss


DES-3010G:4#show switch
Command: show switch

Device Type : DES-3010G Fast Ethernet Switch
MAC Address : 00-21-91-57-E5-3E
IP Address : 10.10.1.3 (Manual)
VLAN Name : default
Subnet Mask : 255.255.255.0
Default Gateway : 10.10.1.1
Boot PROM Version : Build 1.01.009
Firmware Version : Build 4.30.B06
Hardware Version : A3
System Name : switch
System Location : switch
System Contact : switch
Spanning Tree : Disabled
LoopBack Detection : Disabled
IGMP Snooping : Disabled
VLAN trunk : Disabled
802.1X : Disabled
TELNET : Enabled(TCP 2323)
WEB : Enabled(TCP 80)
RMON : Disabled
SSH : Disabled
Password Encryption: Enabled

DES-3010G:4#ping 195.128.50.30
Command: ping 195.128.50.30

Reply from 195.128.50.30, time<10ms
Reply from 195.128.50.30, time<10ms
Reply from 195.128.50.30, time<10ms
Ping Statistics for 195.128.50.30
Packets: Sent =3, Received =3, Lost =0

DES-3010G:4#ping 10.10.1.2
Command: ping 10.10.1.2

Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping Statistics for 10.10.1.2
Packets: Sent =6, Received =0, Lost =6

PS подключен к LAN1; Свитч к LAN2

Проброс портов снаружи у вас сделан неправильно. Не по инструкции.

Сейчас более развернуто, Но вопрос-то в чем?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Есть плоская сеть 10.10.1.0/24, прописанная на LAN интерфейсе. Хост А-10.10.1.2, хост В-10.10.1.3. Хост А не видит хост В.