Сейчас DGS-3100-24TG (Firmware: Build 3.00.43) стоит на агрегации оптических магистралей из микрорайонов: оптические линки собираются с микрорайонов и по меди (пока 100 мбит) отдаются на Nortel BayStack 450, к которому подключены сервера, циски, линки на магистралов и т.п.
Т.е. на dgs-3100 1й порт - аплинк к серверам и цискам -доступен всем
порты с 9 по 15 - линки в микрорайоны.
Все нетегированное.

1. хочется хотя бы порезать его на vlan-ы - vlan на микрорайон.

вроде решение в traffic_segmenration:


т.о. порт 1 может форвардить на 9-15 а 9-15 могут форвардить на порт 1, а 9 и 10, 10 и 11 и т.д. между собой не будут видеть друг друга

Все вроде так?

2. хотелось бы, минимизировать последствия действий клиентов (они сидят на оптических портах) в случае, если они ставят себе ip сервера (он на 1м порту, мак-адрес сервера - 00:0D:61:90:1B:D1), чтобы проблема была хотя бы в 1 линке на микрорайон, а не на всей сети.

К сожалению метод http://www.dlink.ru/ru/faq/62/252.html судя по всему на dgs-3100-24tg не работает – нет фичи «Packet Content Filtering».



Еще подсказывали вариант:



Но:


Подскажите как быть? Или я слишком многого хочу от этого свича?

нет, не так:
создавайте отдельный влан на отдельный район, и запихивайте туда соответствующий порт. Сегментацией вы всего-лишь ограничиваете пропуск трафика по одному влану в пределах вашего свича, хотя влан будет один.



Этим правилом вы защищаете сервер от MAC-спуфинга, тоже полезная штука, а вот по поводу подмены IP адреса - фильтруйте всё на доступе.

Т.е. создаем:
- 1й влан из двух портов: 1й и 9й
- 2й влан из двух портов: 1й и 10й
- и т.д.
Т.о. 1й порт (аплинк) будет входить во все вланы?! Повторю - все НЕтегированное. По-моему так нельзя.


Фильтровать на доступе - это делать привязку mac-ip на свичах доступа? Принципиально это не делаем по понятным причинам.
Пока сделал так:

Еще есть вариант?

Почему нельзя?
каждый порт запихиваете в соответствующий влан, затем этот влан отправляете на агрегацию в тегерированном виде:

create vlan 100 tag 100
config vlan 100 add untagged 1
config vlan 100 add tagged 26
create vlan 101 tag 101
config vlan 101 add untagged 2
config vlan 101 add tagged 26

Ну и на агрегации все ваши вланы маршрутизируете.


Советую ознакомиться:
http://www.dlink.ru/ru/faq/62/252.html

Повторюсь: вы правиломь исключаете всего-лишь пакеты, с source-mac мак-адресом вашего сервера, но это не значит, что вы исключите пакеты с IP адресом вашего сервера, и уж тем более не исключите подмену мак-адресов как таковую (случается редко).

Тогда на другом свиче, куда уходит этот тегированный порт (в вашем примере - 26й), тоже должен быть тегированный порт и влан? У меня же все НЕтегированное.


Я тоже повторюсь - в первом же посте в этой ветке я написал, что на dgs-3100-24tg нет фичи "Packet Content Filtering".
Подмену мак-адресов мне тоже не надо контролировать. Задача другая и описана выше.

1. Если Вы не используете виланы, то да, единственный выход это traffic_segmentation. Настройку Вы привели правильную.

2.

1. Да я не против вланов. Я не очень понял как это сделать - см. вопросы в предыдущем посте относительно тегированных/нетегированных вланов на разных свичах.

для осуществления взаимодействия виланов между сбой и с опорной сетью надо ставить маршрутизатор, одного 3100 тут будет мало

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Роутеры конечно есть:

Собственно задача описана в 1й посте этой ветки, который отвечающие внимательно прочитать не хотят

При чём здесь VLAN-ы и Traffic Segmentation? Эту задачу нужно решать только через 802.1q VLAN и использовать схему не VLAN на район, а VLAN на коммутатор уровня доступа.

_________________
С уважением,
Бигаров Руслан.

VLAN на дом конечно хорошо, но сетка построена на мелких свичах, в домах стоит не по 1му свичу доступа, а по 2-3-4 мелких (типа Planet WGSD-1020). А DGS-3100 умеет только 256 vlan-ов. Так что наверное вариант в существующей конфигурации не очень проходной.
Чтение http://www.dlink.ru/ru/faq/62/ пока просветления не принесло.
Где почитать про построение сетей по принципу "vlan на дом/микрорайон"? forum.nag.ru знаю, цельного описания решения там не пока нашел.

Укажите пожалуйста в личку Ваш телефон.

Здравствуйте!
Подскажите, а что это за unit LAG такой, на этом коммутаторе и для чего он нужен?

Link Aggregation Group?..

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Очень похоже. А я то голову ломал.

Подскажите сейчас на коммутаторе Boot version 1.0.0.04 и Firmware Version 3.60.24
Стоит ли менять Boot на 1.01.04? Повлияет ли это существенно на что либо.

Еще один вопрос:
Почему на DGS-3100-24TG логи сохраняет только за сутки? Заходя на следующий день вижу только запись о своем входе