Короче тема была одна а щас другая.
Суть в том чтобы понять как правильно создать влан группу для юзеров и для управления оборудованием.

На DES-3028 отвключите ingress_checking

А если я влан не юзаю ни в коем случае ?

Как это? У вас все в одном вилане сидит - и клиенты, и управление?

_________________
не важно, из какого места растут золотые руки

от такого финта, если управление в тэгированном влане возникают проблемы. точно не помню - давно пробовал. решение вижу такое: использовать default vlan для управления, а всех абонентов с тэгами носить и снимать тэг уже на access-порту.

с fbdu disable у вас не будет работать STP на портах абонентов.
+ надо отдельно включить conf loopdetect po 1-24 st en / en loopdetetct

Да всё в одном влане,
Я просто не понимаю как правильно развести управление от юзеров.
Точнее я не знаю продцедуры, может кто то опишет подробно ?
И последний совет мне показался полезным но реализовать нерискую на живых юзерах.

Для начала, какое кол-во свичей у вас в сети? Если десятки - одно дело (управление всеми свичами - в один вилан), а если сотни и т.д - это уже совсем другая песня.
Топологию сети нужно знать, опять же - могут свои нюансы вылезти.

_________________
не важно, из какого места растут золотые руки

Десятки чтук этак 30.

cre vlan 20 t 20
conf vlan default del 1-24
conf vlan 20 add u 1-24
conf vlan 20 add t 25-26

и на L3-оборудовании не забыть перенести интерфейс на vlan 20
для linux:
vconfig add eth1 20
ip li set eth1.20 up
ip ad add 10.0.0.1/24 dev eth1.20

для freebsd
ifconfig users1 create vlan 20 vlandev em0
ifconfig users1 alias 10.0.0.1/24

А есть возможность разжевать чтобы понять что к чему ?

cre vlan 20 t 20 создаём влан номер 20 с тегом 20
conf vlan default del 1-24 удаляем из дефолта клиентские порты
conf vlan 20 add u 1-24 добавляем без тега все порты, это как ?
conf vlan 20 add t 25-26 аплинк порты добавляем в 20 влан

На самом L3 интерфейс system тот на котором айпи адрес управления свитчём переносим в влан 20 предварительно его создав так ?

А конфиги для фри и линя рос писаны чтобы сам сервак понимал что куда так ?

И это всё нужно проделать на всех свитчах так ?
И что получиться, что абоненты друг друга по идее будут видеть как и раньше, просто аплинк порты я вынес в отдельный влан а абонентов оставил в дефолте ?
И ещё начинать конфиг нужно с самого ядра и по пути к абоненту продолжать дальше ?
Получиться что связь потеряеться для других свитчей пока они не будут внесены в влан ?

Не надо использовать ipif System для маршрутизации клиентского трафика!

_________________
LiveComm

Ну с системным я понял это мы решим.

по примеру своей сети предлагаю оставить управление в default vlan. т.е. когда будешь настраивать, управление не потеряешь. настройку коммутаторов нужно провести сразу - порядок не имеет значения - все равно кто-то будет работать, а кто-то нет.

управление ipif System вообще можно не трогать. просто убрать оттуда абонентский шлюз и создать его на другом vlan с другим именем. типа cre ipif users 10.0.0.1/24 20
смысл примерно таков.

и нужно понять, что выносим абонентов из default влана, а не наоборот.

Спасибо понял, щас сяду всё нарисую а потом будет на бумашке какая то картина и можно будет пробовать.
И последний вопрос.
Порт администратора оставляю в дефолте, но нужно ещё так чтобы этот порт не имел ограничений на абонентских вланах, что бы я мог видеть всё как и раньше.

добавляй администратору абонентский влан тэгированный и администратор должен сделать
для linux:
vconfig add eth1 20
ip li set eth1.20 up
ip ad add 10.0.0.1/24 dev eth1.20

для freebsd
ifconfig users1 create vlan 20 vlandev em0
ifconfig users1 alias 10.0.0.1/24