Здравствуйте! Подскажите, как лучше всего организовать кольцо на коммутаторах dgs-3200-10. Необходимо изолировать пользователей друг от друга и весь трафик направлять на центральный коммутатор. При этом очень желательно не выделять на пользователя по отдельному vlan-у.

Схема такова: коммутаторы закольцованы через sfp-порты, один из коммутаторов через 1-й порт соединен с головным коммутатором. На этом порту настроены тегированные vlan-ы (2 vlan-а -- один для администрирования, другой для передачи пользовательского трафика).

Внутри одного коммутатора пользователей изолировать просто - Traffic Segmentation. Пользовательским портам с 1 по 8 разрешаем копировать трафик только в 9 и 10 порт, и наоборот, портам 9 и 10 разрешаем копировать только в порты 1-8. На одном из коммутаторов кольца трафик с 1-го порта разрешено копировать на 9 и 10 порт, а с портов 9 и 10 только на 1-й порт, 1-й порт этого коммутатора идет на головной коммутатор. Как изолировать пользователей на соседних коммутаторах? Можно использовать VLAN на каждый коммутатор, но мне нужно чтобы весь трафик из кольца попадал на головной коммутатор тегированным, причем пользовательский траффик в одном vlan, а администрирование коммутаторов было в другом.

p.s. могу приложить изобраение схемы сети, если скажите как (не через ссылку).

Да, именно так.

Он и будет тегированным. Только у Вас будет один вилан для управления и много виланов для пользователей.

Именно в этом и дело, что Vlan для пользователей нужен один... Возможно есть способы изолировать пользователей без разделения на vlan-ы? например, со стороны головного коммутатора все пакеты должны приходить с заранее известным mac-адресом источника (с той стороны стоит маршрутизатор с proxy-arp). [/quote]

без разбивки на виланы клиенты будут общаться между собой минуя цетральный коммутатор, поэтому на нём можно что угодно настраивать, на внутренний пользовательский трафик это вообще никак не повлияет.
Боюсь, что другого выхода нет.

На самом деле можно написать ACL, но это поможет только в том случае, когда клиенты не смогут вручную менять себе IP адреса.

IP-MAC binding

_________________
D-Link user:
DES-3526, fw ver. 6.00.B58 / DES-3200-28 A1/B1, fw ver. 1.80.B006
DGS-3312SR / DGS-3612 / DES-1226G / DMC-810SC / DIR-100 / DIR-620 / DIB-120

А можно, например, на пользовательские порты разрешить вхождение пакетов только с определенным мак-адресом, а остальные запретить? это бы решило проблему, составить такой ACL мне так и не удалось.

Можно, чтобы клиент мог посылать пакеты только на определенные MAC, т.к. с помощью ACL обрабатывается только входящий в порт трафик. По сути, это тоже Вас устроит. А почему не получилось, как писали?

Спасибо всем, попробую с ACL - отпишусь. С vlan-ами не получится из-за структуры сети. Дальше DGS-3200-10 стоит cisco catalyst 2950, из которой по нетегированному порту идет трафик на порт маршрутизатора cisco 3725. Если разделять на множество vlan-ов то и в порт маршрутизатора прийдется "вгонять" не один vlan, а несколько. А т.к. там стоит catalyst, то она не будет делать untagged нескольких vlan в один порт. Есть у них в какой-то серии multi vlan с помощью которого это реализовывалось, но не в моем случае.

А зачем Вам гонять untagged между коммутаторами? Делайте их все tagged, а untagged выпускайте только для клиентов.

А никто и не гоняет untagged между коммутаторами. untagged попадает на один из портов маршрутизатора. А коммутаторы управляются с одного Vlan, пользователи сидят на другом. Ну и при необходимости пробросить можно и другие подсети. Но вот проблема в том, что все пользователи находятся в одной подсети, и разделить их на vlan-ы не получится... Либо может кто подскажет, как на нетегированный порт cisco 3725 с cisco catalyst 2950 подать несколько vlan-ов? Ну или как на cisco 3725 поднять интерфейс, чтоб он мог принимать несколько VLAN-ов не деля их на разные сети такое уж точно не реализовать... Если б можно было вставить рисунок в пост все было б гораздо проще вам объяснить... Топология сети была разработана изначально не верно... сейчас вот либо "революцию" прийдется устроить, либо костыль собрать...

Рано или поздно пользователей нужно делить на VLAN'ы.
Все в одной подсети не смогут ужиться.

_________________
LiveComm

А почему не получится? Что накладывает такие ограничения?

Форум крайне неудобен, даже схему выложить по нормальному нельзя... В общем вопрос тогда - если я выделяю по vlan-у на коммутатор как мне все эти vlan-ы объединить в один интерфейс маршрутизатора, на котором прописана единая подсеть для этих пользователей?[/img]

никак. делите на подсети.

_________________
LiveComm