Возможно ли исполнить сабж?
Собственно traffic segmentation у 2108 вроде как нет и поэтому вопрос - возможно ли какими-либо доступными функциями свитча реализовать подобное?
Задача такая - разрешить всем портам трафик только с "аплинком". Все порты находятся в одной vlan.

Учтоните, пожалуйста, аппаратную версию DES-2108.

H/W Ver.:B1
оно?

Тогда можно попробовать решить задачу с помощью Asymmetric VLAN. Общий пример есть на нашем сайте: http://dlink.ru/up/uploads_media/asymmetric_vlan.pdf

Идея понятна, а вот с реализацией что-то туплю..
Например, сейчас имею такую конфигурацию:

VLAN_ID:101 - это пользователи, VLAN_ID:3 - влан управления, 8-й порт - "аплинк". Как применить в моем случае вариант с asymmetric vlan, чтобы "изолировать" порты 1-7 друг от друга и обеспечить им доступ "выше" (к аплинку)? Достаточно ли будет прописать PVID 101 для 1-7 портов? И какой PVID должен быть у "аплинка" (порт 8 )?

P.S. Судя по всему, удаленно сконфигурировать Asymmetric VLAN не получится (свитч после команды enable asym_vlan ) сбрасывает все настройки vlan в дефолт, удаляя уже настроенные vlan-ы, а доступ к свитчу возможен только с порта 8 по tagged vlan3, который будет сброшен в untagged vlan1.
Или я что-то не так делаю?

Применение тегов в режиме Asymmetric VLAN недопустимо, все работает за счет того, что трафик нетегирован и перенаправляется в соответствующий влан согласно PVID.
Таким образом, должен быть влан в который входят все порты и при этом порт аплинка должен иметь PVID=VID этого влана. Все остальные вланы должны включать конкретные порты отдельной группы + порт аплинка, при этом PVID на портах отдельной группы должен быть равен VID этого влана.

Т.е. в моём случае для 2108 получается 7 "абонентских" vlan + vlan "аплинка"?
И конфиг будет такой:Так?
И vlan101 должен приходить на аплинк только untag-ом, или здесь уже не имеет значения?
И если все вышесказанное (мною) верно, то возникает еще один вопрос - на других свитчах 2108 (а в сети их порядка сотни) могут быть vid 201-207 ? Или для каждого порта (читай - "группы" в моем случае) других 2108 vid НЕ может совпадать?

Да, примерно так. Влан 101 должен обязательно приходить антагом. На других коммутаторах нумерация может совпадать, так как трафик нетегированный и метки 802.1q все равно вместе с пакетиками не уходят дальше самого коммутатора.

Все понятно, спасибо за совет.
Вариант, конечно, не сахар, но я так понимаю, что от 2108 ожидать бОльшего и не приходится.

Остался один вопрос - как Asymmetric VLAN ведет себя в плане стабильности, как будет грузить и без того слабый процессор свитча, и чего "нехорошего" можно ожидать от подобной конфигурации, учитывая кол-во коммутаторов в сети?
2108 в нашей сети - это "коммутатор на дом", "аплинки" 2108 подключены к DES-3526 (коммутаторам первого уровня агрегации - "группы домов"), там есть ACL. Далее всё агрегируется на DGS-3100-24TG, с него на роутер, где осуществляется маршрутизация между vlan "районов" (101-104) и в Интернет. В настоящий момент в сети около 800 абонентов, в перспективе - до 1500.
Вопрос собственно в том, "стоит ли шкурка выделки"? Может сейчас логичнее оставить "как есть"? Хотелось бы услышать ваше мнение.
Вариант с заменой 2108 на что-то более существенное, на данном этапе, к сожалению невозможен - строительство сети еще не закончено, соотв. любые доп. расходы будут заметно тормозить развитие..

Дополнительной нагрузки на процессор это вызвать не должно. Что касается собственно метода, то на DES-2108 другой альтернативы traffic segmentation действительно нет и не планируется. Так как вариант замены на более производительное оборудование для Вас невозможен, то я бы рекомендовал Вам опробывать этот метод на части сети и в случае, если вариант Вас устраивает использовать его и на остальной сети. У меня пока отзывов по использованию Asymmetric VLAN на DES-2108 в крупных сетях нет.