Я выбрал MAC-based-VLAN потому что была сеть на неуправляемых коммутаторах, и в этой сети было как бы две подсети(тупо разные IP адреса а железо одно 192.168.0.0/24 192.168.1.0/24), вот в подсети 192.168.1.0/24 Был полный доступ в интернет а в 192.168.0.0/24 через прокси. Это сделали старые "админы". Получается что на одном порту две неуправляемые подсети. Если делать VLAN на основе порта то эти две подсети станут в одной. Поэтому выбрал MAC-based-vlan. Купили два коммутатора DES-3810-28(L3 на нем будут шлюзы прописаны и маршрутизация между VLAN) и DES-3200-28 (L2 на нем создаю vlan на базе мак адресов.) VLAN нужно создать по отделам, но на одном порту коммутатора могут быть разные отделы, поэтому я переписал все мак адреса в сети и пытаюсь сделать VLAN на основе мак адресов по отделам, сервера в отдельном VLAN каждый, интернет шлюз в отдельном vlan чтобы не было привязки к портам коммутатора. Вначале решил создать тестовую сетку из трех компов а компы не пингуются. Что делать не знаю =(

Туплю народ =) антивирус блокировал пинги, VLAN работает) Я слышал еще что нужно удалять default VLAN 1 в целях безопасности. В чем смысл этого действия? и что означает опция при создании VLAN type 1q_vlan advertisement и когда она используется

А будет ли работать DHCP relay по option 82 ? Если ядро сети будет DES-3810-28 в него аплинком в 25 тегированый порт воткнут DES-3200-28 , а уже в DES-3200-28 воткнуты неуправляемые свитчи , и кое -где они будут идти хаб-в -хаб

Все должно работать.

Купили DES-3810-28 и DES-3200-28_c1 . На DES-3200 созданы mac_based_vlan . Des-3200 и 3810 соединены по аплинк порту. аплинк порт транковый. на второй порт аплинк подключен неуправляемый свитч к которому будут подключаться сервера .Подскажите в каком направлении двигаться дальше. Нужно 3810 сделать ядром. На нем сделать шлюзы для vlan и настроить маршрутизацию между vlan. И на каком устройстве нужно создавать STP, Loopback Detection, шторм контроль итд итп. И еще. Как запретить доступ 1 компьютеру из одной VLAN100 в другую vlan200. Подскажите еще как настроить DHCP option 82

я тоже всегда гашу этот влан.
если порт не находится ни в одном влане, он все-равно может стать в дефолтовом, так сказать native. Если конфигурировать качественно то проблем не будет, но когда тысячи свичей, раз на раз не уследишь.


развернутый вопрос на полное знание сетевых технологий
- луп детект надо включать на всех свичах, на аб портах. на магистральных я бы не стал, хотя дело вкуса.
- маршрутизацию настраивать не надо, подымайте в каждом влане айпишник на Л3 и на клиентских компах-серверах этот айпи ставьте шлюзом и все уже будет маршрутизироваться.
- доступ запрещать проще ACL (хотя тот еще геморой на Л3), каждое правило проверять, есть связь - нету связи. веселая штука. На влан не всегда egress работает, по крайней мере на dxs-3600.
- для опции 82 надо знать цели, серверов дшсп с этой опцией и планов её использования мало. ну а вообще на офисную сеть не знаю чем эта опция может пригодиться

Получается нужно создавать VLAN на 3200 и на 3810(на 3810 для того чтобы создать ip интерфейсы для каждой vlan).Сейчас созданы mac_based_vlan на коммутаторе 3200(Получается нужно создавать vlan ы на 3810?). Сервера которые на аплинке у 3810 тоже запихивать в свой VLAN надо? и интернет шлюз тоже в отдельный VLAN ? DHCP сервер на windows 2003 server вроде бы умеет option 82 или я ошибаюсь? DHCP на Win2003 нужен для раздачи IP в каждую VLAN

на свиче Л3 на каждый влан подымается свой айпи, он и будет шлюзом/маршрутизатором. Если такой вопрос поднят, советую больше изучить данную тему.
опция 82 вам ненужна. в каждом влане подымаете dhcp helper он и будет определять с какой подсети выдавать айпи. А опция 82 в основном используется для контроля на каком порту выдавать какой айпи.
В какие вланы сервера запихивать, это к вам вопрос. Только вы знаете свою желаемую схему сети.

Значит VLAN нужно создавать и на 3200 и на 3810 ? и mac_based_vlan нужно тоже прописывать на 3810? и dhcp helper поднимать на 3810? Хотелось бы использовать один dhcp сервер на windows2003

dhcp helper подымается на интерфейсах где нужно раздавать автоматом айпи (на 3810 скорей всего), это просто прокси, а сервер у вас будет вин2003.
влан подымается на всех свичах где он нужен.
если же 3200 использует один влан, то на 3810 можно просто untagged влан поднять, тогда 3200 и знать об этом ничего не будет. если же на 3200 несколько вланов, то транк портом (tagged).
вам проще схему нарисовать сети. из того, что тут все отвечали, уже быстрей конфиг накидать для вас

Повторю схему : Des-3810-28(L3) будет ядром. К нему подключены будут сервера на 27 порт аплинк и шлюз интернета. На 25 аплинк порт будет подключен des-3200-28(L2)(тоже через 25 порт) Далее к 3200 с 1-24 будут подключены неуправляемые коммутаторы. Нужно создать mac_based_vlan по отделам и на L3 сделать маршрутизацию между vlan но некоторым vlanам запретить доступ к другим vlan.
На данный момент создал вланы на 3200
create vlan vlan100 tag 100
create vlan vlan101 tag 101
итд
создал mac_based_vlan
create mac_based_vlan mac_address xx-xx-xx-xx-xx-xx vlanid 100
create mac_based_vlan mac_address xx-xx-xx-xx-xx-xx vlanid 101
итд
осталось сделать маршрутизацию между вланами на 3810

с вланами мак бэйсед вы разобрались.
пусть это будут вланы отделов 5,7
серверный влан пусть будет 10
на 3200
conf vlan vlanid 5 add tag 25
conf vlan vlanid 7 add tag 25
на 3810
create vlan 5 tag 5
create vlan 7 tag 7
create vlan srv tag 10
conf vlan vlanid 5 add tag 25
conf vlan vlanid 7 add tag 25
conf vlan default del 27
conf vlan vlanid 10 add unt 27
create ipif off-1 192.168.0.1/24 5
create ipif off-2 192.168.1.1/24 7
create ipif srv 192.168.10.1/24 10
en dhcp_relay
config dhcp _relay add ipif off-1 192.168.10.30 (вин сервер)
config dhcp _relay add ipif off-2 192.168.10.30 (вин сервер)
create iproute default 192.168.10.5 (шлюз инета)
как то так.
а вот ацессы по вланам придется самим создавать, у меня нет такого оборудования. сам в соседней ветке сижу жду у моря погоды

счет для перевода денег позже скину )))))

Пытаюсь создать шлюз для серверов
DES-3810-28:admin#create ipif ipifsrv 192.168.0.1/24 srv
Command: create ipif ipifsrv 192.168.0.1/24 srv

Conflicted subnet addresses

Fail!
DES-3810-28:admin#sh ipif
IP Interface : mgmt_ipif
Status : Enabled
IP Address : 192.168.0.1
Subnet Mask : 255.255.255.0
Gateway : 0.0.0.0
Link Status : Link Down

Подскажите как удалить этот интерфейс, команды config ipif mgmt_ipif delete 1-28 не пашет. Это похоже порт Management на 3810. Можно как то сменить ему IP ?

поменяйте на нём IP, помоему удалить его нельзя

config ipif mgmt_ipif ...

не удалите, присвойте просто ip который в сети не используется и отключите административно. хотя у меня такого свича нет незнаю, может и можно грохнуть