Приветствую всех.

Подскажите по какой логике необходимо парвильно создавать vlan на родных портах lan dfl-860e ?

У меня на wan приходит интернет, который должен расходиться в две разные сети которые не должны друг друга видеть, одну из этих сетей нужно еще и ограничить скоростью проходящего интернета. Я так понимаю что мне нужно просто создать два разных vlan-а.

Пробовал сделать по своей логике но в конечном итоге порушил сеть и понял что я мыслю не столь объектно как dfl, откатился назад и все ок.

Подскажите как правильно последовательно создавать vlan под мои цели?

Там два разных режима (или -- или, вместе не работают)
1) Port based VLAN. Каждому порту LAN назначается VLAN. Т. е. можно превратить свитч LAN в 6 независимых маршрутизируемых портов. С теггированным трафиком несовместимо.
2) Теггированные VLAN. Через любой порт можно гнать теггированный трафик, если есть внешний управляемый свитч для его мультиплексирования/демультиплексироания, но встроенный свитч LAN делать это не может.
Cм. в Interfaces / Switch Managenent.
После создания VLAN ими нужно рулить, как обычными интерфейсами (маршруты, правила). Например, чтобы Интернет заработал, нужно явно заменить/добавить в правило, разрешающее доступ, соответствующиие VLAN.
И еще. Если все шнурки дотягиваются до DFL, то можно не заморачиваться с VLAN пока хватает физических портов -- вторую LAN можно спокойно воткнуть в DMZ или WAN2, если они свободны.

а поподробнее как это сделать какие правила создать итд

VLAN можно сделать через port based VLAN или же задействовать порт DMZ

Для интернета, достаточно копии NAT правил lan_to_wan1

Чтобы сети не видели друг друга, не делайте правил, которые могут разрешить такой трафик

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Возможно ли на этом устройстве сделать следующее:
1. Есть два провайдера.
2. Есть три локальных подключения.
3. Нужно наладить доступ между этими локальными подключениями, т.е. объединить в одну сеть.
4. Инет настроить так чтобы для одного подключения использовался wan1, для двух других - wan2.
5. При необходимости перебрасывать подключение (локальный порт) на другой wan, если "родной" сдох (перекидывать ручками, т.к. автоматом вряд ли получится). Нужно, например, в такой ситуации - на каждый wan есть свой внешний ip. Удаленкой можно коннектится по одному wan к компам одной сети, по второму wan - к компам другой сети. Но вот один из wan дохнет и тогда зайдя в настройки удаленно по другой линии перенастроить проброс портов и рулить всеми компами с одной линии + инет тоже будет раздаваться всем с одного wan. Кстати, а есть ли возможность настроить для каждого wan свой dyndns?
6. У тех двух, что на одном wan шейпить трафик, т.е. одному обрезать канал.
7. На всю эту красоту настраивать правила и разрешения вроде проброса портов и т.п.
8. Будет ли по обоим wan одновременно работать IPTV?

5. возможно , даже на автомате .
8. придется постучать в бубны , тк если одинаковые мультикаст группы - то работать не будет , если разные - не вопрос .

все остальное - реализуемо

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Т.е., если каналы одного провайдера, то работать не будет и никак этого не обойти?

И можно как то подробнее про мультикаст группы, не хватает познаний в этом вопросе чтобы оценить проблему.
МГ - это набор потоков UDP с одного адреса? Или еще и порты должны пересекаться?

работать НЕ БУДЕТ !
если
у вас плей листы с одинаковыми адресами каналов , порты тут не причем .....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Здравствуйте. Не работает каменный цветок с этими VLan, уже все мануалы перечитал, так и не понимаю, почему не работает.

860Е, подходит инет в WAN1, вся сеть в lan (1 порт, DHCP 10.0.0.0/23), на 8 порт настроен port based vlan vlan_8port. Настройки по DHCP 10.0.10.1/24, interface lan, 8 ID, default GW - none.

Политика для lan - запрещать все в WAN. Работает, если изменить на NAT в wan, то в инет можно попасть с любого lan-порта, кроме 8.
Политика для vlan - все разрешать в WAN. Не работает. Ip для устройства выдается, в логах при попытке доступа к wan:
warning -- default_rule -- UDP -- vlan_8port -- 10.0.10.2 \ 10.0.10.1 -- 64713 \ 53 -- ruleset_drop_packet drop

правила для vlan8_to_wan1
allow_ping_out -- NAT -- vlan_8port -- vlan8_net -- wan1 -- all-nets -- ping-outbound
allow_ftp_pass -- NAT -- vlan_8port -- vlan8_net -- wan1 -- all-nets -- ftp_passthrought-av
allow_standart -- NAT -- vlan_8port -- vlan8_net -- wan1 -- all-nets -- all_services

правила routing main
type ----- inface ------ network --- gateway -- metric -- comment
route ---- wan1 ----- wan1net -- ---------- ---- 100 ---- direct
route ---- wan1 ----- all-nets -- -wan1_gw--- 100 ---- default
route ----- dmz ----- dmznet -- ---------- ---- 100 ---- direct
route ----- lan ------- lannet ---- ---------- ---- 100 ---- direct
route - vlan8_port - vlan8_net -- --------- ---- 100 ---- direct

потом еще добавил запись, но не помогло
route - vlan8_port - vlan8_net -- vlan8_ip ---- 10 ----

При этом пинг в инет идет по ip-адресам, а имена блочатся. С моей точки зрения, все правила корректные, т.к. те же правила для lan пускают в инет. Но не для DFL-ки. Где все-таки закралась ошибка?

а DNSRelay , дядя Вася будет настраивать ? или сами пользователи будут прописывать публичные адреса DNS серверов у себя на компах ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Ой, и правда... Спасибо большое!

Только так не понял, почему это заработало. Точнее почему заработало я понял, но почему для lan работало без этих правил - не дошло. По идее, там же такие же правила должны быть, тем более за DNS в lan у меня отдельный сервер отвечает, а не DFL-ина.

А что раздавал DHCP сервер в LAN в качестве DNS?

DFL имеет lan ip 10.0.0.2, vlan ip 10.0.10.1
DHCP в lan с настройками был 10.0.0.0/23, gw 10.0.0.1, dns 10.0.1.250;10.0.0.1
DHCP в vlan с настройками 10.0.10.0/24, gw 10.0.10.1, dns 10.0.10.1

на 10.0.1.250 в сети висит dns-сервер, на 10.0.0.1 - lan интерфейс шлюза, отвечающего за доступ к интернет.

пока все собрано на столе, т.е. есть только dfl-ка и ноутбук с кабелем в lan, в wan подключил текущую сеть и дал dfl-ке доступ в интернет через нее, чтобы проверять работоспособность.

За сеть раньше отвечает dfl 210, и поэтому правила я просто переносил оттуда, где плюс был включен прозрачный режим на wan и dmz (в dmz заворачивался трафик из lan, кому дает шлюз доступ к инету).
На 860E сейчас настройки для lan, это interface_group lan-wan со switch_route lan_wan, иначе без нее dhcp раздавал ip, но сеть не работала совершенно, пакеты не уходили и dfl-ка не пинговалась даже с подключенным wan-кабелем. Стоило отключить wan - сеть работала без lan-wan связки.

Рисунки приветсвуются , ни че не понял

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

А чем не устраивает выход в интернет через DFL? Зачем нужен какой-то сервак?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...