Изпечатай

[toti84]

Здравейте колеги,
опитвам се на направя следното:
притежавам 3com baseline 2250 суитч и искам да отделя един два компютъра в отделен dmz (vlan)
настройката е следната, като точно целта ми е рутера да може да комуникира с всичките pc-ta, но PC1 и  PC2 да комуникират само по можду си, разбира се и с роутера, но да не могат с останалите PC-ta, с цел някой бандит ако пробие примерно PC1 да неможе да пробива другите компове.
На порт 1 е линукс на който не съм правил никакви софтуерни vlan-ове.
НО напрактика не се полувава PC1 i PC2 не могат да комуникират с рутера, но могат по между си.
рутера не може да комуникира и с останалите ПС-та, но те могат по можду си.
Това точно е проблема...

port	Mode	VLAN	PC
1	Uplink	ALL	Router
2	Desktop	11	PC1
3	Desktop	11	PC2
4	Desktop	1	PC3
5	Desktop	1	PC4
:	:	:	:
50	Desktop	1	PC49

[luda_glawa]

Ако правилно съм разбрал трябва:

Port 1 да стане трънк (trunk)

Port 2 и Port 3 да минат във vlan 2 например

всички останали портове да останат във vlan 1

Тогава вече ще можеш да направиш рутирането от рутера т.е. кой с кого и кога може да комуникира

[toti84]

Мися че не си ме разбрал.
Trunk не се ли използва за паралелно вдигане на скоростта на портовете?

[luda_glawa]

Може би това е някакъв страничен ефект, но не. Не му е това основната идея

http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/switch_c/xcvlan.htm

[toti84]

Нали идеята на този Uplink е да комуникира с всички vlan-ве, a на практика не комуникира с нито един

[luda_glawa]

Нали идеята на този Uplink е да комуникира с всички vlan-ве, a на практика не комуникира с нито един

"The concept of a Trunk Port is that once a port is designated as a Trunk Port, it will forward and receive tagged frames."

Т.е. предимно служи за канал на маркирани пакети (пакети от определени vlan-и)

повече

[toti84]

О.К.
прикачил съм настройкте на vlan-te и trunk-te ако може да ги погледнете, аз просто не мога да се оправя.

[luda_glawa]

Малко ми е трудно да се ориентирам по тези картинки. Съвета ми е да влезеш през конзола (telnet, ssh, RS-232) в switch-a и да погледнеш командите там. В повечето случаи даже е по-разбираемо. Да не говорим, че понякога можеш да достъпиш и по-дълбоките настройки, които (в зависимост от идеята на производителя) не винаги са налични в уеб-а. Но си намери документацията към машината. Принципно на рутера трябва да създадеш виртуални интерфейси, прикачени към физическия порт, за да можеш да комуникираш в дадения vlan.

[hyankov]

Някой май пита, а пък не чете какви му се отговаря... След като на рутера не си направил никакви настройки за VLAN-и - нормално всякаккъв трафик от рутера към твойта мрежа влиза в "комутатора" (К) нетагнат. Ако порта, на който е закачен "маршрутизатора" (М), е trunk (а той май трябва да е) то имаш главно две политики за обработка на нетагнат трафик - drop или assign default vid (pvid)... (знам, че има и по-умни устройства, които правят и други работи).

За да си подкараш нещата - uplink порта трябва да участва в двата VLAN-а (11, 1) и да е trunk. Това автоматично означава, че от този порт излиза .1q тагнат трафик, тоест 'М' ти ще трябва да може да го  развърже. Трябва ти по един интерфейс за всеки VLAN (примерно eth1.1, eth1.11) с IP-та от съответните мрежи. Оттам нататък е въпрос на routing & firewalling - успех

От гледна точка на теория мога да ти помогна до ниво datalink, което впрочем luda_glawa вече е направил. Отдели малко време да се запознаеш малко с материята (802.1q switching), пък ние, разбира се, ще помагаме, доколкото ни увират главите

Поздрави,
Ицо

[toxigen]

Малко ми е трудно да се ориентирам по тези картинки. Съвета ми е да влезеш през конзола (telnet, ssh, RS-232) в switch-a и да погледнеш командите там.

Baseline серията на 3Com нямат конфигурация през конзола, само web базирана е. Има серийна конзола, но тя е колкото да си видиш IP адреса на комутатора.

[toti84]

Здравейте,
Мисля вече, почти съм сигурен, че прблема не е в настройката на суитча, а в рутирането на рутера закачен за порт 1 на суитча, защото:

На рутера направих два vlana - eth1.1 eth1.11, наред с интерфейса eth1

Код

GeSHi (Bash):
[root@router1 ~]# ifconfig 
eth1      Link encap:Ethernet  HWaddr 00:E0:4C:23:41:3D  
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fe23:413d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6110 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3217 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:909487 (888.1 KiB)  TX bytes:380754 (371.8 KiB)
          Interrupt:17 Base address:0x4c00 
 
eth1.1    Link encap:Ethernet  HWaddr 00:E0:4C:23:41:3D  
          inet addr:192.168.2.6  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fe23:413d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:627 (627.0 b)  TX bytes:3945 (3.8 KiB)
 
eth1.11   Link encap:Ethernet  HWaddr 00:E0:4C:23:41:3D  
          inet addr:192.168.2.7  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:fe23:413d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19 errors:0 dropped:3 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:2218 (2.1 KiB)
 
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:337 errors:0 dropped:0 overruns:0 frame:0
          TX packets:337 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:38486 (37.5 KiB)  TX bytes:38486 (37.5 KiB)
 

Код

GeSHi (Bash):
[root@router1 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1.1
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1.11
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1007   0        0 eth1.1
169.254.0.0     0.0.0.0         255.255.0.0     U     1008   0        0 eth1.11
0.0.0.0         192.168.2.111   0.0.0.0         UG    0      0        0 eth1
 

Закачам едно PC с ИП - 192.168.2.200 на порт 4 (vlan1 на суитча) слагам и рутера на порт 5 (vlan1 на суитча) и пробите показват следното:
От 192.168.2.200 --> 192.168.2.6 има пинг
НО от 192.168.2.6 --> 192.168.2.200 ( ping -I eth1.1 192.168.2.200 ) няма

Премествам рутера в порт 1 (uplink,trunk) и изпълнявам следното на рутера:

Код

GeSHi (Bash):
route add -net 192.168.2.0 netmask 255.255.255.0 dev eth1.1

Код

GeSHi (Bash):
[root@router1 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1.1
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1.1
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1.11
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1007   0        0 eth1.1
169.254.0.0     0.0.0.0         255.255.0.0     U     1008   0        0 eth1.11
0.0.0.0         192.168.2.111   0.0.0.0         UG    0      0        0 eth1
 

независимо че вече имам два еднакви реда в рут таблицата  vlan1 като цяло работи.

ако пък изпълня

Код

GeSHi (Bash):
route add -net 192.168.2.0 netmask 255.255.255.0 dev eth1.11

работи само vlan 2 като цялно.

т.е. работи само този vlan който е на пръво място в рут таблицата на рутера
дали проблема не в това че и трите интерфейса са в една мрежа 192.168.2.0/24 или е някъде другаде

ако е нужна още информация пишете, моля...

[luda_glawa]

Първо ... като цяло това, което си направил е ... грешно.

Второ - отговори си на следните въпроси:

1. Какво представляват мрежовия адрес, мрежовата маска и броудкаст адреса?
2. Какво е vlan?
3. Какво представлява маршрутизатора (рутера)?
4. Какво представлява маршрутизационната таблица (routing table)?


И да ... прав си. Проблема ти е в настройките на рутера.

Не искам да ти дам отговора наготово, защото виждам, че ти липсва основата и ако искаш да разбереш наистина нещата, а не да наизустиш някакво решение, ще трябва да си отговориш на горните въпроси.

P.S. Не се заяждам

[toti84]

В никакъв случай не съм помослил че се заяждам, дори ти благодаря за одтеленото време.
Въпросите горе са ми напълно ясни, но ми се щеше да не правия допълнитени настройки (смяна на мрежи, гейтове, защитна стена и т.н.) но очевидно няма как да стане иначе.
Опитната постановка работи идеално с две различни мрежи на eth1.1 и eth1.11 , дори порт 1 да не е trunk-ат.

Благодаря на всички писали по темата...

[luda_glawa]

Да. Vlan-ите трябва да са от различни мрежи. А защо работи, ще трябва някой с повече дар слово да обясни Има варианти в които не бе работила Радвам се, че всичко е както трябва.

[hyankov]

Първо - радвам се, че постановката е заробитла. Според мен работи и без да е trunk по следния начин - в рутера ти влиза нетагнат трафик, тоест се обработва от eth1 (а не от VLAN добавките му). В обратна посока обаче изкарва трафика през съответните интерфейси, работещи с .1q (понеже имаш routing entries). Тоест в обратна посока пускаш тагнат трафик и затова комутаторът развързва правилно трафика

Не знам дали разбра, ако все още имаш интерес пиши

Поздрави,
Ицо