roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору goletsa Цитата: Почему нельзя. vlan на порт и друг друга они не увидят.   не дать "увидеть" друг друга не проблема проблема дать им всем интернет. (при классических виланах)   куда добавить порт с интернетом? или какой вилан добавить на порт с интернетом. Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 06:39 04-06-2010

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору roma Цитата: не дать "увидеть" друг друга не проблема   проблема дать им всем интернет.   (при классических виланах)     куда добавить порт с интернетом?   или какой вилан добавить на порт с интернетом. А я не вижу проблемы. Все vlan'ы вывести на Tagged порт который воткнуть в правильный роутер который умеет VLAN'ы. И роутером рулить уже. Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 12:58 04-06-2010

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору goletsa изначально я отвечал на вопрос Цитата: помогите изучить на практике построение VLAN... теорию я прочитал, теперь практика... допустим имеется одно ранговая сеть в центре которой стоит DES3526 и сервер для раздачи интернета...сеть 10.0.0.0.24 допустим в сети 10 машин, нужно разбить их на VLAN, то есть по пять машин... не каждую в VLAN а по пять... для этой задачи достаточно оборудования или еще что то нужно? на сколько хватает моих знаний на порту куда подключено 5 машин нужно поднимать VLAN, поменять IP пяти машинам отличный от других пяти машин... и что дальше, хотя бы на пальцах или где можно почитать в примерах? "правильного роутера" в исходных данных нет. человек может решить задачу с помощью трафик сегментэйшн (она действительно решается без покупки другого оборудования) но хочет с виланами. с обычными виланами (без ассиметрик) с его оборудованием - задача не решается. (конечно интересно чё за сервер - может он тоже тегированый трафик понимает) Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 13:36 04-06-2010

vlh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору roma хорошо, хотя и не понятно тогда можно в вкратце для чего применяют VLan? я так понимаю разграничить сеть, что бы не было доступа из одной сети в другую и т.д. но допустим в 3526 есть такая функция как Трафик Сегментейшен, она как бы то же блокирует доступ с одного порта на другой... это не то же самое? на RO Микротик как бы то же могу заблокировать хождение пакетов между интерфейсами-портами.... так же есть готовые решения например DES-1008VR... приведите какие нибудь примеры где без VLan ни как не получится?   P.S. на сервере стоят интоловские 1G карточки на которых я так понимаю что то можно настроить... Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 15:42 02-07-2010 | Исправлено: vlh, 16:32 02-07-2010

sasku Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Уважаемые спецы, помогите плиз, с проблемой: стоял свич Vector 1908G2De (2 уровня, управляемый). там 2 порта гигабитных и 8 100мб. были настроены вланы: оба гиговые порты соединялись с каждым 100-меговым, 100-меговые друг с другом не соединялись, т.е. 8 вланов. все работало отлично и без проблем.   Щас купили Свич Huawei (Хуавей) L2 S2326TP-SI/EI пытаюсь сделать аналогичную конфигурацию:   vlan 101; создаю влан port Ethernet 1/0/1; добавляю 1 порт vlan 102; создаю 2 влан port Ethernet 1/0/2; добавляю 2 порт   interface GigabitEthernet 1/1/1; настраиваю гиговый порт port link-type hybrid port hybrid vlan 101 untagged; в 1 влан port hybrid vlan 102 untagged; во 2 влан получаю: Код:   display vlan all  VLAN ID: 1  VLAN Type: static  Route Interface: not configured  Description: VLAN 0001  Name: VLAN 0001  Tagged   Ports: none  Untagged Ports:   Ethernet1/0/4            Ethernet1/0/5            Ethernet1/0/6   Ethernet1/0/7            Ethernet1/0/8            Ethernet1/0/9   Ethernet1/0/10           Ethernet1/0/11           Ethernet1/0/12   Ethernet1/0/13           Ethernet1/0/14           Ethernet1/0/15   Ethernet1/0/16           Ethernet1/0/17           Ethernet1/0/18   Ethernet1/0/19           Ethernet1/0/20           Ethernet1/0/21   Ethernet1/0/22           Ethernet1/0/23           Ethernet1/0/24   GigabitEthernet1/2/1    VLAN ID: 101  VLAN Type: static  Route Interface: not configured  Description: VLAN 0101  Name: VLAN 0101  Tagged   Ports: none  Untagged Ports:   Ethernet1/0/1            GigabitEthernet1/1/1    VLAN ID: 102  VLAN Type: static  Route Interface: not configured  Description: VLAN 0102  Name: VLAN 0102  Tagged   Ports: none  Untagged Ports:   Ethernet1/0/2            GigabitEthernet1/1/1 и ничего не работает, нет связи ни одного 100-мегового порта с гиговым, и между 100-меговыми тоже нет. в чем грабли?   display current-configuration: Всего записей: 413 | Зарегистр. 30-05-2002 | Отправлено: 06:16 14-11-2010 | Исправлено: sasku, 06:17 14-11-2010

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sasku Покажите конфиг старого свича, вообще по уму untagged порты это как раз должны быть стомегабитные. А гигабитные как tagged. Плюс на соточные порты надо менять pvid чтобы они добавляли тэг порта. Но без старого конфига непонятно. Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 15:54 14-11-2010

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sasku глянуть бы конфиг Цитата: Vector 1908G2De очень похоже что там ассиметрик вилан.   гибрид же - это не ассиметрик.   vlh я наверно где-то шлялся и пропустил этот вопрос   Цитата: тогда можно в вкратце для чего применяют VLan?     1. первый пункт. Цитата: я так понимаю разграничить сеть, что бы не было   доступа из одной сети в другую и т.д.   вобщем-то верно, но есть тонкости. это разграничение сетей на втором уровне. Цитата: на RO Микротик как бы то же могу заблокировать хождение   пакетов между интерфейсами-портами....   я не знаком с микротик но предполагаю что разграничение там на 3-ем уровне, не? Цитата: но допустим в 3526 есть такая функция как Трафик Сегментейшен,   она как бы то же блокирует доступ с одного порта на другой...   трафиксегментейшн это разработка длинка в то время как виланы в обычном понимании это стандарт 802.1q который поддерживают все производители Цитата: так же есть готовые решения например DES-1008VR...   да такое я тоже в руках держал. если я буду собирать большие сети с десятками виланов мне может не хватить 8ми виланов или не подойдут vid'ы с 1008VR. Цитата: приведите какие нибудь примеры где без VLan ни как не получится?   вопрос и трудный и простой одновременно, но какой-то неконкретный. ответ: у меня на работе без виланов никак не получится   2. второй пункт. экономия интерфейсов маршрутизатора ("правильного роутера") Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 16:15 14-11-2010

sasku Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору goletsa roma это настройки старого свича, надабы аналогичные для нового (24(100 мбит) - каждый связан с двумя 1гбит) Код:   8TX+2G Switch# show vlan port-base   VLAN Configuration:           Members                  1  Management Port    1234567890   Switch    1    --------YY   Disable    2    --------YY   Disable    3    --------YY   Disable    4    --------YY   Disable    5    --------YY   Disable    6    --------YY   Disable    7    --------YY   Disable    8    --------YY   Disable    9    YYYYYYYY-Y   Enable   10    YYYYYYYYY-   Enable   8TX+2G Switch#       объясните мне плиз смысл некоторых вещей: vlan 101; создаю влан  - понятно port Ethernet 1/0/1; добавляю 1 порт - тоже все понятно   interface GigabitEthernet 1/1/1; настраиваю гиговый порт - понятно port link-type hybrid - в доках написано, что hybrid надо, если порт подключен к нескольким вланам и аппаратно до других свичей или компов. мне надо для компа. правильно я сделал ? port hybrid vlan 101 untagged; добавляю порт в влан 101 - правильно ? tagged, untagged - это оставлять/не оставлять  теги на выходе порта ?   Добавлено: Цитата: Плюс на соточные порты надо менять pvid чтобы они добавляли тэг порта.   так мне надо же, чтобы каждый соточный порт был в своем (отдельном) влане, а pvid можно ставить только для hybrid или trunk   портов. или соточные порты тоже должны быть hybrid ? Всего записей: 413 | Зарегистр. 30-05-2002 | Отправлено: 20:08 14-11-2010 | Исправлено: sasku, 20:58 14-11-2010

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sasku OMG. Port-based vlan. Забудьте о нем, он же абсолютно неконфигуряем нормально. Имхо достаточно будет включить port-isolation\private-vlan (терминология разная бывает) и указать аплинком гиговые порты. Что у вас торчит из гиговых портов кстати? И не могли бы вы pdf'ку с мануалом от нового свича выложить?     Добавлено: contrafack Цитата: На сколько он безопасен, и правда, что его ломать не варинат? а обходить очень трудно а иногда даже невозможно?   как настроишь так и будет ломается все, особенно кувалдой а вообще если тебе надо заизолировать разные группы клиентов в рамках одного свича или если к этому добавить что у тебя одна из  групп расположена на разных свичах то вполне можно так сделать. Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 21:28 14-11-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: На сколько он безопасен, и правда, что его ломать не варинат?   Один из знаменитых вопросов от contrafack? Часом VLAN с VPN не путаешь?   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 21:51 14-11-2010 | Исправлено: vlary, 21:53 14-11-2010

contrafack Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору goletsa   насчет кувалды не все ломается )) иногда слово сильнее чем кувалда. Но оставим шутка в сторону.   Пример:   Есть один свич, в котором установлен 2 VLAN. один для пользователей, а второй для клиентов (ну скажем стоит wi-fi и через VLAN подключен к корп.шлюзу интернет). И вот Вася сидит с ноутом и доволен. Он видит только ползователей WI-FI или клиентов , кто в втором VLAN. А вот у меня вопрос в том, что место Васи если был человек соображащий куда больше - сможет зайти первый VLAN ? т.е. ломать/обходить изоляцию ?     vlary   Ничего не путаю. очень хорошо отличаю VPN от VLAN. А еще знаю WLAN так что я не стою на месте ))))))   Пример написал, можете читать тоже.   Всего записей: 3329 | Зарегистр. 21-04-2008 | Отправлено: 22:15 14-11-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack Два VLANа в свиче можно с некоторой натяжкой рассматривать как два отдельных свича, посему при грамотной настройке всего остального даже соображающий человек в другой VLAN не проберется. ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 22:32 14-11-2010

contrafack Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary   Цитата: Два VLANа в свиче можно с некоторой натяжкой рассматривать как два отдельных свича ну и что? с одного свича попасть в другую - можно. если конечно между ними есть физическая линия. Даже если разные подсети, все же можно попасть банально сменив IP адреса (по моему есть еще другие методы, просто я не знаю) Цитата: при грамотной настройке всего остального даже соображающий человек в другой VLAN не проберется.   Вот это и хотел узнать.   получается, что не реально перешагнуть VLAN ?   кто подписывается под этим?   Всего записей: 3329 | Зарегистр. 21-04-2008 | Отправлено: 00:06 15-11-2010

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack Цитата: Вот это и хотел узнать.   получается, что не реально перешагнуть VLAN ?    кто подписывается под этим?   Не подписываюсь. Знаю минимум три способа обхода при неполной настройке и параноидальности. Причем два из них не совсем очевидны     Добавлено: Цитата: ну и что? с одного свича попасть в другую - можно. если конечно между ними есть физическая линия.   При правильной настройке у вас связи между vlan'ами нету никакой, как если бы вы между двумя свичами оборвали пачкорд, каждый сидит в своем. И все это в рамках одного устройства. Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 04:22 15-11-2010

roma skydiver Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору goletsa а можно пример неполной настройки? Всего записей: 2908 | Зарегистр. 10-09-2001 | Отправлено: 06:07 15-11-2010

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack Цитата: с одного свича попасть в другую - можно. если конечно между ними есть физическая линия. Вот именно, если есть. В случае двух виланов, если нигде не существует шлюз, общий для этих виланов, можно считать, что физической линии нет.     ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 10:59 15-11-2010

contrafack Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору так, так, ребята ! че то запутались че-то !     если читать пост goletsa, то это реально, а остальные - не реально. давайте придем к одному компромиссу ! хочетЦЦа знать всю правду.     P.S. На самом деле банальном сметы IP адресов в НЕуправляемых свичах можно попасть в другой подсеть, если есть между ними физическая линия.   А при VLAN думаю это не прокатит и соглашусь с Цитата: потому что коммутатор не заглядывая в кадр просто не отправит его в порт если его тэг не соответствует вилану порта просто я с VLAN(и еще много чем то) знаком только заочно, т.е. теорию, а пробовать в реале - негде. Всего записей: 3329 | Зарегистр. 21-04-2008 | Отправлено: 12:33 15-11-2010

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack VLAN это просто метка в пакете, комутатор в зависимости от настроек может принять пакет без изменений, перемаркировать или вообще отбросить. Умолчальная политика большинства свичей - без тэга маркировать нативным, остальные пропускать. Т.е. если не зафильтровать то можно тэгироваными пакетами достучаться до других вланов, включая управление.     Добавлено: Цитата: а можно пример неполной настройки? Куски конфига: неполная полная   Разница небольшая но в первом случае я могу например добраться до VLAN'а управления из пользовательского порта. Это такой упрощенный пример без извратных настроек фильтрации. Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 14:35 15-11-2010 | Исправлено: goletsa, 14:50 15-11-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » VLAN

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование