Как раздать ip и шлюз по dhcp куче vlan из единого адресного пула?

Question

[heuhene]

Ну собственно есть куча вланов 2,3,4 итд. необходимо устройствам из этих вланов раздать айпишники из единого пула и рабочий шлюз. l2 связи между вланами быть не должно.

Answer 1

[Archangel]

Никак. Это в принципе не будет работать без L2 связности.
А какая задача стоит? И в чем проблема сеть на нормальные сегменты нарезать?

P.S. Похоже вам все таки нужны не VLAN-ы, а L2 port isolation. Реализация зависит от конкретного устройства.

Comments

[heuhene]

Вланы уже есть, несколько десятков, есть устройства которые должны при подключении в любой из вланов должны по dhcp получить айпи адрес из подсети 10.221.22.0/20, берем железку типа микротик и поднимаем кучу dhcp серверов назначая их на интерфесы вланов с айпишниками влан2 10.221.22.2, влан 3 10.221.2.3 итд, и они получают, и тут закрадывается печаль с выдачей щлюза

[Archangel]

@heuhene При такой архитектуре, вам в каждом VLAN-е нужно шлюзом по умолчанию присылать IP интерфейса этого VLAN-а. Т.е. в VLAN2 в качестве gw нужно отдавать 10.221.22.2. Даже если вы найдете способ отдать всем устройствам один и тот же шлюз по-умолчанию, маршрутизатор со своей стороны отфутболит пакеты на этот адрес на всех интерфейсах кроме того, у которого этот адрес назначен, а назначить его всем сабинтерфейсам нельзя.
НО!
Работать это будет только в том случаи, подсети в VLAN-ах не будут пересекаться. Иначе у маршрутизатора будет пачка connected маршрутов в одну и ту же сеть, что-то типа такого:
10.221.16.0/20 через 10.221.22.2 gi0/0.2
10.221.16.0/20 через 10.221.22.3 gi0/0.3
10.221.16.0/20 через 10.221.22.4 gi0/0.4

Не знаю как микротик, но многие так сделать просто не дадут, т.к. устройство не будет понимать в какой VLAN слать пакеты.

Итого, если сохранение VLAN-ов - принципиальная позиция, то надо сеть 10.221.16.0/20 разбить на подсети, например:
10.221.16.0/25
10.221.16.128/25
10.221.17.0/25 и т.д.
или на куски разной мощности:
10.221.16.0/21
10.221.24.0/25
10.221.24.128/26
10.221.24.192/27
10.221.24.224/28
10.221.24.240/28
10.221.25.0/24
и т.д. принцип думаю понятен.
Вариантов по кромсать сеть море. Об этом написаны тысячи статей.
И на каждый сабинтерфейс маршрутизатора прибить IP из разных подсетей.
Например:
gi0/0.2 - 10.221.22.1/25 - соответственно и пул и gw.
gi0/0.3 - 10.221.22.129/25 - соответственно и пул и gw.

Только в таком случаи будет работать маршрутизация. Правда если у вас ваш микротик - не единственное маршрутизирующее устройство в сети, то придется либо динамическую маршрутизацию поднимать, либо знатно подолбаться.

Второй вариант - это изоляция портов. Ее сейчас любой приличный коммутатор поддерживает. Делается гораздо проще, не надо париться с кучей DHCP, кучей подсетей и таблицами маршрутизации в целый экран. Этот механизм блокирует прямую L2 связность между портами коммутаторов. Есть конечно ряд ограничений и различий в реализациях, но вам, с вероятностью 99% подойдет любой.

Ну и третий вариант - если у вас коммутатор поддерживает ACL на портах, то резать трафик просто на входе в среду коммутации. Как и в варианте два не нужны ни VLAN-ы, ни куча DHCP-серверов ни длинные таблицы маршрутизации. Правда тут появляются пачки ACL-ов.

[heuhene]

вланы увы сохранить придется, там пппое юзеры, забыл сразу отметить, что для каждого устройства(это stb), предопределены мак и ip.
вообщем спасибо, но пофиг попробую пилить dhcp сервер шоб выдавал шлюз в зависимости от клиентского влана

Answer 2

[vetash]

Я так понимаю необходимо было сохранить возможность передавать трафик между подсетями?