Как настроить vlan?

Question

[pff_fail]

Добрый день, так как опыта в построении сетей не много, возник вопрос.

Возможно ли с помощью vlan реализовать вот такую схему подключения:

ПК пользователей - обычный свитч - управляемый свитч - роутер - интернет

на роутере настроил два vlan с тегами 200 и 300
теперь осталось понять как настроить порты на управляемом свитче, какие должны быть tagget, а какие untagged?

PS: если такое возможно то нужно использовать всего два порта на управляемом свитче, то есть одни в обычный свитч, второй в роутер.

Answer 1

[cssman]

Возможно ли с помощью vlan реализовать вот такую схему подключения:

ПК пользователей - обычный свитч - управляемый свитч - роутер - интернет

можно.

xguru

не ленитесь, почитайте

Comments

[pff_fail]

да уже читал, я не очень понимаю как используя всего два порта разделить трафик

VLAN 200 - статичное количество ПК, то есть все маки известны
VLAN 300 - постоянно изменяется, по сути общедоступная сеть.

В свичте можно сделать список mac и привязать их к VLAN200, как быть с теми у кого mac не известен? Как свитч поймет что его нужно завести именно в VLAN300?

[pff_fail]

При этом все пользователи VLAN200 и VLAN300 подключены к одному неуправляемому свитчу и имеют разные диапазоны IP адресов.

[pff_fail]

По сути физический их разделить нельзя, только на уровне работы сети

[cssman]

что-то вы не разобрались. в коммутаторе доступа(в который будете втыкать пользователей) назначьте на необходимые интерфейсы разные vlana(либо оба сразу, если нужно), коммутируете машины в их интерфейсы. далее у вас идёт управляемый считч, в него у вас 1+ каналов с коммутатора(ов), их делаете trunk, либо access(в зависимости от задачи), на роутере с какой целью поднимаете vlan? не избыточно ли? если нет, то также как и в случае с управляемым свитчом

[pff_fail]

cssman: первый свитч не управляемый, по сути там все пользователи в кучу, идея была разбирать их по полочкам на L2 свитче и отправлять в нужный vlan на роутере

[pff_fail]

cssman: просто если назначать статический порт для статического vlan получается я их физический разделил между vlan-ами

[cssman]

У Вас там хаб или свитч? неуправлямый свитч может разграничить по vlan на L2(без L3, да!) дальше то роутер уже должен на L3 отработать, зачем ему vlan? можно конечно ограничивать в trunk vlan:

switchport trunk allowed vlan 1-2

А Вам что нужно от VLAN вообще? Какой то поток сознания сплошной :)

[pff_fail]

cssman: постараюсь подробней описать =), есть сеть одна большая, все пользователи в кучу подключены к одним и тем же хабам но с разными IP, я хочу чтобы не переделывать сеть (не менять хабы/сивитчи/роутеры), между сервером(роутером) и общим хабом поставить L2 свитч и на нем разделить пользователей по vlan дабы ограничить широковещательны.

[cssman]

с этого и нужно было начинать. если port security нету - то никак, нужно фильтровать по MAC.
У вас там хабы всё таки или свитч? если хабы то - только ACL по MAC и это архитектурно плохо нужно переделывать, если свитчи - то на первом разграничивайте и не мучайтесь.

[pff_fail]

cssman: хабы везде, port security есть

[cssman]

pff_fail: тогда я полностью ответил на ваш вопрос

[pff_fail]

cssman: да, спасибо!

[pff_fail]

cssman: не подскажите? настроил port security, он пропускает только MAC которые есть в списке, как завести mac не из списка в VLAN300?

Answer 2

[Дмитрий Шицков]

Схему бы нарисовали, как нам угадать, можно или нет.
Если вы не хотите менять старое оборудование на доступе, замените неуправляемый свитч на уровне дистрибьюции на управляемый и раскиньте компы по VLAN на основе порта подключения, а в тех случаях, где не подходит разброс по порту - на основе ACL, по MAC компа.