Форум Тринити

Открытый технический форум по серверам и системам хранения данных, кластерным решениям, SAN, NAS.
Microsemi infortrend storage
Текущее время: 19 дек 2018, 09:02

Часовой пояс: UTC + 3 часа [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 43 ]  На страницу 1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: 17 июн 2005, 11:03 
Не в сети
Advanced member

Зарегистрирован: 27 июл 2004, 14:22
Сообщения: 99
Откуда: Minsk By
Имеется:
- Cервер на WinServer2003 - AD/DHCP/DNS/ISAServer
- Cвитч 4226T
- Три независимые локальные сети
Требуется:
Обеспечить доступ всем трём сетям к серверу через один сетевой порт, и при этом сохранить их независимость друг от друга. То есть маршрутизация между сетями НЕ НУЖНА.
Понятно, что самый простой способ - три сетевых карты в сервер, однако вроде бы это можно сделать настройкой свитча.
Как управлять свитчом и как объединять порты в Vlan'ы я разобрался по мануалу, - создал Vlan'ы, но к серверу сейчас имеет доступ только та сеть, в Vlan которой он включён.
Мануал достаточно скуп, и возникли вопросы, требующие пояснений. Объясните, пожалуйста и не пинайте за ламерские вопросы  :?  :
1. В чём разница между "tagged" и "untagged" портами?
2. Для чего используются "aggregeted links"? - Я смутно подозреваю, что это именно то, что мне нужно... Возможно, ошибаюсь...
Насколько я понимаю, нужно создать ЧЕТЫРЕ Vlan'ы, - в одну из них будет входить ТОЛЬКО СЕРВЕР. А уже затем как-то разревить общение этой Vlan с тремя другими...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 17 июн 2005, 12:21 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 14 мар 2005, 18:40
Сообщения: 257
Cвитч 4226T коммутатор 2-го уровня, следовательно для твоей задачи нужен девайс 3-го уровня, хоть сервер, если он поддерживает VLAN 802.1Q, в случае использования 1-го порта.
Для этого и используются tagged порты, когда во frame содержится информация о VLAN.
Аggregated links - не твой случай, это объединение нескольких физических link в один для скорости, надёжности и тп.
PS: посмотри как в данной конфигурации будут работать сервисы, использующие широковещательные пакеты DHCP for ex.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 20 июн 2005, 17:27 
Не в сети
Advanced member

Зарегистрирован: 27 июл 2004, 14:22
Сообщения: 99
Откуда: Minsk By
krasnov писал(а):
...хоть сервер, если он поддерживает VLAN 802.1Q, в случае использования 1-го порта.
На сервере Intel Pro/1000MT - gоддерживает 802.1Q
При чём тут "использование 1-го порта"? К нему должен быть подключён сервер?
krasnov писал(а):
Для этого и используются tagged порты, когда во frame содержится информация о VLAN.
А где об этом "использовании" можно узнать подробнее? КАК мне настраивать свитч, чтобы сервер видел все VLAN"ы? Просто объявить все порты как "tagged"?
Нужно ли чего подкручивать в софте - IntelProSET?
krasnov писал(а):
Аggregated links - не твой случай, это объединение нескольких физических link в один для скорости, надёжности и тп.
По дефолту ВСЕМ портам свитча назначены все четыре aggregated links - AL1, AL2, AL3, AL4. Это нормально?
Чтобы объединить несколько линков, нужно соответствующие порты включить в отдельный AL, а остальных из него выкинуть?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 20 июн 2005, 19:08 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 14 мар 2005, 18:40
Сообщения: 257
При чём тут "использование 1-го порта"? К нему должен быть подключён сервер? - один сетевой адаптер в сервере - один "tagged" порт на свиче,  три сетевых адаптера в сервере - три "untagged" порта на свиче.

А где об этом "использовании" можно узнать подробнее? - коротко в документации на свитч SuperStack® 3 Switch 4200 Series Implementation Guide подробней и дальше по www.opennet.ru и тп

Просто объявить все порты как "tagged"? - нет, только порт, к которому подключен сервер.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 21 июн 2005, 13:14 
Не в сети
Advanced member

Зарегистрирован: 27 июл 2004, 14:22
Сообщения: 99
Откуда: Minsk By
krasnov писал(а):
...один сетевой адаптер в сервере - один "tagged" порт на свиче, ...
Сетевой адаптер один, но DualPort, со свитчом связан обоими портами, в IntelProSet они объединены в одно сетевое соединение. Следовательно, оба порта должны быть "tagged"? Или сначала их мне всё-таки нужно объединить в "aggregated link"?
krasnov писал(а):
подробней и дальше по www.opennet.ru и тп
Кое-чего почитал, поэкспериментировал... - ничего не получилось  :(
krasnov писал(а):
Просто объявить все порты как "tagged"? - нет, только порт, к которому подключен сервер.
Так я и делал. Как я понял, порт сервера должен быть tagged и присутствовать во всех Vlan'ах. Сервер подключен к портам 25,26. На свитче ситуация такая:
Код:
Menu options: --------------3Com SuperStack 3 Switch 4200---------
Select menu option (bridge/vlan): summary
Select VLAN ID (1-2,all)[all] : all

VLAN ID   Name
------------------------------------------
1         Default VLAN
2         BUH

Select menu option (bridge/vlan): detail 1

VLAN ID: 1      Name: Default VLAN
Unit              Untagged Member Ports      Tagged Member Ports
------------------------------------------------------------------------
1                 5-26                       none
Aggregated Links  AL1-AL4                    none

Select menu option (bridge/vlan): detail 2

VLAN ID: 2      Name: BUH
Unit              Untagged Member Ports      Tagged Member Ports
------------------------------------------------------------------------
1                 1-4                        none
Aggregated Links  none                       none
Стоит мне переместить порты 25,26 в 1-м VLAN из untagged в tagged, как эта сеть ТЕРЯЕТ связь с сервером. Прекращается раздача почты/интернета, не видны никакие ресурсы на сервере, не работает управление свитчом через Web-интерфейс. Примечательно, что телнет при этом продолжает работать, и я через сервер по-прежнему могу управлять свитчом. Чем это вызвано и как с этим бороться? Попробовал объединить порты 25,26 их в AL1 и затем сделать его tagged-member'ом - тоже не помогает. :(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 21 июн 2005, 17:57 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 14 мар 2005, 18:40
Сообщения: 257
Извини, не знал что у тебя DualPort на сервере.
Тогда последовательность другая:
1. Вначале создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
2. Настраиваем Vlan-ы на сервере (Proset) - ID должны совпадать со свичём - и прописываем IP соответствующих подсетей.
3. На свиче AL tagged с теми-же VlanID.
Глюки, которые сопровождают процесс.
1. Работа IntelProSet рвёт соединения.
2. свитч с open 802.1Q - читай
3.Vlan-ы режут broadcast - DHCP и др. не везде работает.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 21 июн 2005, 21:20 
Не в сети
Advanced member

Зарегистрирован: 27 июл 2004, 14:22
Сообщения: 99
Откуда: Minsk By
krasnov писал(а):
... создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
В этом и было дело... На сервере тип был другой, поэтому вчера и не завелось. TeamMode был "Adaptive Load Balancing". Изменил на "Static Link Aggregation" и всё затикало. :)
СПАСИБО! :)
P.S. При проверке конфигурации свитча - средствами ProSet - получаю сообщение "The VLAN configuration on the switch can not be checked in link aggregation mode." А значит AL - это не всегда хорошо.
P.P.S. DHCP заработал после выключения на свитче "IGMP Multicast Filtering"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 03 май 2007, 12:46 
Не в сети
Advanced member
Аватара пользователя

Зарегистрирован: 25 мар 2005, 20:31
Сообщения: 145
Откуда: Комсомольск-на-Амуре
krasnov писал(а):
Извини, не знал что у тебя DualPort на сервере.
Тогда последовательность другая:
1. Вначале создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
2. Настраиваем Vlan-ы на сервере (Proset) - ID должны совпадать со свичём - и прописываем IP соответствующих подсетей.
3. На свиче AL tagged с теми-же VlanID.
Глюки, которые сопровождают процесс.
1. Работа IntelProSet рвёт соединения.
2. свитч с open 802.1Q - читай
3.Vlan-ы режут broadcast - DHCP и др. не везде работает.


У меня похожая ситуация. С точностью до наоборот.
Имеется:
Cервер на WinServer2003 - DHCP/DNS/RRAS/FS
2 Cвитча 4226T - Две независимые локальные сети.
Свичи  подключены гигабитным портом к серверу, на котором стоят две гигабитные сетевушки, поднята маршрутизация. Т.е. из одной сети в другую попасть можно :)
Встала задача подключить к общей сети бухгалтеров, объединив их ВЛАНом, чтобы никто их не видел, но необходим доступ к серверу,
т.к. на сервере еще крутится антивирус корпоративный (дрвеб).

Сетевушки - D-Link DGE-550T, Intel(R)Pro/1000 MT.

Как тут настроить? Чтобы у всех, кто не в ВЛАН, был виден и доступен сервер, но не видены бухи, а бухи никого не видели, кроме сервера и себя? А то я тут подзапутался.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 03 май 2007, 14:36 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 14 мар 2005, 18:40
Сообщения: 257
Запутываться не надо;)
Бухов в VLAN и отдельную подсеть.
Доступ по ACL (фильтрам)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 03 май 2007, 16:11 
Не в сети
Advanced member
Аватара пользователя

Зарегистрирован: 25 мар 2005, 20:31
Сообщения: 145
Откуда: Комсомольск-на-Амуре
krasnov писал(а):
Запутываться не надо;)
Бухов в VLAN и отдельную подсеть.
Доступ по ACL (фильтрам)


Э-э-э. Влан и есть отдельная подсеть.
Поподробнее можно?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 03 май 2007, 16:44 
Не в сети
Сотрудник Тринити
Сотрудник Тринити
Аватара пользователя

Зарегистрирован: 14 мар 2005, 18:40
Сообщения: 257
Подробней сложно
Роутит у тебя W2003?
Вот он и должен "фильтровать" по IP, портам кому куда можно и куда нельзя.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 03 май 2007, 19:51 
Не в сети
Заслуженный сетевик

Зарегистрирован: 04 янв 2004, 00:30
Сообщения: 1108
Откуда: Н.Новгород
Цитата:
Свичи  подключены гигабитным портом к серверу, на котором стоят две гигабитные сетевушки, поднята маршрутизация. Т.е. из одной сети в другую попасть можно


Прокоментируйте выше сказанное.


Я так понимаю, что на каждой сетевухе своя подсеть, между карточками маршрутизация не разрешена (значение по умолчанию), свичи между собой не связаны.

Тогда как понимать ваше утверждение:
Цитата:
из одной сети в другую попасть можно
?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 29 сен 2007, 05:30 
Не в сети
Advanced member
Аватара пользователя

Зарегистрирован: 25 мар 2005, 20:31
Сообщения: 145
Откуда: Комсомольск-на-Амуре
and3008 писал(а):
Цитата:
Свичи  подключены гигабитным портом к серверу, на котором стоят две гигабитные сетевушки, поднята маршрутизация. Т.е. из одной сети в другую попасть можно


Прокоментируйте выше сказанное.

Я так понимаю, что на каждой сетевухе своя подсеть, между карточками маршрутизация не разрешена (значение по умолчанию), свичи между собой не связаны.

Тогда как понимать ваше утверждение:
Цитата:
из одной сети в другую попасть можно
?


Пожалуйста. 2 подсети подключены гигабитнымы портами свичей на 2 сетевушки на сервере, каждый порт в свою. На сервере поднята маршрутизация, DNS. Поэтому если набрать имя компа, находясь в другой подсети, попасть на него можно. Также проходит пинг между подсетями.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 29 сен 2007, 05:46 
Не в сети
Advanced member
Аватара пользователя

Зарегистрирован: 25 мар 2005, 20:31
Сообщения: 145
Откуда: Комсомольск-на-Амуре
Т.о. получается, что я должен на одном из свичей создать VLAN2 для бухов. На сервере, на той сетевушке, куда подключен свич с VLAN2 надо настроить фильтр входа-выхода типа:

Фильтр входа:
подсеть бухов->подсеть сервера.
(отбрасывать все пакеты, кроме указанных)

Фильтр выхода:
подсеть сервера->подсеть бухов.
(перенаправлять все пакеты, кроме указанных)

тогда возник вопрос.
А куда тогда деть SERVER? в отдельный VLAN?
или не заморачиваться на VLAN и сделать все на фильтрах?
Бухам тоже нужен корпоративный антивирус, а если все пакеты
выкидывать, то и антивирь пахать не будет.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: 29 сен 2007, 10:31 
Не в сети
Заслуженный сетевик

Зарегистрирован: 04 янв 2004, 00:30
Сообщения: 1108
Откуда: Н.Новгород
Все просто.
Схема сети:

Свитч1 --- Сервер --- Свитч2

Сервер является маршрутизатором между сетью 1 и сетью 2.

Допустим надо создать сеть 3 на свитче2.

Все просто. На свитче2 создаем VLAN2. На сервере, на сетевой карте, которая глядит в Свитч2 настраиваем сетевуху в режим VLAN-tagged.
На порту свитча2 тоже самое.
На сервере появляется еще два сетевых интерфейса. Один смотрит в VLAN1, второй в VLAN2. Настраиваете IP-адреса и фильтрацию.

В сетевом окружении компы бухов все же наверно будет видно. Но при правильно настроенной фильтрации обратиться к ним будет невозможно.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 43 ]  На страницу 1, 2, 3  След.

Часовой пояс: UTC + 3 часа [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB