Три Vlan'а к одному серверу через один 4226T 3С17300
Модераторы: Trinity admin`s, Free-lance moderator`s
-
- Advanced member
- Сообщения: 99
- Зарегистрирован: 27 июл 2004, 14:22
- Откуда: Minsk By
- Контактная информация:
Три Vlan'а к одному серверу через один 4226T 3С17300
Имеется:
- Cервер на WinServer2003 - AD/DHCP/DNS/ISAServer
- Cвитч 4226T
- Три независимые локальные сети
Требуется:
Обеспечить доступ всем трём сетям к серверу через один сетевой порт, и при этом сохранить их независимость друг от друга. То есть маршрутизация между сетями НЕ НУЖНА.
Понятно, что самый простой способ - три сетевых карты в сервер, однако вроде бы это можно сделать настройкой свитча.
Как управлять свитчом и как объединять порты в Vlan'ы я разобрался по мануалу, - создал Vlan'ы, но к серверу сейчас имеет доступ только та сеть, в Vlan которой он включён.
Мануал достаточно скуп, и возникли вопросы, требующие пояснений. Объясните, пожалуйста и не пинайте за ламерские вопросы :? :
1. В чём разница между "tagged" и "untagged" портами?
2. Для чего используются "aggregeted links"? - Я смутно подозреваю, что это именно то, что мне нужно... Возможно, ошибаюсь...
Насколько я понимаю, нужно создать ЧЕТЫРЕ Vlan'ы, - в одну из них будет входить ТОЛЬКО СЕРВЕР. А уже затем как-то разревить общение этой Vlan с тремя другими...
- Cервер на WinServer2003 - AD/DHCP/DNS/ISAServer
- Cвитч 4226T
- Три независимые локальные сети
Требуется:
Обеспечить доступ всем трём сетям к серверу через один сетевой порт, и при этом сохранить их независимость друг от друга. То есть маршрутизация между сетями НЕ НУЖНА.
Понятно, что самый простой способ - три сетевых карты в сервер, однако вроде бы это можно сделать настройкой свитча.
Как управлять свитчом и как объединять порты в Vlan'ы я разобрался по мануалу, - создал Vlan'ы, но к серверу сейчас имеет доступ только та сеть, в Vlan которой он включён.
Мануал достаточно скуп, и возникли вопросы, требующие пояснений. Объясните, пожалуйста и не пинайте за ламерские вопросы :? :
1. В чём разница между "tagged" и "untagged" портами?
2. Для чего используются "aggregeted links"? - Я смутно подозреваю, что это именно то, что мне нужно... Возможно, ошибаюсь...
Насколько я понимаю, нужно создать ЧЕТЫРЕ Vlan'ы, - в одну из них будет входить ТОЛЬКО СЕРВЕР. А уже затем как-то разревить общение этой Vlan с тремя другими...
Cвитч 4226T коммутатор 2-го уровня, следовательно для твоей задачи нужен девайс 3-го уровня, хоть сервер, если он поддерживает VLAN 802.1Q, в случае использования 1-го порта.
Для этого и используются tagged порты, когда во frame содержится информация о VLAN.
Аggregated links - не твой случай, это объединение нескольких физических link в один для скорости, надёжности и тп.
PS: посмотри как в данной конфигурации будут работать сервисы, использующие широковещательные пакеты DHCP for ex.
Для этого и используются tagged порты, когда во frame содержится информация о VLAN.
Аggregated links - не твой случай, это объединение нескольких физических link в один для скорости, надёжности и тп.
PS: посмотри как в данной конфигурации будут работать сервисы, использующие широковещательные пакеты DHCP for ex.
-
- Advanced member
- Сообщения: 99
- Зарегистрирован: 27 июл 2004, 14:22
- Откуда: Minsk By
- Контактная информация:
На сервере Intel Pro/1000MT - gоддерживает 802.1Qkrasnov писал(а): ...хоть сервер, если он поддерживает VLAN 802.1Q, в случае использования 1-го порта.
При чём тут "использование 1-го порта"? К нему должен быть подключён сервер?
А где об этом "использовании" можно узнать подробнее? КАК мне настраивать свитч, чтобы сервер видел все VLAN"ы? Просто объявить все порты как "tagged"?krasnov писал(а):Для этого и используются tagged порты, когда во frame содержится информация о VLAN.
Нужно ли чего подкручивать в софте - IntelProSET?
По дефолту ВСЕМ портам свитча назначены все четыре aggregated links - AL1, AL2, AL3, AL4. Это нормально?krasnov писал(а):Аggregated links - не твой случай, это объединение нескольких физических link в один для скорости, надёжности и тп.
Чтобы объединить несколько линков, нужно соответствующие порты включить в отдельный AL, а остальных из него выкинуть?
При чём тут "использование 1-го порта"? К нему должен быть подключён сервер? - один сетевой адаптер в сервере - один "tagged" порт на свиче, три сетевых адаптера в сервере - три "untagged" порта на свиче.
А где об этом "использовании" можно узнать подробнее? - коротко в документации на свитч SuperStack® 3 Switch 4200 Series Implementation Guide подробней и дальше по www.opennet.ru и тп
Просто объявить все порты как "tagged"? - нет, только порт, к которому подключен сервер.
А где об этом "использовании" можно узнать подробнее? - коротко в документации на свитч SuperStack® 3 Switch 4200 Series Implementation Guide подробней и дальше по www.opennet.ru и тп
Просто объявить все порты как "tagged"? - нет, только порт, к которому подключен сервер.
-
- Advanced member
- Сообщения: 99
- Зарегистрирован: 27 июл 2004, 14:22
- Откуда: Minsk By
- Контактная информация:
Сетевой адаптер один, но DualPort, со свитчом связан обоими портами, в IntelProSet они объединены в одно сетевое соединение. Следовательно, оба порта должны быть "tagged"? Или сначала их мне всё-таки нужно объединить в "aggregated link"?krasnov писал(а):...один сетевой адаптер в сервере - один "tagged" порт на свиче, ...
Кое-чего почитал, поэкспериментировал... - ничего не получилось :(krasnov писал(а): подробней и дальше по www.opennet.ru и тп
Так я и делал. Как я понял, порт сервера должен быть tagged и присутствовать во всех Vlan'ах. Сервер подключен к портам 25,26. На свитче ситуация такая:krasnov писал(а):Просто объявить все порты как "tagged"? - нет, только порт, к которому подключен сервер.
Код: Выделить всё
Menu options: --------------3Com SuperStack 3 Switch 4200---------
Select menu option (bridge/vlan): summary
Select VLAN ID (1-2,all)[all] : all
VLAN ID Name
------------------------------------------
1 Default VLAN
2 BUH
Select menu option (bridge/vlan): detail 1
VLAN ID: 1 Name: Default VLAN
Unit Untagged Member Ports Tagged Member Ports
------------------------------------------------------------------------
1 5-26 none
Aggregated Links AL1-AL4 none
Select menu option (bridge/vlan): detail 2
VLAN ID: 2 Name: BUH
Unit Untagged Member Ports Tagged Member Ports
------------------------------------------------------------------------
1 1-4 none
Aggregated Links none none
Извини, не знал что у тебя DualPort на сервере.
Тогда последовательность другая:
1. Вначале создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
2. Настраиваем Vlan-ы на сервере (Proset) - ID должны совпадать со свичём - и прописываем IP соответствующих подсетей.
3. На свиче AL tagged с теми-же VlanID.
Глюки, которые сопровождают процесс.
1. Работа IntelProSet рвёт соединения.
2. свитч с open 802.1Q - читай
3.Vlan-ы режут broadcast - DHCP и др. не везде работает.
Тогда последовательность другая:
1. Вначале создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
2. Настраиваем Vlan-ы на сервере (Proset) - ID должны совпадать со свичём - и прописываем IP соответствующих подсетей.
3. На свиче AL tagged с теми-же VlanID.
Глюки, которые сопровождают процесс.
1. Работа IntelProSet рвёт соединения.
2. свитч с open 802.1Q - читай
3.Vlan-ы режут broadcast - DHCP и др. не везде работает.
-
- Advanced member
- Сообщения: 99
- Зарегистрирован: 27 июл 2004, 14:22
- Откуда: Minsk By
- Контактная информация:
В этом и было дело... На сервере тип был другой, поэтому вчера и не завелось. TeamMode был "Adaptive Load Balancing". Изменил на "Static Link Aggregation" и всё затикало.krasnov писал(а):... создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
СПАСИБО!
P.S. При проверке конфигурации свитча - средствами ProSet - получаю сообщение "The VLAN configuration on the switch can not be checked in link aggregation mode." А значит AL - это не всегда хорошо.
P.P.S. DHCP заработал после выключения на свитче "IGMP Multicast Filtering"
- Timur
- Advanced member
- Сообщения: 145
- Зарегистрирован: 25 мар 2005, 19:31
- Откуда: Комсомольск-на-Амуре
- Контактная информация:
У меня похожая ситуация. С точностью до наоборот.krasnov писал(а):Извини, не знал что у тебя DualPort на сервере.
Тогда последовательность другая:
1. Вначале создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
2. Настраиваем Vlan-ы на сервере (Proset) - ID должны совпадать со свичём - и прописываем IP соответствующих подсетей.
3. На свиче AL tagged с теми-же VlanID.
Глюки, которые сопровождают процесс.
1. Работа IntelProSet рвёт соединения.
2. свитч с open 802.1Q - читай
3.Vlan-ы режут broadcast - DHCP и др. не везде работает.
Имеется:
Cервер на WinServer2003 - DHCP/DNS/RRAS/FS
2 Cвитча 4226T - Две независимые локальные сети.
Свичи подключены гигабитным портом к серверу, на котором стоят две гигабитные сетевушки, поднята маршрутизация. Т.е. из одной сети в другую попасть можно
Встала задача подключить к общей сети бухгалтеров, объединив их ВЛАНом, чтобы никто их не видел, но необходим доступ к серверу,
т.к. на сервере еще крутится антивирус корпоративный (дрвеб).
Сетевушки - D-Link DGE-550T, Intel(R)Pro/1000 MT.
Как тут настроить? Чтобы у всех, кто не в ВЛАН, был виден и доступен сервер, но не видены бухи, а бухи никого не видели, кроме сервера и себя? А то я тут подзапутался.
Прокоментируйте выше сказанное.Свичи подключены гигабитным портом к серверу, на котором стоят две гигабитные сетевушки, поднята маршрутизация. Т.е. из одной сети в другую попасть можно
Я так понимаю, что на каждой сетевухе своя подсеть, между карточками маршрутизация не разрешена (значение по умолчанию), свичи между собой не связаны.
Тогда как понимать ваше утверждение:
?из одной сети в другую попасть можно
- Timur
- Advanced member
- Сообщения: 145
- Зарегистрирован: 25 мар 2005, 19:31
- Откуда: Комсомольск-на-Амуре
- Контактная информация:
Пожалуйста. 2 подсети подключены гигабитнымы портами свичей на 2 сетевушки на сервере, каждый порт в свою. На сервере поднята маршрутизация, DNS. Поэтому если набрать имя компа, находясь в другой подсети, попасть на него можно. Также проходит пинг между подсетями.and3008 писал(а):Прокоментируйте выше сказанное.Свичи подключены гигабитным портом к серверу, на котором стоят две гигабитные сетевушки, поднята маршрутизация. Т.е. из одной сети в другую попасть можно
Я так понимаю, что на каждой сетевухе своя подсеть, между карточками маршрутизация не разрешена (значение по умолчанию), свичи между собой не связаны.
Тогда как понимать ваше утверждение:?из одной сети в другую попасть можно
- Timur
- Advanced member
- Сообщения: 145
- Зарегистрирован: 25 мар 2005, 19:31
- Откуда: Комсомольск-на-Амуре
- Контактная информация:
Т.о. получается, что я должен на одном из свичей создать VLAN2 для бухов. На сервере, на той сетевушке, куда подключен свич с VLAN2 надо настроить фильтр входа-выхода типа:
Фильтр входа:
подсеть бухов->подсеть сервера.
(отбрасывать все пакеты, кроме указанных)
Фильтр выхода:
подсеть сервера->подсеть бухов.
(перенаправлять все пакеты, кроме указанных)
тогда возник вопрос.
А куда тогда деть SERVER? в отдельный VLAN?
или не заморачиваться на VLAN и сделать все на фильтрах?
Бухам тоже нужен корпоративный антивирус, а если все пакеты
выкидывать, то и антивирь пахать не будет.
Фильтр входа:
подсеть бухов->подсеть сервера.
(отбрасывать все пакеты, кроме указанных)
Фильтр выхода:
подсеть сервера->подсеть бухов.
(перенаправлять все пакеты, кроме указанных)
тогда возник вопрос.
А куда тогда деть SERVER? в отдельный VLAN?
или не заморачиваться на VLAN и сделать все на фильтрах?
Бухам тоже нужен корпоративный антивирус, а если все пакеты
выкидывать, то и антивирь пахать не будет.
Все просто.
Схема сети:
Свитч1 --- Сервер --- Свитч2
Сервер является маршрутизатором между сетью 1 и сетью 2.
Допустим надо создать сеть 3 на свитче2.
Все просто. На свитче2 создаем VLAN2. На сервере, на сетевой карте, которая глядит в Свитч2 настраиваем сетевуху в режим VLAN-tagged.
На порту свитча2 тоже самое.
На сервере появляется еще два сетевых интерфейса. Один смотрит в VLAN1, второй в VLAN2. Настраиваете IP-адреса и фильтрацию.
В сетевом окружении компы бухов все же наверно будет видно. Но при правильно настроенной фильтрации обратиться к ним будет невозможно.
Схема сети:
Свитч1 --- Сервер --- Свитч2
Сервер является маршрутизатором между сетью 1 и сетью 2.
Допустим надо создать сеть 3 на свитче2.
Все просто. На свитче2 создаем VLAN2. На сервере, на сетевой карте, которая глядит в Свитч2 настраиваем сетевуху в режим VLAN-tagged.
На порту свитча2 тоже самое.
На сервере появляется еще два сетевых интерфейса. Один смотрит в VLAN1, второй в VLAN2. Настраиваете IP-адреса и фильтрацию.
В сетевом окружении компы бухов все же наверно будет видно. Но при правильно настроенной фильтрации обратиться к ним будет невозможно.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 14 гостей