Три Vlan'а к одному серверу через один 4226T 3С17300

Модераторы: Trinity admin`s, Free-lance moderator`s

kf_goldfish
Advanced member
Сообщения: 99
Зарегистрирован: 27 июл 2004, 14:22
Откуда: Minsk By
Контактная информация:

Три Vlan'а к одному серверу через один 4226T 3С17300

Сообщение kf_goldfish » 17 июн 2005, 11:03

Имеется:
- Cервер на WinServer2003 - AD/DHCP/DNS/ISAServer
- Cвитч 4226T
- Три независимые локальные сети
Требуется:
Обеспечить доступ всем трём сетям к серверу через один сетевой порт, и при этом сохранить их независимость друг от друга. То есть маршрутизация между сетями НЕ НУЖНА.
Понятно, что самый простой способ - три сетевых карты в сервер, однако вроде бы это можно сделать настройкой свитча.
Как управлять свитчом и как объединять порты в Vlan'ы я разобрался по мануалу, - создал Vlan'ы, но к серверу сейчас имеет доступ только та сеть, в Vlan которой он включён.
Мануал достаточно скуп, и возникли вопросы, требующие пояснений. Объясните, пожалуйста и не пинайте за ламерские вопросы  :?  :
1. В чём разница между "tagged" и "untagged" портами?
2. Для чего используются "aggregeted links"? - Я смутно подозреваю, что это именно то, что мне нужно... Возможно, ошибаюсь...
Насколько я понимаю, нужно создать ЧЕТЫРЕ Vlan'ы, - в одну из них будет входить ТОЛЬКО СЕРВЕР. А уже затем как-то разревить общение этой Vlan с тремя другими...

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 17 июн 2005, 12:21

Cвитч 4226T коммутатор 2-го уровня, следовательно для твоей задачи нужен девайс 3-го уровня, хоть сервер, если он поддерживает VLAN 802.1Q, в случае использования 1-го порта.
Для этого и используются tagged порты, когда во frame содержится информация о VLAN.
Аggregated links - не твой случай, это объединение нескольких физических link в один для скорости, надёжности и тп.
PS: посмотри как в данной конфигурации будут работать сервисы, использующие широковещательные пакеты DHCP for ex.

kf_goldfish
Advanced member
Сообщения: 99
Зарегистрирован: 27 июл 2004, 14:22
Откуда: Minsk By
Контактная информация:

Сообщение kf_goldfish » 20 июн 2005, 17:27

krasnov писал(а): ...хоть сервер, если он поддерживает VLAN 802.1Q, в случае использования 1-го порта.
На сервере Intel Pro/1000MT - gоддерживает 802.1Q
При чём тут "использование 1-го порта"? К нему должен быть подключён сервер?
krasnov писал(а):Для этого и используются tagged порты, когда во frame содержится информация о VLAN.
А где об этом "использовании" можно узнать подробнее? КАК мне настраивать свитч, чтобы сервер видел все VLAN"ы? Просто объявить все порты как "tagged"?
Нужно ли чего подкручивать в софте - IntelProSET?
krasnov писал(а):Аggregated links - не твой случай, это объединение нескольких физических link в один для скорости, надёжности и тп.
По дефолту ВСЕМ портам свитча назначены все четыре aggregated links - AL1, AL2, AL3, AL4. Это нормально?
Чтобы объединить несколько линков, нужно соответствующие порты включить в отдельный AL, а остальных из него выкинуть?

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 20 июн 2005, 19:08

При чём тут "использование 1-го порта"? К нему должен быть подключён сервер? - один сетевой адаптер в сервере - один "tagged" порт на свиче,  три сетевых адаптера в сервере - три "untagged" порта на свиче.

А где об этом "использовании" можно узнать подробнее? - коротко в документации на свитч SuperStack® 3 Switch 4200 Series Implementation Guide подробней и дальше по www.opennet.ru и тп

Просто объявить все порты как "tagged"? - нет, только порт, к которому подключен сервер.

kf_goldfish
Advanced member
Сообщения: 99
Зарегистрирован: 27 июл 2004, 14:22
Откуда: Minsk By
Контактная информация:

Сообщение kf_goldfish » 21 июн 2005, 13:14

krasnov писал(а):...один сетевой адаптер в сервере - один "tagged" порт на свиче, ...
Сетевой адаптер один, но DualPort, со свитчом связан обоими портами, в IntelProSet они объединены в одно сетевое соединение. Следовательно, оба порта должны быть "tagged"? Или сначала их мне всё-таки нужно объединить в "aggregated link"?
krasnov писал(а): подробней и дальше по www.opennet.ru и тп
Кое-чего почитал, поэкспериментировал... - ничего не получилось  :(
krasnov писал(а):Просто объявить все порты как "tagged"? - нет, только порт, к которому подключен сервер.
Так я и делал. Как я понял, порт сервера должен быть tagged и присутствовать во всех Vlan'ах. Сервер подключен к портам 25,26. На свитче ситуация такая:

Код: Выделить всё

Menu options: --------------3Com SuperStack 3 Switch 4200---------
Select menu option (bridge/vlan): summary
Select VLAN ID (1-2,all)[all] : all

VLAN ID   Name
------------------------------------------
1         Default VLAN
2         BUH

Select menu option (bridge/vlan): detail 1

VLAN ID: 1      Name: Default VLAN
Unit              Untagged Member Ports      Tagged Member Ports
------------------------------------------------------------------------
1                 5-26                       none
Aggregated Links  AL1-AL4                    none

Select menu option (bridge/vlan): detail 2

VLAN ID: 2      Name: BUH
Unit              Untagged Member Ports      Tagged Member Ports
------------------------------------------------------------------------
1                 1-4                        none
Aggregated Links  none                       none
Стоит мне переместить порты 25,26 в 1-м VLAN из untagged в tagged, как эта сеть ТЕРЯЕТ связь с сервером. Прекращается раздача почты/интернета, не видны никакие ресурсы на сервере, не работает управление свитчом через Web-интерфейс. Примечательно, что телнет при этом продолжает работать, и я через сервер по-прежнему могу управлять свитчом. Чем это вызвано и как с этим бороться? Попробовал объединить порты 25,26 их в AL1 и затем сделать его tagged-member'ом - тоже не помогает. :(

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 21 июн 2005, 17:57

Извини, не знал что у тебя DualPort на сервере.
Тогда последовательность другая:
1. Вначале создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
2. Настраиваем Vlan-ы на сервере (Proset) - ID должны совпадать со свичём - и прописываем IP соответствующих подсетей.
3. На свиче AL tagged с теми-же VlanID.
Глюки, которые сопровождают процесс.
1. Работа IntelProSet рвёт соединения.
2. свитч с open 802.1Q - читай
3.Vlan-ы режут broadcast - DHCP и др. не везде работает.

kf_goldfish
Advanced member
Сообщения: 99
Зарегистрирован: 27 июл 2004, 14:22
Откуда: Minsk By
Контактная информация:

Сообщение kf_goldfish » 21 июн 2005, 21:20

krasnov писал(а):... создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
В этом и было дело... На сервере тип был другой, поэтому вчера и не завелось. TeamMode был "Adaptive Load Balancing". Изменил на "Static Link Aggregation" и всё затикало. :)
СПАСИБО! :)
P.S. При проверке конфигурации свитча - средствами ProSet - получаю сообщение "The VLAN configuration on the switch can not be checked in link aggregation mode." А значит AL - это не всегда хорошо.
P.P.S. DHCP заработал после выключения на свитче "IGMP Multicast Filtering"

Аватара пользователя
Timur
Advanced member
Сообщения: 145
Зарегистрирован: 25 мар 2005, 19:31
Откуда: Комсомольск-на-Амуре
Контактная информация:

Сообщение Timur » 03 май 2007, 12:46

krasnov писал(а):Извини, не знал что у тебя DualPort на сервере.
Тогда последовательность другая:
1. Вначале создаём аggregated link на сервере (через Proset) и на switch-е (одного типа и проверяем)
2. Настраиваем Vlan-ы на сервере (Proset) - ID должны совпадать со свичём - и прописываем IP соответствующих подсетей.
3. На свиче AL tagged с теми-же VlanID.
Глюки, которые сопровождают процесс.
1. Работа IntelProSet рвёт соединения.
2. свитч с open 802.1Q - читай
3.Vlan-ы режут broadcast - DHCP и др. не везде работает.
У меня похожая ситуация. С точностью до наоборот.
Имеется:
Cервер на WinServer2003 - DHCP/DNS/RRAS/FS
2 Cвитча 4226T - Две независимые локальные сети.
Свичи  подключены гигабитным портом к серверу, на котором стоят две гигабитные сетевушки, поднята маршрутизация. Т.е. из одной сети в другую попасть можно :)
Встала задача подключить к общей сети бухгалтеров, объединив их ВЛАНом, чтобы никто их не видел, но необходим доступ к серверу,
т.к. на сервере еще крутится антивирус корпоративный (дрвеб).

Сетевушки - D-Link DGE-550T, Intel(R)Pro/1000 MT.

Как тут настроить? Чтобы у всех, кто не в ВЛАН, был виден и доступен сервер, но не видены бухи, а бухи никого не видели, кроме сервера и себя? А то я тут подзапутался.

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 03 май 2007, 14:36

Запутываться не надо;)
Бухов в VLAN и отдельную подсеть.
Доступ по ACL (фильтрам)

Аватара пользователя
Timur
Advanced member
Сообщения: 145
Зарегистрирован: 25 мар 2005, 19:31
Откуда: Комсомольск-на-Амуре
Контактная информация:

Сообщение Timur » 03 май 2007, 16:11

krasnov писал(а):Запутываться не надо;)
Бухов в VLAN и отдельную подсеть.
Доступ по ACL (фильтрам)
Э-э-э. Влан и есть отдельная подсеть.
Поподробнее можно?

Аватара пользователя
krasnov
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 257
Зарегистрирован: 14 мар 2005, 17:40

Сообщение krasnov » 03 май 2007, 16:44

Подробней сложно
Роутит у тебя W2003?
Вот он и должен "фильтровать" по IP, портам кому куда можно и куда нельзя.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 03 май 2007, 19:51

Свичи  подключены гигабитным портом к серверу, на котором стоят две гигабитные сетевушки, поднята маршрутизация. Т.е. из одной сети в другую попасть можно
Прокоментируйте выше сказанное.


Я так понимаю, что на каждой сетевухе своя подсеть, между карточками маршрутизация не разрешена (значение по умолчанию), свичи между собой не связаны.

Тогда как понимать ваше утверждение:
из одной сети в другую попасть можно
?

Аватара пользователя
Timur
Advanced member
Сообщения: 145
Зарегистрирован: 25 мар 2005, 19:31
Откуда: Комсомольск-на-Амуре
Контактная информация:

Сообщение Timur » 29 сен 2007, 05:30

and3008 писал(а):
Свичи  подключены гигабитным портом к серверу, на котором стоят две гигабитные сетевушки, поднята маршрутизация. Т.е. из одной сети в другую попасть можно
Прокоментируйте выше сказанное.

Я так понимаю, что на каждой сетевухе своя подсеть, между карточками маршрутизация не разрешена (значение по умолчанию), свичи между собой не связаны.

Тогда как понимать ваше утверждение:
из одной сети в другую попасть можно
?
Пожалуйста. 2 подсети подключены гигабитнымы портами свичей на 2 сетевушки на сервере, каждый порт в свою. На сервере поднята маршрутизация, DNS. Поэтому если набрать имя компа, находясь в другой подсети, попасть на него можно. Также проходит пинг между подсетями.

Аватара пользователя
Timur
Advanced member
Сообщения: 145
Зарегистрирован: 25 мар 2005, 19:31
Откуда: Комсомольск-на-Амуре
Контактная информация:

Сообщение Timur » 29 сен 2007, 05:46

Т.о. получается, что я должен на одном из свичей создать VLAN2 для бухов. На сервере, на той сетевушке, куда подключен свич с VLAN2 надо настроить фильтр входа-выхода типа:

Фильтр входа:
подсеть бухов->подсеть сервера.
(отбрасывать все пакеты, кроме указанных)

Фильтр выхода:
подсеть сервера->подсеть бухов.
(перенаправлять все пакеты, кроме указанных)

тогда возник вопрос.
А куда тогда деть SERVER? в отдельный VLAN?
или не заморачиваться на VLAN и сделать все на фильтрах?
Бухам тоже нужен корпоративный антивирус, а если все пакеты
выкидывать, то и антивирь пахать не будет.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 29 сен 2007, 10:31

Все просто.
Схема сети:

Свитч1 --- Сервер --- Свитч2

Сервер является маршрутизатором между сетью 1 и сетью 2.

Допустим надо создать сеть 3 на свитче2.

Все просто. На свитче2 создаем VLAN2. На сервере, на сетевой карте, которая глядит в Свитч2 настраиваем сетевуху в режим VLAN-tagged.
На порту свитча2 тоже самое.
На сервере появляется еще два сетевых интерфейса. Один смотрит в VLAN1, второй в VLAN2. Настраиваете IP-адреса и фильтрацию.

В сетевом окружении компы бухов все же наверно будет видно. Но при правильно настроенной фильтрации обратиться к ним будет невозможно.

Ответить

Вернуться в «Сети - Технические вопросы, решение проблем»