Контроллер домена win2003 и vlan`ы

exo · Конфигурация компьютера

amel27, вот как было у меня:
Маршрутизатор Cisco 72xx. В ней создал VLAN штук 10 и больше 50 с сетями с маской 30.
К маршрутизатору подключён Catalyst 3750, он вроде L3.
К 3750 подключенно несколько 3550 (вроде L2). Все они подключены через транки.
Есть сеть 192.168.0.0 - наша есть.
Есть сеть 192.268.6.0 - клиентская сеть.

Цитата amel27:

т.е. изначально хосты в одном VLAN не видят хосты в другом. »

Вы хотите сказать, что пингуя, к примеру, хост из сети 6 пакеты не будут маршрутизироваться на 3550 в порт где хост? А дойдут до 72хх (или 3750), и потом уже обратно на 3550 ?

Цитата amel27:

это включить хост в несколько VLAN »

Цитата exo:

циска не даст создать два VLAN с одинаковой сетью »

пытался я однажды создать VLAN, так мне ругалось что этот IP уже используется в другом VLAN (я с маской тогда ошибся).
Это всё было год назад, может сейчас изменилось...

amel27 · Отправлено: **13:16, 03-09-2008** | #22

Цитата exo:

Вы хотите сказать, что пингуя, к примеру, хост из сети 6 пакеты не будут маршрутизироваться на 3550 в порт где хост? »

если на L3 этому VLAN не назначен IP-интерфейс, то не будет

Цитата exo:

циска не даст создать два VLAN с одинаковой сетью »

вполне вероятно - речь не про циску, а про VLAN'ы

Цитата exo:

пытался я однажды создать VLAN, так мне ругалось что этот IP уже используется в другом VLAN »

при создании VLAN назначается только уникальный ID (должен быть одинаков для всех свичей в сети)... IP дается при назначении этому VLAN сетевого интерфейса, как то:

- VLAN на L3 может иметь несколько IP (несколько подсетей в одном VLAN-"сегменте");
- VLAN на L3 может вовсе не иметь своего IP и не маршрутизироваться средствами L3;

З.Ы. на некоторых L3 свичах кол-во возможных IP-интерфейсов ограничено лицензией и значительно меньше кол-ва поддерживаемых VLAN, поэтому часть VLAN будет видеть друг друга, а часть нет... конечно, если не использовать для этого другие маршрутизаторы/L3

exo · Конфигурация компьютера

Цитата amel27:

речь не про циску, а про VLAN'ы »

ясно, значит на цисках по своему VLAN реализовывают, нежели в других железках.

Цитата amel27:

- VLAN на L3 может иметь несколько IP (несколько подсетей в одном VLAN-"сегменте"); »

у меня 3 сети С класса. Все они управляются по DHCP (сетевые настройки).
Создан один VLAN. Из какой сети я получу адрес?

В Циске было так:
- подключаю комп к порту с одним VLAN_1 - получает IP из пула VLAN_1.
- подключаю комп к порту с другим VLAN_2 - получает IP из пула этого VLAN_2.
пора бы теме переехать в раздел "сети"...

Dirk Diggler · Отправлено: **15:28, 03-09-2008** | #24

Цитата exo:

Dirk Diggler, у меня VLAN были:
1 - 10.10.10.0/24 - для управлением оборудования
2 - 192.168.0.0/24 - для одной компании.
.
.
.
.
.
.
20 - 192.168.20.0/24 - для 20-ой компании.
и я не понимаю, как они должны лежать в одной подсети? это тогда уже будет один VLAN, а не несколько. »

Объясняю. Итак, у вас есть КД. И 10 вланов с указанной вами адресацией. Напомню - влан - это ОТДЕЛЬНЫЙ ЭЗЕРНЕТ-сегмент! Как бы отдельный кусок сети. Т.е. у вас их 20, таких сетей. Какую вы адресацию там выберете, без разницы, до тех пор, пока не появится следующая задача:

Для того, чтобы

Цитата bigluc:

из всех vlan пользователи могли входить в домен, использовать расшаренные ресурсы, перемещаемые учетки и тд и тп. »

вам недостаточно, чтобы клиенты имели маршрут до КД по IP(т.е. пингуемости недостаточно), нужно чтобы комп из КАЖДОГО влан ЛЕЖАЛ С КД В ОДНОЙ ПОДСЕТИ! Иначе не будут работать расшаренные ресурсы(они основаны на нетбиосе, и связаны со службой браузинга, обе эти вещи используют броадкасты, и для их беспроблемной работы требуются строго одинаковые широковещательные адреса).
Как вы этого будете достигать? Поставите 20 сетевок с сервер? Или повесите 20 IP-адресов на одну? И в первом, и во втором случае это ведет к мультихомности и еще большему бардаку. Выход один - назначить серверу один IP, а вланам выделить ДИАПАЗОНЫ адресов, лежащие, тем не менее, В ОДНОЙ ПОДСЕТИ(не путайте эти 2 понятия)

Например

192.168.0.1 - сервер, с маской 255.255.0.0

1 - 192.168.0.2-255/16 - для управлением оборудования
2 - 192.168.1.0-255/16 - для одной компании.
.
20 - 192.168.20.0-255/16 - для 20-ой компании.

Где ещё непонятно?

exo · Конфигурация компьютера

Цитата Dirk Diggler:

192.168.0.1 - сервер, с маской 255.255.0.0
1 - 192.168.0.2-255/16 - для управлением оборудования
2 - 192.168.1.0-255/16 - для одной компании.
.
20 - 192.168.20.0-255/16 - для 20-ой компании. »

это нужно будет прописать в каждом компе? т.е. для одной компании все компы с 192.168.1.0/16 и так далее ?

Цитата Dirk Diggler:

а вланам выделить ДИАПАЗОНЫ адресов, лежащие, тем не менее, В ОДНОЙ ПОДСЕТИ »

всё понятно. приношу извинения. ещё не привык к работе с сетями В класса, от сюда и путаюсь.

Dirk Diggler · Отправлено: **15:47, 03-09-2008** | #26

Цитата exo:

это нужно будет прописать в каждом компе? т.е. для одной компании все компы с 192.168.1.0/16 и так далее ? »

192.168.1.0/16 - не бывает такой подсети. Если маска /16, то подсеть - это целиком 192.168.0.0/16, и включает она все адреса от 192.168.0.0 до 192.168.255.255.

Лучше сказать "для одного сегмента/влана - устройствам назначаются адреса из диапазона 192.168.N.1-255 с маской 255.255.0.0"
Как конкретно вы это реализуете - DHCР, или руками или еще как - неважно

exo · Конфигурация компьютера

Цитата Dirk Diggler:

192.168.1.0/16 - не бывает такой подсети. Если маска /16, то подсеть - это целиком 192.168.0.0/16, и включает она все адреса от 192.168.0.0 до 192.168.255.255. »

это то понятно.

amel27 · Отправлено: **05:30, 04-09-2008** | #28

Цитата exo:

ещё не привык к работе с сетями В класса »

если это действительно класс B, то маску сети можно не указывать

Цитата Dirk Diggler:

влан - это ОТДЕЛЬНЫЙ ЭЗЕРНЕТ-сегмент! Как бы отдельный кусок сети. »

согласен, это уместно подчеркнуть

Цитата Dirk Diggler:

нужно чтобы комп из КАЖДОГО влан ЛЕЖАЛ С КД В ОДНОЙ ПОДСЕТИ! Иначе не будут работать расшаренные ресурсы(они основаны на нетбиосе, и связаны со службой браузинга, обе эти вещи используют броадкасты, и для их беспроблемной работы требуются строго одинаковые широковещательные адреса) »

для домена неверно - обозреватель КД (а именно PDC) как раз и занимается объединением списков обозревателей в отдельных подсетях, при наличии WINS никаких ухищрений кроме обычной маршрутизации не требуется... Проблема возникает при использовании рабочих групп, или когда доменный список перегружен и требуется ограничить "область видимости" только несколькими подсетями.

Цитата Dirk Diggler:

вланам выделить ДИАПАЗОНЫ адресов, лежащие, тем не менее, В ОДНОЙ ПОДСЕТИ(не путайте эти 2 понятия) »

коммутатор даст выделить только "ДИАПАЗОН" по МАСКЕ, и для него (в смысле VLSM) это будет всегда "подсеть". Если несколько таких подсетей будут образовывать "сеть" это может отразиться только на таблице маршрутизации (она будет короче), но никак не на пропускании широковещательного трафика между VLAN'ами. Но иногда (Циска, 3Com) этого можно добиться дополнительной настройкой коммутатора (опции UDP-Helper, поддержка направленного широковещания, etc.).

bigluc · Отправлено: **19:52, 11-09-2008** | #29

Цитата Dirk Diggler:

Например
192.168.0.1 - сервер, с маской 255.255.0.0
1 - 192.168.0.2-255/16 - для управлением оборудования
2 - 192.168.1.0-255/16 - для одной компании.
.
20 - 192.168.20.0-255/16 - для 20-ой компании.
Где ещё непонятно? »

Не получиться потому как трафик будт маркирован разными тегами и слдовательно из 192.168.1.0-255 никогда не попадут на 192.168.0.1 который находиться в другом влане, согласен щироковещательный адрес будет общим, но вланы разными и следовательно не пойдет трафик. Циску я настроил так что она раздает в разных вланах из разных диапазонов адресов никак не пересекающихся и все они прекрасно попадают нав ДК и динамические записи в днс тоже появляються

надо только немного схитрить при настройке пулов на циске

и на ДК поднять wins СЕРВЕР. Проблема в другом что если все вланы маршрутизируються через циску то циска может стать самыми узким местом все сети

.
Если чего то не допонял то просьба поправьте грешника...

schmel · Отправлено: **12:01, 21-07-2011** | #30

решил поднять тему. Сервер Win2008 R2 с 3 интерфейсами в разных VLAN. 192.168.1.11 (v100), 192.168.100.11(v1), 192.168.101.11(v101). Каждый комп из конкретного VLAN видит сервер.
DHCP на все эти VLAN раздает свои подсети, ДНС общий 192.168.1.11
Есть скрипт подключения дисков. Так вот все, кто в VLAN100 нормально заходят в домен и подключаются диски. Все кто в других VLAN очень долго ждут входа в домен, а когда зайдут - диски не подключились. Ping до 192.168.1.11 на других vlan не идет. Может дело в этом?

Вот nslookup с сервера...

Код:

Z:\>nslookup stix.gbu.local
╤хЁтхЁ:  localhost
Address:  127.0.0.1

╚ь*:     stix.gbu.local
Addresses:  192.168.101.11
          192.168.1.11
          10.129.0.7
          192.168.100.11

вот nslookup с других компов

Код:

Z:\>


Z:\>nslookup stix.gbu.local
DNS request timed out.
    timeout was 2 seconds.
*** Can't find server name for address 192.168.1.11: Timed out
Server:  ns1.ptcomm.ru
Address:  85.234.32.35

*** ns1.ptcomm.ru can't find stix.gbu.local: Non-existent domain

Хотя по \\stix.gbu.local на шары заходит.
Если вручную прописать адрес ДНС в 1м влане на 192.168.100.11

Код:

Z:\>nslookup stix.gbu.local
*** Can't find server name for address 192.168.100.11: Non-existent domain
*** Can't find server name for address 10.129.0.0: Non-existent domain
*** Default servers are not available
Server:  UnKnown
Address:  192.168.100.11

Name:    stix.gbu.local
Addresses:  192.168.100.11, 10.129.0.7, 192.168.101.11, 192.168.1.11

то вроде как видит DNS.
Как можно сделать так, чтобы DNS 192.168.1.11 был виден во всех VLAN?