Контроллер домена win2003 и vlan`ы
 

Планирую организовать сетку состоящую из нескольких vlan (штук 5-6) даже не спрашивайте зачем, так надо :), один vlan будет предназначен для различных серверов и в частности контролера домена. Отсюда вопрос чтобы контроллер домена был виден во всех виртуальных сетях необходимо просто настроить DNS сервер на контроллере домена и всем компьютерам входящим в разные vlan прописать его в качестве DNS сервера или необходимо создавать на каждый vlan сабинтерфейс на контроллере?

bigluc, хм... по контроллеру в каждом Влан.
Вам точно нужны Влан ?

Да это необходимость... Я имел ввиду на контролере настроить доступ в несколько влан. А при помощи DNS этот вопрос не решить?

на один ДК поставить столько сетевух - сколько Вланов. Другой вопрос - не встречал ДК с разными сетями IP.
ДНС рулит именами, а не сетью в целом.
Подробнее, пожалуйста.

Так если через DNS найдется контролер домена, что тогда еще нужно? маршрутизацию между сетями пропишу на циске... Или здесь есть свои сложности?

разрешится его имя. Но не уверен, что будет рабоатеть, т.к. не встречал несколько сетей с одним ДК.

первого для АД достаточно (второе не рекомендуется), дополнительно может потребоваться WINS-сервер и настройка DHCP-областей для VLAN'ов и DHCP-релея на Циске... главное, чтобы маршрутизация работала "как часы" и с фильтрами поаккуратней

Спасибо за ответ, меня интересовала только возможность, так как я начинающий системный администратор, раньше все больше сетями занимался так что циски и вланы мне намного ближе :)

...надо приписать порт свича, куда воткнут ДЦ, ко всем вланам, и настроить верную адресацию.
В вашем случае, я так понимаю, лучше использовать подсеть с маской /16

по-другому вам и не удастся сделать.

ну прямо и не знаю кому верить :)
Если по методу Dirk Diggler то получиться, что контроллер будет воткнут в транковый порт и следовательно ему надо будет делать multi vlan и следовательно получиться что своей контроллер домена в каждой подсетке :)

Для того, чтобы "верить" кому-то, надо сперва нормально описать задачу. Как то:
1) что КОНКРЕТНО означает "организовать сетку состоящую из нескольких vlan". под этим можно подразумевать что угодно
2) что означает "чтобы контроллер домена был виден во всех виртуальных сетях "? Это что, достижимость по IP(сиречь пинг)? Сетевое окружение?

1) Сейчас в сети анархия, мне необходимо реорганизовать так чтобы котлеты отдельно, мухи отдельны, руководствуясь тем что с физическтой точки зрения я не могу ничего поменять, так надо значит поменять на канальном уровне, на помощь приходят vlan
2) Чтобы из всех vlan пользователи могли входить в домен, использовать расшаренные ресурсы, перемещаемые учетки и тд и тп. По поводу пинга так его организовать как раз не проблема, так как я сетевой администратор, вот пытаюсь развиться и в отношении систем windows, к счастью с Linux и FreeBSD мне намного проще :)

хм... для меня VLAN - это много-много сетей через один коммутатор. и чтобы не было проблем - создаю ВЛАНы.
Что делают в доменной структуре если разные сети (разные города\страны)? в каждую сеть по ДК и настраивают доверительные отношения.
а вот это вы или кто-то другой будет с помощью Active Directory решать.
имхо...

TCP/IP для всех практически одинаковТогда делайте так - заводите порт сервера во все вланы, и используйте во вланах такие сетевые настройки, чтобы диапазоны адресов вланов
а) не пересекались
б) лежали в одной подсети

тогда смысл VLAN теряется...

смысл vlan никак с адресацией не связан, ибо адресация - это сетевой уровень, а vlan - вещь канального уровня. И потеряться от адресации не может. А вот если у вас хосты будут лежать в разных подсетях, наимеете геморрою с netbios, dhcp и прочими протоколами, использующими широковещание. Ибо широковещательные адреса будут разными.

Dirk Diggler, у меня VLAN были:
1 - 10.10.10.0/24 - для управлением оборудования
2 - 192.168.0.0/24 - для одной компании.
.
.
.
.
.
.
20 - 192.168.20.0/24 - для 20-ой компании.

и я не понимаю, как они должны лежать в одной подсети? это тогда уже будет один VLAN, а не несколько.
ведь каждому VLAN принадлежит одна сеть, а вы говорите с адресацией не связанны.
Объясните, пожалуйста, может я чего не понял.

обычно одна подсеть соответствует одному VLAN, но некоторые свичи позволяют включать порт в несколько VLAN - в этом случае одна подсеть будет распределяться по нескольким VLAN, почитать можно например тут: http://www.tekoc.ru/text/vlan/vlans.html

есть две сети = два VLAN
загоняем в порт два VLAN и две сети VLANов.
не понимаю, как две сети могут стать одно? если только при условии что они из одной классовой сети, типа 192.168.0.0 и 192.168.1.0 - тогда общая сеть 192.168.0.0/30 (т.е. с 0 по 3) ну или вся класса С
а если сети "разные": 192.168.0.0 и 172.16.0.0
я вот знаю, что циска не даст создать два VLAN с одинаковой сетью. 72хх Циска.

я имею ввиду именно сети, а не подсети. хотя разница только в количестве IP-host.

VLAN аналогичен физическому сегменту и подсети тут не причем, т.е. изначально хосты в одном VLAN не видят хосты в другом. Именно так работают свичи 2-го уровня, никакой "своей" маршрутизации там нет, и единственный способ "расшарить" ресурс - это включить хост в несколько VLAN, но такая возможность есть далеко не у всех коммутаторов. Если в такой схеме у каждого VLAN будет своя подсеть, то серверам придется давать по два IP (в каждой подсети).

amel27, вот как было у меня:
Маршрутизатор Cisco 72xx. В ней создал VLAN штук 10 и больше 50 с сетями с маской 30.
К маршрутизатору подключён Catalyst 3750, он вроде L3.
К 3750 подключенно несколько 3550 (вроде L2). Все они подключены через транки.
Есть сеть 192.168.0.0 - наша есть.
Есть сеть 192.268.6.0 - клиентская сеть.
Вы хотите сказать, что пингуя, к примеру, хост из сети 6 пакеты не будут маршрутизироваться на 3550 в порт где хост? А дойдут до 72хх (или 3750), и потом уже обратно на 3550 ?
пытался я однажды создать VLAN, так мне ругалось что этот IP уже используется в другом VLAN (я с маской тогда ошибся).
Это всё было год назад, может сейчас изменилось...

если на L3 этому VLAN не назначен IP-интерфейс, то не будет

вполне вероятно - речь не про циску, а про VLAN'ы

при создании VLAN назначается только уникальный ID (должен быть одинаков для всех свичей в сети)... IP дается при назначении этому VLAN сетевого интерфейса, как то:

- VLAN на L3 может иметь несколько IP (несколько подсетей в одном VLAN-"сегменте");
- VLAN на L3 может вовсе не иметь своего IP и не маршрутизироваться средствами L3;

З.Ы. на некоторых L3 свичах кол-во возможных IP-интерфейсов ограничено лицензией и значительно меньше кол-ва поддерживаемых VLAN, поэтому часть VLAN будет видеть друг друга, а часть нет... конечно, если не использовать для этого другие маршрутизаторы/L3

ясно, значит на цисках по своему VLAN реализовывают, нежели в других железках.
у меня 3 сети С класса. Все они управляются по DHCP (сетевые настройки).
Создан один VLAN. Из какой сети я получу адрес?

В Циске было так:
- подключаю комп к порту с одним VLAN_1 - получает IP из пула VLAN_1.
- подключаю комп к порту с другим VLAN_2 - получает IP из пула этого VLAN_2.
пора бы теме переехать в раздел "сети"...

Объясняю. Итак, у вас есть КД. И 10 вланов с указанной вами адресацией. Напомню - влан - это ОТДЕЛЬНЫЙ ЭЗЕРНЕТ-сегмент! Как бы отдельный кусок сети. Т.е. у вас их 20, таких сетей. Какую вы адресацию там выберете, без разницы, до тех пор, пока не появится следующая задача:

Для того, чтобы вам недостаточно, чтобы клиенты имели маршрут до КД по IP(т.е. пингуемости недостаточно), нужно чтобы комп из КАЖДОГО влан ЛЕЖАЛ С КД В ОДНОЙ ПОДСЕТИ! Иначе не будут работать расшаренные ресурсы(они основаны на нетбиосе, и связаны со службой браузинга, обе эти вещи используют броадкасты, и для их беспроблемной работы требуются строго одинаковые широковещательные адреса).
Как вы этого будете достигать? Поставите 20 сетевок с сервер? Или повесите 20 IP-адресов на одну? И в первом, и во втором случае это ведет к мультихомности и еще большему бардаку. Выход один - назначить серверу один IP, а вланам выделить ДИАПАЗОНЫ адресов, лежащие, тем не менее, В ОДНОЙ ПОДСЕТИ(не путайте эти 2 понятия)

Например

192.168.0.1 - сервер, с маской 255.255.0.0

1 - 192.168.0.2-255/16 - для управлением оборудования
2 - 192.168.1.0-255/16 - для одной компании.
.
20 - 192.168.20.0-255/16 - для 20-ой компании.

Где ещё непонятно?

это нужно будет прописать в каждом компе? т.е. для одной компании все компы с 192.168.1.0/16 и так далее ?
всё понятно. приношу извинения. ещё не привык к работе с сетями В класса, от сюда и путаюсь.

192.168.1.0/16 - не бывает такой подсети. Если маска /16, то подсеть - это целиком 192.168.0.0/16, и включает она все адреса от 192.168.0.0 до 192.168.255.255.

Лучше сказать "для одного сегмента/влана - устройствам назначаются адреса из диапазона 192.168.N.1-255 с маской 255.255.0.0"
Как конкретно вы это реализуете - DHCР, или руками или еще как - неважно

это то понятно.

если это действительно класс B, то маску сети можно не указывать ;)

согласен, это уместно подчеркнуть

для домена неверно - обозреватель КД (а именно PDC) как раз и занимается объединением списков обозревателей в отдельных подсетях, при наличии WINS никаких ухищрений кроме обычной маршрутизации не требуется... Проблема возникает при использовании рабочих групп, или когда доменный список перегружен и требуется ограничить "область видимости" только несколькими подсетями.

коммутатор даст выделить только "ДИАПАЗОН" по МАСКЕ, и для него (в смысле VLSM) это будет всегда "подсеть". Если несколько таких подсетей будут образовывать "сеть" это может отразиться только на таблице маршрутизации (она будет короче), но никак не на пропускании широковещательного трафика между VLAN'ами. Но иногда (Циска, 3Com) этого можно добиться дополнительной настройкой коммутатора (опции UDP-Helper, поддержка направленного широковещания, etc.).

Не получиться потому как трафик будт маркирован разными тегами и слдовательно из 192.168.1.0-255 никогда не попадут на 192.168.0.1 который находиться в другом влане, согласен щироковещательный адрес будет общим, но вланы разными и следовательно не пойдет трафик. Циску я настроил так что она раздает в разных вланах из разных диапазонов адресов никак не пересекающихся и все они прекрасно попадают нав ДК и динамические записи в днс тоже появляються :) надо только немного схитрить при настройке пулов на циске :) и на ДК поднять wins СЕРВЕР. Проблема в другом что если все вланы маршрутизируються через циску то циска может стать самыми узким местом все сети :(.
Если чего то не допонял то просьба поправьте грешника...

решил поднять тему. Сервер Win2008 R2 с 3 интерфейсами в разных VLAN. 192.168.1.11 (v100), 192.168.100.11(v1), 192.168.101.11(v101). Каждый комп из конкретного VLAN видит сервер.
DHCP на все эти VLAN раздает свои подсети, ДНС общий 192.168.1.11
Есть скрипт подключения дисков. Так вот все, кто в VLAN100 нормально заходят в домен и подключаются диски. Все кто в других VLAN очень долго ждут входа в домен, а когда зайдут - диски не подключились. Ping до 192.168.1.11 на других vlan не идет. Может дело в этом?

Вот nslookup с сервера...вот nslookup с других компов
Хотя по \\stix.gbu.local на шары заходит.
Если вручную прописать адрес ДНС в 1м влане на 192.168.100.11
то вроде как видит DNS.
Как можно сделать так, чтобы DNS 192.168.1.11 был виден во всех VLAN?