Настройка VLAN при использовании 2-ух коммутаторов D-link
 

Здравствуйте уважаемые товарищи! Столкнулся с огромной проблемой, которую плохо представляю как решить. Перечитал массу руководств и так и не могу понять всё равно. Дело в том, что я решил по собственной инициативе соорудить VLAN, но я не догадывался, что возникнет такая проблема. Вот описание топологии сети вкратце:

Есть 2 этажа, основная сеть: 192.168.1.0, подсеть VLAN: 192.168.2.0 На рабочих местах в VLAN2 стоит ПК и ip-телефон, который подключен к сетевой розетке и исполняет роль обычного хаба. Ещё характерной особенностью является то, что сетевая розетка ОДНА на одно рабочее место (то есть нет возможности в отдельную розетку подключить телефон, а в другую сетевую ПК).

2 этаж: стоит роутер Cisco 2821 и коммутатор Dlink 3420-52T ( http://www.dlink.ru/ru/products/1/1472.html ). На роутере создан подинтерфейс gi0/1.1 со следующими параметрами (encapsulation dot1q, ip address 192.168.2.1/24). На свиче создан VLAN2 с tag2, создан подинтерфейс с адресом из подсети 192.168.2.2, порт, который идёт к коммутатору внизу (порт 1) переведён в режим tagged и назначен в VLAN default и VLAN2, порты 6, 7, 8, 9, 10 в нетэгированном режиме и приписаны к VLAN2.

1 этаж: стоит коммутатор Dlink 3420-52T. Параметры следующие: создан VLAN2 с tag 2, порт, который идёт к коммутатору вверху переведён в режим tagged (порт 2) и назначен в VLAN default и VLAN2, порты 6, 7, 8, 9, 10 в нетэгированном режиме и приписаны к VLAN2. На рабочих станциях конфиг следующий: 192.168.2.6-10 (с 6 до 10) 255.255.255.0 gateway 192.168.2.2 и ДНС 8.8.8.8

А проблема следующая:

1) как мне сделать так, чтобы я мог из подсети 192.168.2.0 получить доступ к ресурсам основной сети (папки shares, которая находится на 192.168.1.200 и программа, которая расположена на отдельном ПК с Линукс Дебиан и к которой идёт порт 20 с коммутатора на этаже 2 - 192.168.1.201 плюс ещё Интернет хочу в эту подсеть с Циски с адресом на интерфейсе 2 - 192.168.1.203) 192.168.1.0, но при этом чтобы другие компы в сети не могли получить доступ к ПК в VLAN2?

Сейчас из подсети я только пингую адреса из этой же подсети и не более того, сеть 192.168.1.0 вообще не видна.

2) Ещё в силу нехватки портов как мне сделать, чтобы ПК в VLAN2 были положенные в подсети 192.168.2.0, но ip телефоны оставались бы в основной сети - 192.168.1.0? Сервер ip телефонии 192.168.1.251. Может порт, которым этот сервер соединён с коммутатором 2 этажа перевести в режим tagged и назначить сей порт в vlan default и vlan2?

Заранее спасибо за советы! Очень надеюсь на вашу помощь.

нужно указать адрес шлюза 192.168.2.1 и проверить межвлановую маршрутизацию на cisco
надо настраивать ACL'ы
ага

В общем в принципе сегодня у меня практически всё получилось. Главное, что сеть VLAN 192.168.2.0 заработала и из неё прекрасно доступны все ресурсы основной сети, в том числе и сервер ip-телефонии, НО большая проблема в том, что так же и в обычном порядке можно зайти на компы этой закрытой подсети из основной. Вопрос такой:

Как это можно решить? Создать расширенный ACL на Циске или же что-то сделать на коммутаторе 2 этажа? Или всё вместе?

То есть я хочу опять таки:

Честно говоря пока у меня идей нет. Ну точнее есть, но их слишком много.

P.S. кстати, проблема была в том, что я не перевёл порт на коммутаторе 3 этажа и который смотрит в маршрутизатор в режим tagged. После этого перевода две сети стали видеть друг друга и в подсети ВЛАН появился Интернет. Забавно также то, что когда я сделал нечто вроде этого:

Интернет после этого в подсети пропал, но сетки по прежнему прекрасно видели друг друга. Дело в том, что до этого товарищ посоветовал мне удалить подинтерфейс с адресом 192.168.2.2 с коммутатора 2 этажа и назначить шлюзом подинтерфейс Циски. Как раз после того, как я это сделал и после того, как назначил поинтефейс Циско (192.168.2.1) шлюзом на клиентских местах, Интернет пропал в подсети 192.168.2.2. Кто-нибудь может объяснить почему?

Я чесно говоря с ваших слов с трудом понимаю, что у вас там происходит. Может вам схему лучше нарисовать со шлюзами, свичами, vlan'ами, магистралями и адресами.
я понял, что у вас есть два vlan'а: default и vlan id2 который почему-то сидит на сабинтерфейсе gi0/1.1вместо gi0/1.2 (хотя это не принципиально).покажите таблицу маршрутизации на свичах если они у вас рутят.это зависит от топологии вашей сети. надо acl'ами настраивать на свичах или маршрутизаторе я незнаю, это от вашей сети зависит.этот откуда взялся? это потому, что видимо у вас шлюз не cisco, а где шлюз, знает только ваш dlink(192.168.2.2) вобщем как вопрос зададите так и ответят.
потому, что такой подсети несуществует!

Я напутал тут простите. Писал вечером, голова туго соображала. Про то, что коммутатор 2 этажа, который знает где шлюз это вы точно подметили, я там команду делал create iproute default 192.168.1.1/24 . А подинтерфейс на Циске просто видимо не знает связи с двумя физическими интерфейсами (я так полагаю, что нужно сделать команду ip nat inside на этом подинтерфейсе по аналогии с физическим интерфейсом, смотрящим в локалку).

1) А ещё вопрос такой. А я могу команду по заданию маршрута на Циске привязывать к конкретному интерфейсу? Ну например, чтобы мне Циску задать шлюзом по умолчанию в подсети (чтобы она Интернет давала), то я делаю команду ip route 0.0.0.0 0.0.0.0 192.168.115.1, НО я хочу чтобы эта команда действовала не для всей сети, а только для подинтерфейса на Циско для подсети 192.168.2.0?

2) Теперь по поводу ACL. Я так понял, что здесь можно обойтись стандартным листом, который будет применён на подинтерфейс Циски для подсети 192.168.2.0 с такими вот параметрами:

deny 192.168.1.0 0.0.0.255 (запрет на основную сеть)

permit 192.168.2.0 0.0.0.255 (это подсеть в целом)

permit hostname 192.168.1.200 (это комп с шарами)

permit hostname 192.168.1.1 (это маршрутизатор Циско)

permit hostname 192.168.1.201 (это сервер айпи телефонии)

permit hostname 192.168.1.2 (это коммутатор 2 этажа с его адресом на основном интерфейсе из основной сети)

Конечно, конечно, я попробую сейчас. Если что не ругайтесь, ибо никогда не делал таких схем. Решил сделать схему в DIA. Если возможно, то дайте сразу советы, как лучше делать такие схемы.

Файл 97364

P.S. а ещё подскажите как поменять имя действующего интерфейса? Ну я хочу gi0/1.1 поменять на gi0/1.2 (чтобы в соответствии с vlanid было).

для того, чтобы нат заработал нужно сначала создать правило и назначить его в нат. например это правило разрешает двигаться пакетам из вашей 192.168.2.0 подсети.это говорит о том, что натить нужно подсеть из acl 101. Ну и соответственно назначить на интерфейсы ip nat inside и ip nat outside
маршруты нельзя назначать на интерфейсы.
попробуйте применить вот это на выходе интерфейса gi0/1.1
важно соблюдать последовательность
как-то так.
P.S ссылка на схему битая

Сегодня с VLAN несколько продвинулся, но всё равно проблем ещё целый воз. Про НАТ всё так и оказалось, как вы сказали, причём оказалось достаточно команды ip nat inside на подинтерфейс, после чего Интернет появился в подсети (ну и конечно со шлюзом 192.168.2.1 в виде подинтерфейса роутера на клиентах).

А самое интересное, что начались проблемы с принтером, с которыми ну я ничего не смог сделать, но смог придумать в чём причина проблем с принтером. Дело в том, что в отделе стоит 2 компа и один в домене (причём домен на Линуксе и делался задолго до меня, причём непонятно как устроен, но там точно Самба примешана), а другой нет. И я не как не мог установить расшаренный принтер (на соседнем компе в домене) на комп вне домена, тот комп просто не видит домена. После удаления настроек ВЛАН всё опять начало работать и домен стал видеться. Ещё по слухам вроде кто-то говорил, что появились проблемы с 1С, что вроде как она ключ перестала какой-то видеть. Логики пока понять не в силах, ибо компы прекрасно пингуют друг друга, шлюз, комп с доменом и прочее в сети (никаких ACL пока не применял).

В итоге я сам сделал искуственную лабораторию из двух компов, ввёл их в подсеть ВЛАН, один в домене, другой вне оного, к одному подключил принтер и ситуация повторилась, НО после того, как я вывел один комп из домена принтер на другом компе в подсети ВЛАН увиделся и установился и заработал. Что же теперь, выкидывать все компы отдела из домена (я вообще не пойму зачем их в своё время туда ввели)? Может быть есть какие-то догадки?

Схему сети прикладываю ещё раз. Простите, что выложил какую-то битую ерунду в первый раз.

какие настройки вводили? в какой сети находятся комп с принтером и комп которому нужен принтер? принтер надо шарить по ip тут понимать надо что в каких сетях. по сути у вас влана - это 2 подсети. ключ на 1с может не увидеться если он в другой подсети от платформы(вроде как надо в таком случае в конфиге надо ip адрес ключа указывать) А на схеме это что? что есть или то, что хотите получить?
ps покажите 'sh run' на циске. я бы еще на вашем месте телефонию в отдельный влан положил и qos поставил, чтоб телефония на случай больших нагрузок на сеть не глючила.

Принтер там не сетевой и у него нет отдельного ip. В принципе я так и делал (кстати на всех компах стоят WinXP), то есть компу, на который хочу установить писал адрес компа, к которому принтер был подключен физически. Делаю это в установке принтеров (ну как обычно в ИксПи), пишу в формате" //адрес компа, которому подключено физически/сетевое имя принтера ". Вот так делаю. Пока все в обычном ВЛАН, все проходит без проблем, как только назначаю в новый ВЛАН не принтеры, не домен не видится. Компы оба находились в подсети ВЛАН2 (192.168.2.0), НО к которому принтер подключен физически был ещё и включен в домен, причем вроде как успешно (судя по идентификации в мой компьютер), другой комп не в домене, но в этой же сети. Причем когда устанавливаю принтер запрашивается имя пользователя и пароль, я их ввожу и дальше выдается ошибка. Удаляю все настройки ВЛАН и всё на ура проходит и даже чрез обзор принтеры видятся.

Проблема в том, что комп с 1С в одной сети, а комп с которого я пытался запустить в подсети.

В принципе всё реально, только ВЛАН 2 пока фантастика. В принципе это то, что хочу получить.

че?
вобщем я так понял вам не вланами надо заниматься, а самбу настраивать. а это уже отдельная тема и другой форум.

А это всё потому, что у меня был расширенный ACL в котором была подобная запись 192.168.0.0 0.0.255.255 any и именно поэтому мне не понадобилось вот это:

Router(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 any

Согласен, проблем много. И вроде получилось почти всё с этим ВЛАН, но бухгалтерия говорит, что я со своими работами по ВЛАН им мешаю работать. Ладно, пусть будут как есть, хотя так хотелось их в ВЛАН вынести и ведь вполне решаемо на самом деле...

slava007:

Вам ещё раз отдельное спасибо за очень толковые советы по этой теме.

оно понятно, я б вам тоже так сказал. как говорится "не умеешь, не берись"
ps учите матчасть, будут вопросы - задавайте по существу, а не так типа "вот надумал из говна кофету сделать, но не получается..."