Архив форумов ЦИТФорума

[Yaks]

День добрый.
Поделитесь, кому приходилось организовывать две или более VLANs на базе коммутаторов 3Com Superstack III 3300.
Мне нужно, чтобы сервер с ОС FreeBSD 3.2 (сетевая карта 3Com905B-TX) был доступен для двух VLAN.
Можно ли это сделать посредством настройки коммутатора, не используя доп. софт/железо.
Спасибо заранее.

[hoha]

Да вроде можно, ты должен засунуть соответствующий порт в оба VLAN-а, тыды обе сетки будут с ним разговаривать. Почитай паспорт, там ето вроде описано. У меня самого два стека SS3300(4+4)+SS4900, но с в-ланами я не резвился. Точно знаю, что можно.

[and3008]

В доках подробно расписано как сие делать.
Рулится верез WEB-интерфейс. Так что ничего сложного нету.

[Dmitry.Karpov http://www.]

По умолчанию, пока VLAN не активизированы, все имеют доступ всюду; VLAN запускают для того, чтобы кому-то запретить доступ куда-то.

Если у меня есть три сегмента на трех портах свича, и требуется, чтобы первый и второй сегменты имели доступ к третьему, но не имели доступа друг к другу, то нужна такая привязка портов к VLAN'ам:
1-й порт: VLAN номер 1;
2-й порт: VLAN номер 2;
3-й порт: VLAN'ы номер 1 и 2.

[Эльф]

А смысл-то этого всего какой? За ченим вообще нужно один сетевой интерфейс в различные VLan`ы прятать?

[Dmitry.Karpov http://www.]

-

[Эльф]

Вот у меня, например, организовано несколько подсетей класса С. Каждая подсеть определена в отдельную VLan. На комутаторах нет такой возможности, чтобы один и тот-же порт прописать в несколько VLan, да и в моем случае нет в этом нужда(не буду-же я на одну карту вешатьIP адреса из разных подсетей), а если уж и есть необходимость включить комп в разные пдсети и в моем случае разные VLan`ы, то ставишь вторую карту и определяешь в другой порт на свиче.
И, кстати, если мне нужно попасть с одной машины на другую, то набираю \\

[ALEX_SE]

Ты подсети с VLan не путай! Подсети делаются на сетевом уровне, средствами IP. А VLan на канальном уровне! Оно потому и называется - виртуальные сети что на одном оборудовании (и часто на одних каналах связи) организуются назависимые друг от друга сети! Потому и виртуальные! Что сидят на одной железяке а друг друга не видят. Так вот VLan для того и придуманы дабы ты даже через \\ не мог до компов добраться. Посредством ARP найдется аппаратный адрес компа и если он в другой сети виртуальный (то бишь сидит на порту входящем в др. виртыальную сеть) то свич фрейм просто не допустит на тот порт. На канальном уровне.

[Dmitry.Karpov http://www.]

Начнем с того, что распределение IP-адресов по машинам - дело добровольное: любая машина может взять себе любой IP-адрес, и никак кроме как дубинкой по хребту ее хозяина это не вылечишь. Да и MAC-адрес на новых сетевых картах подделать несложно. А иногда надо запретить доступ одних машин к другим - VLAN позволяют сделать это на уровне портов подключения; обойти это можно путем физического подключения в другой сегмент, но против лома помогают только железобетонные стены. Рекомендую почитать статью про безопасность на http://www.pi2.ru/prof

Но VLAN не полностью отсекает доступ - например, в такой конфигурации:
- первый порт свича включен во все VLAN'ы, и на нем сидит роутер с несколькими IP-адресами на одном сетевом интерфейсе; на роутере работает IP-фильтрация;
- остальные порты сидят каждый в своей VLAN.
В результате машины из разных сегментов (один порт свича == один сегмент) могут общаться, но только через роутер, на котором их базар фильтруют. Это интересно для случая, когда надо подключить много сегментов к роутеру на базе писюка, в который не воткнешь много сетевых карт. Но если сегментов мало, то лучше вставить несколько сетевых карт, а вместо свича с VLAN'ами использовать несколько простых свичей - будет гораздо дешевле.

А если свич не возволяет ввести один порт в несколько VLAN, то это просто отстой и suxxx!!! Или ты криво читал доки к нему.

Попробуй поставить задачу иначе - что за машины имеются в сети и кому куда по каким протоколам нужен доступ. А то я вообще не понял, зачем там несколько сетей класса C...

[gosha]

Привет.
1. Надо сначала почитать документацию(желательно самого 3Com), у него вроде все есть.
2. Люди тебе тут саветуют сделай два Vlan на порту -- дак этот свитч этого не умеет. Он умеет либо 1vlan, либо транк(802.1Q - через такой порт будут ходить все VLan).
3. 802.1Q - предполагает всавку тэга в каждый кадр(в этом тэге содержится информация о влане к которой принадлежит данный кадр, приоритет и трепуха всякая). Необходимо чтобы транк(802.1Q)был настроен с двух сторон иначе работать не будет поскольку тэг надо понимать.(про это все почитай сам)
4. 905карта - десктоповская неупраляемя карта.
Она не понимает 802.1Q. Следовательно тебе надо либо поменять карту например на 980(серверная 10/100 с 802.1Q), либо воткнуть в сервер столько карт 905 сколько у тебя вланов.
Соответсвенно на коммутаторе надо либо 802.1Q
либо создавть вланы на портах и подключать их к картам на сервере.

[Telebank]

В таком слуае какой свитч на 16-24 порта позволит создать 3 штуки Port VLAN, чтобы один порт входил во все 3 VLANa.
Не первый раз слышу, что 3СОМ 3300 не позволяет включать один порт в несколько VLANов. Такой свитч штука недешовая, не хотелось бы убедиться в этом после покупки.
Свитч ищется именно с этой целью - разделить три группы пользователей в удаленном офисе, но чтобы они имели выход к общему каналу связи (Zelax M-30)

[Yaks]

У тебя не совсем верная информация.
3Com 3300 как раз такой Switch, который позволяет это делать, т.е. включать один порт в несколько VLAN. Все дело в том, что это возможно при выполнении определенных условий, а именно: оба конца линка (и порт и сетевая карточка хоста) должны уметь работать с тэгированными пакетами, причем тэгирование д/быть в соответствии со стандартом IEEE 802.1Q.
Делается это так: на порту коммутатора - с помощью настроек, а на хост ставиться софт от 3Com под названием DynamicAccess. Понятно, что сетевая карта тоже должна быть от 3Com. Вся штука в том (в моем случае), что этот софт написан только для Win'9x и NT, а у меня
хост работает под UNIX.

[Yaks]

У тебя не совсем верная информация.
3Com 3300 как раз такой Switch, который позволяет это делать, т.е. включать один порт в несколько VLAN. Все дело в том, что это возможно при выполнении определенных условий, а именно: оба конца линка (и порт и сетевая карточка хоста) должны уметь работать с тэгированными пакетами, причем тэгирование д/быть в соответствии со стандартом IEEE 802.1Q.
Делается это так: на порту коммутатора - с помощью настроек, а на хост ставиться софт от 3Com под названием DynamicAccess. Понятно, что сетевая карта тоже должна быть от 3Com. Вся штука в том (в моем случае), что этот софт написан только для Win'9x и NT, а у меня
хост работает под UNIX.

[Yaks]

Привет.
Спасибо за совет. Я уже сам стал склоняться к тому, что выход в том, чтобы заменить карту на серверную 3Com980. Вопрос сейчас только в том, поймет ли эту карту моя FreeBSD 3.2?
По крайней мере, в LINT про эту карту ничего не упоминается. А ты ничего насчет этого не знаешь?

[Telebank]

Вот и я уперся в эту проблему - на самом деле общий для всех VLANов порт подключен к шифратору "NetPro IP Gateway", а как сказали ребята, которые его сопровждают, драйверов с поддержкой IEEE 802.1Q там нет, поэтому нужен свитч с аппаратной реализацией портовых VLANов. Вот и ищу такую модель, желательно подешевле.

[gosha]

Судя по документации, похоже что триком про эту систему совсем ничего не знает. Попробуй спросить у них самих на www.3com.com в разделе support или посмотри драйвера там же в разделе Download (они должны называться over Unix - но это только по моему).


Удачи !