Hard Понимание VLAN и их правильная организация

Приветствую форумчан. Вопрос типичный довольно. В общем мне хочется сделать отдельный VLAN для финансовой части (около 7 хостов) и чтобы была возможность из этого VLAN ходить в Интернет. Есть роутер Cisco 2821 и Juniper EX2220 в качестве свича. Ну на свиче то ясно как создать VLAN и оный привязать к конкретным портам.

Вопрос, который меня гложит таков:

Как настроить роутер, чтобы в VLAN была связь со всей остальной сетью и главное был интернет?

Я так полагаю, что нужно создать на роутере сабинтерфейс, где описать подсеть VLAN. Кто-нить может описать подробнее и конкретно?

Заранее спасибо за ответы!

 

Поместить 7 хостов в отдельный vlan (порты к хостам не тегировать), обеспечить маршрутизацию из данного vlan-а до вашего шлюза/прокси смотрящего в интернет.
Итого: хосты <=> (7 нетэгированных портов) Juniper (тэг) <=> (тэг) Cisco <=> интернеты.

Хорошее описание принципов работы vlan:
http://xgu.ru/wiki/vlan

 

Очень ценная информация! Благодарю. Ещё я забыл указать следующее: дело в том, что сеть в основном офисе (3 этажа) сделана довольно странно и получается идёт сверху вниз, то есть на верху стоит роутер, он соединён одним из 2 своих физических интерфейсов с коммутатором, тот коммутатор соединён с коммутатором на этаже 2, а тот в свою очередь соединён с коммутатором на этаже 1. Вот такая ядрёная схема взаимозавязки этажей. Жалко не умею рисовать схемы сети, кроме как в Paint, но это убого.

То есть план такой:

1) на коммутаторе этажа 2 создаю VLAN и назначаю его на порты, которые идут в нужный мне для выделения отдел,

2) на коммутаторе этажа 3 перевожу порт, который идёт в коммутатор этажа 2 в режим trunk (чтобы он пропускал нужный VLAN),

3) теперь на роутере настраиваю подинтерфейс, которому назначаю адрес из подсети VLAN с маской префиксом /24

4) наконец на коммутаторе этажа 2 для VLAN указываю шлюзом роутер, чтобы интернет был,

Теперь в теории должно всё заработать. Ничего не упустил?

P.S. а ещё может кто-нить мне посоветовать прогу Линуксовую или Виндовую или универсальную, которой можно схемы сети рисовать?

 

Боюсь не совсем понял, но первые два пункта вроде как верно, последние два на ваше усмотрение.
Просто предложу последовательно разбить задачу на подзадачи, нарисовать схему, хотя бы для себя на бумаге:
0. Построить физическую схему сети.
1. Построить vlan-ы (главное понимать что они работают на 2-м, канальном уровне).
2. Строить маршруты.

Вот ПО, с которым мне довелось поработать:
Под линухом/виндой отличный редактор диаграмм "DIA" - если нужно просто нарисовать схему. Под виндой самая простая - "FPinger". Еще есть "Dude" - работает с мониторингом по SNMP (нарисует схему сети сам). Да куча всего есть, самой разной сложности и навороченности

 

А почему так? Ведь я так понял, что если я на роутере не создам подинтерфейс с адресом из подсети VLAN, то тогда в VLAN не будет Интернета (неприемлемо). А если не сделаю шаг 4, то тогда VLAN не будет знать, что у него обеспечивает Интернет, грубо говоря (или будет, ведь эти VLAN на 2 уровне работают, а не на 3 уровне ip?). Поясните пожалуйста опциональность 3 и 4 пунктов.

 

По п.3 я имею ввиду, что ip/маска не привязаны к vlan.id, а так все верно! Например, у нас vlan 101, для него делаем сеть 192.168.101.0/24. Будет примерно такая схема:

vlan 101 => port0 (физ.интерфейс маршрутизатора) => eth0.101 192.168.101.1/24 (лог.интерфейс маршрутизатора)

По п.4: коммутатор на 2 этаже может работать вообще ничего не зная про ip-адреса. Он просто должен быть в vlan 101 (trunk, т.е. порт обращенный к машрутизатору с тэгом 101).

Клиенты же ничего не знают про vlan-ы, они просто идут за интернетом на шлюз 192.168.101.1, коммутатор добросовестно пускает их к нашему маршрутизатору. Надеюсь более-менее понятно объяснил

 

Я знал, что когда-нибудь этот умник спросит и про вланы.

Nosferatu, завязывай уже. Есть специализированные форумы, где людям доставляет удовольствие помогать другим вроде тебя, которые нихрена не знают и не ищут.

 

Да, да, я понял. Тогда всё даже несколько проще, чем я полагал. Не нужно в принципе заморачиваться с маршрутизацией на свичах. Однако я нашёл любопытную статью по D-link:

http://biparasite.ru/?p=214

Я вот в ней одного не пойму. Статья вроде хороша и многое объясняет, но вот это странно:

Первые пункты ясны, но зачем третья строка нужна? И почему порты 25-26 тэгированные? И обязательно ли вообще выполнять 3 строку? Судя по характеристикам коммутаторов эти 2 порта просто гигабитные порты.

Ну если ты считаешь себя таким знатоком, то напиши нам тупым лучшую схему и предложи более детализированное описание с учётом последних научных достижений.

 

Nosferatu, нет, я просто считаю тебя полным кретином.

 

Nosferatu, кратко пробежался по статье. 25-26 порты там сразу в двух виланах - 1001, 2001, по сути они равнозначные (т.е. без разницы через какой порт подключаться).
1001 - рабочая сеть.
2001 - для управления.
Можно было было задать например 25 - 1001, 26 - 2001, тогда пришлось бы помнить какому порту какой vlan соответствует.

Goblinit, нет ничего плохого в том чтобы задавать вопросы.. Отвечать тоже полезно, это закрепляет знания.

 

Нет, нет, я понял, что там интерфейсы 1 и 2 на главном коммутаторе в схеме настроены на пропуск фреймов VLAN 1001 и 2001. Речь шла конкретно вот об этом:

Почему во второй строке 25 и 26 порты показаны как тэгированные? Я так понял, что 25 и 26 это гигабитные порты (или нет), но какой они имеют тогда тэг? Конечно я думаю, что к моей проблеме это не имеет отношения, но почему в статье написано именно так?

А ещё несколько общий вопрос по VLAN. Я правильно понял, что несмотря на то, что всё взаимодействие идёт на уровне 2 OSI, но тем не менее на 3 уровне взаимодействия между сетью и подсетью работать не будет? То есть, проще говоря из основной сети - 192.168.1.0 не будет пинговаться подсеть VLAN - 192.168.2.0? Это за собой повлечёт то, что не получится подключаться удалённо к хостам подсети VLAN прогами типа Radmin и просто ходить на эти компы чрез cmd или Total commander.

Тогда вопрос. А как тогда сделать удалённый доступ к этим компам чрез проги типа Radmin или через консольку, Total commander? Для работы чего-то типа Radmin могу предположить что нужен проброс порта на роутере в эту подсетку. Я прав или есть какое-то более подходящее решение?

P.S. хотел бы попросить администрацию почистить тему от ненужного здесь информационного мусора в виде сообщений некоторых пользователей и этих так сказать "пользователей" в целом, дабы другие пользователи могли почерпнуть из темы полезную информацию, а не никому не нужную чушь.

 

Epifan, ты просто ещё не знаешь, кому помогаешь. Типичный ведь вопрос из серии "сделайте, пожалуйста, за меня мою работу и бесплатно."

---------- Сообщение добавлено в 16:34 ---------- Предыдущее сообщение размещено в 16:34 ----------

Nosferatu, мозг себе почисти, нужный ты наш.

 

Nosferatu, видимо через 25 и 26 порты коммутаторы общаются между собой, на 1-24 сидят клиенты. Тэг == vlanid.

Кратко: если хосты в разных vlan - взаимодействия между ними не будет.

В вашем случает маршрутизатор будет как минимум в двух виланах, соответственно он и будет передавать трафик между ними.

Еще раз советую почитать (внимательно!):
http://xgu.ru/wiki/vlan
или даже вначале это:
http://rfc.com.ru/rfc1180.htm

 

Goblinit, упырь мел. Мне тоже не нравятся эти откровенно ламерские темы, но это не повод оскорблять участников форума. Рекомендую выразить свою неприязнь через личный кабинет, добавив Nosferatu в список игнорирования.

 

Несколько дней назад задачу с ВЛАН удалось успешно решить даже несмотря на разновендорное оборудование в сети. Теперь практически всё понятно. Epifan спасибо, а остальным напомню о том, что "каким судом судите, тем и будете судимы".

А зачем вообще нужны форумы, на которых такие как ты говорят о том, что всего лишь совет это якобы выполнение работы за кого-то? Или разве общение это не обмен информацией? Вопросы риторические.