Vlan, D-link DES-1252 Help! Опускаю руки...

[Skeptik]

Доброго Времени суток!

Что имеем:

Имеем 30 компьютеров + 1 сервер с WinXP и KerioWinRoute Firewall c выделенной линией интернета (по LAN 5mbit).

Задача:

Разделить 30 компьютеров по группам (6 групп по 5 машин) и открыть каждому пользователю группы доступ в интернет,

при этом между группами не должно быть связи (доступа), только внутри группы.

Проблема:

С подачи знакомого заморочился с Vlan группами, купил D-link DES-1252. Как я понял, для задуманного с использованием Vlan

придется докупать отдельные сетевые платы с поддержкой 802.11q на каждый компьютер-клиент ?? Если да, то это очень плохо так

как половина компьютеров - ноутбуки. Следовательно сразу еще один вопрос: Возможно ли использовать данный свитч просто как свитч (с настройками по умолчанию это не получается), чтобы разделить всех просто IP адресами??? Или все же можно воспользоваться Vlan??

Help! Я запутался.... :1eye:

[студент_86]

Как я понял, для задуманного с использованием Vlan

придется докупать отдельные сетевые платы с поддержкой 802.11q на каждый компьютер-клиент ?

802.11q - это опция маршрутизатора, сетевые карты нужны обыкновенные

Возможно ли использовать данный свитч просто как свитч (с настройками по умолчанию это не получается)

должно быть возможно (vlan - опять же просто опция), Вы уверены что сами компьютеры настроены правильно для работы в сети (ip, маска, шлюз, днс и т.д.)?

ps вообще XP поддерживает только 10 подключений одновременно (если это ограничение не снято путем специального кряка), для того чтобы выпускать в инет 30 машин этого наверно маловато

Изменено 12 февраля, 2008 пользователем студент_86

[Andrey_al]

802.11q - это опция маршрутизатора, сетевые карты нужны обыкновенные

при условии, что твой сервер или роутер поддерживают работу с 802.1Q VLAN, свитч только обрабатывает тегированные пакеты

Или все же можно воспользоваться Vlan??

почему бы не воспользоваться, это решит твою задачу достаточно простым путем, но, возможно, есть смысл попробовать свитч, поддерживающий port based VLAN, он гораздо проще в настройках, просто тупо помечаешь какой физический порт к какой группе относится и все... и по стоимости это решение гораздо дешевле

[Skeptik]

при условии, что твой сервер или роутер поддерживают работу с 802.1Q VLAN, свитч только обрабатывает тегированные пакеты

почему бы не воспользоваться, это решит твою задачу достаточно простым путем, но, возможно, есть смысл попробовать свитч, поддерживающий port based VLAN, он гораздо проще в настройках, просто тупо помечаешь какой физический порт к какой группе относится и все... и по стоимости это решение гораздо дешевле

Насчет based Vlan - было бы неплохо, только D-Link DES-1252 уже у меня :bye1: Я не могу этот свитч заставить просто работать, два покдлюченных ноутбука не видят друг друга при стандартных настройках свитча.

Если знаете, подскажите, как можно реализовать поставленные задачи именно на данном свитче?? По умолчанию создана одна группа vlan - VID 01, name - default. Где прописаны все порты в режиме Untag. Всего возможны три режима untag, tag, not member. Не пойму что это значит....

[Yezhishe]

Где прописаны все порты в режиме Untag. Всего возможны три режима untag, tag, not member. Не пойму что это значит...

Хоть и не знаком я с моделью твоего роутера, но даже из этого скудного описания понятно, что он позволяет настроить порты для обработки пакетов проходящих данных, либо не снабженных тэгами (Untag), либо снабженных (tag), либо не входящими в одну из этих групп (не являющихся членами - not member). Соответственно, исходя из логики построения сетей и приведённых тобою иллюстраций, делаю вывод - у тебя есть возможность задать до 24-х групп пользователей, имеющих доступ к Сети (Интернету), между собою не пересекающихся. Соответственно, надобно перевести роутер в режим VLAN Port Based, и определить группы пользователей. Настроить для каждой из групп свою Виртуальную Локальную сеть (VLAN) и каждой VLAN выделить свой порт. В общем - читай мануал к роутеру... Там всё это должно быть расписано как букварь...

[Andrey_al]

не могу этот свитч заставить просто работать, два покдлюченных ноутбука не видят друг друга при стандартных настройках свитча.

возможно свитч тут ни при чем, по - умолчанию, все VLAN отключены, это группа default (которую нельзя удалить) и все порты выставлены в значение untag, т.е., практически, работают, как порты в обычном свитче..., так, что скорее всего надо смотреть настройки ноутов, которые друг друга не видят... а пинг проходит между прибамбасами, которые не видят друг друга? что значит не видят? не видят в сетевом окружении?

только D-Link DES-1252 уже у меня

не нашел админки 1252, а только 1250, но предполагаю, что разница небольшая, может быть внешне немного отличаются, конечно, но, смысл остается тот же, настройки интуитивно понятны... первую группу мы не трогаем и оставляем, как есть...

нажимаем кнопу Add new VID, появляется следующее окошко, в котором мы и создаем членов новой группы

выбираем членов VLAN 2 (помечаем те порты, которые по нашей задумке должны принадлежать к этой группе), к пакетам проходящим через эти порты будут дописываться теги второй группы... по аналогии создаем другие группы и их членов, судя по админке их может быть до 4094..., один и тот же порт может входить в разные группы... untag мы не используем, он может быть только в одной группе (из инструкции к твоему прибамбасу), и эта группа default, вот, вроде, и все, не забываем жать кнопу Apply, после того, как сформировали новую группу

Изменено 14 февраля, 2008 пользователем Andrey_al

[Skeptik]

возможно свитч тут ни при чем, по - умолчанию, все VLAN отключены, это группа default (которую нельзя удалить) и все порты выставлены в значение untag, т.е., практически, работают, как порты в обычном свитче..., так, что скорее всего надо смотреть настройки ноутов, которые друг друга не видят... а пинг проходит между прибамбасами, которые не видят друг друга? что значит не видят? не видят в сетевом окружении?

не нашел админки 1252, а только 1250, но предполагаю, что разница небольшая, может быть внешне немного отличаются, конечно, но, смысл остается тот же, настройки интуитивно понятны... первую группу мы не трогаем и оставляем, как есть...

нажимаем кнопу Add new VID, появляется следующее окошко, в котором мы и создаем членов новой группы

выбираем членов VLAN 2 (помечаем те порты, которые по нашей задумке должны принадлежать к этой группе), к пакетам проходящим через эти порты будут дописываться теги второй группы... по аналогии создаем другие группы и их членов, судя по админке их может быть до 4094..., один и тот же порт может входить в разные группы... untag мы не используем, он может быть только в одной группе (из инструкции к твоему прибамбасу), и эта группа default, вот, вроде, и все, не забываем жать кнопу Apply, после того, как сформировали новую группу

Именно так я и пробовал создавать группы - не получилось. Не "видят" друг друга - значит, что пинг не проходит. Настройки буков: Рабочая группа - mshome, IP- 192.168.0.3 - 192.168.0.4 (255.255.255.0) Сам свитч имеет адрес 192.168.0.1

В чем дело непонятно.... :blush2:

[Yezhishe]

Не "видят" друг друга - значит, что пинг не проходит. Настройки буков: Рабочая группа - mshome, IP- 192.168.0.3 - 192.168.0.4 (255.255.255.0) Сам свитч имеет адрес 192.168.0.1

Странный, но от этого не менее актуальный вопрос - включён ли Брандмауэр Windows? (похоже что таки да, ибо включается по умолчанию...)

Выключить следует эту гадость :blush2: незамедлительно! Причём - не просто из Свойств сетевого соединения, а как Службу! Ну и, натурально, перезагрузиться......

P.S. Надеюсь, основной шлюз и DNS-сервер на ноутах прописаны как 192.168.0.1?

Изменено 14 февраля, 2008 пользователем Yezhishe

[Skeptik]

Странный, но от этого не менее актуальный вопрос - включён ли Брандмауэр Windows? (похоже что таки да, ибо включается по умолчанию...)

Выключить следует эту гадость :blush2: незамедлительно! Причём - не просто из Свойств сетевого соединения, а как Службу! Ну и, натурально, перезагрузиться......

P.S. Надеюсь, основной шлюз и DNS-сервер на ноутах прописаны как 192.168.0.1?

Вырубил Брандмауер и пинг прошел :blush2:

Попробовал создать несколько групп:

1 группа - 1-5 порт (untag)

2 группа - 6-11 порт (untag)

3 группа - 12-17 порт (untag)

Внутри групп пинг идет, в пределах группы нет. Возможно ли, в эти группы добавить общий порт 52?? .... чувствую, что пошел не той дорогой. Можно подробнее мне объяснить, что значит tag/untag??

[Andrey_al]

Можно подробнее мне объяснить, что значит tag/untag??

попробуй после этого сказать, что ты умеешь читать... если ты прочел мой пост (мануал к прибамбасу ты, точно, решил не читать принципиально), то сделал с точностью до наоборот

untag мы не используем, он может быть только в одной группе (из инструкции к твоему прибамбасу), и эта группа default

если ты создаешь VLAN оставь эти untag в покое, пользуемся только понятием - член этой группы или же не член, tag - член группы, not memder - прямо противоположное понятие

что значит tag/untag??

принцип действия тэгированных виланов - это добавление в передаваемые пакеты тэгов, определяющих принадлежность их к той или иной группе

Тэг VLAN — метка, добавляемая к Ethernet-пакетам, для выделения разных виртуальных каналов данных в одном физическом канале. Определяется в стандарте IEEE 802.1Q.

тэг = метка, если так проще, соответсвенно tag - наличие этой метки, а untag - отсутствие метки, т.е. пакет без изменений, такой какой бы он был, если бы мы не использовали виланов, таким образом при создании новой группы мы просто отмечаем те порты (tag), которые по нашему плану должны входить в вилан, по-умолчанию при создании новой группы вылезает уже готовая заготовка, где все порты помечены - not member, остается только щелкнуть мышкой по тем портам, которые будут в этой группе, ничего больше не трогая... и подтвердить свой выбор - Apply

Изменено 14 февраля, 2008 пользователем Andrey_al

[Skeptik]

попробуй после этого сказать, что ты умеешь читать... если ты прочел мой пост (мануал к прибамбасу ты, точно, решил не читать принципиально), то сделал с точностью до наоборот

если ты создаешь VLAN оставь эти untug в покое, пользуемся только понятием - член этой группы или же не член, tug - член группы, not memder - прямо противоположное понятие

принцип действия тэгированных виланов - это добавление в передаваемые пакеты тэгов, определяющих принадлежность их к той или иной группе

тэг = метка, если так проще, соответсвенно tug - наличие этой метки, а untug - отсутствие метки, т.е. пакет без изменений, такой какой бы он был, если бы мы не использовали виланов, таким образом при создании новой группы мы просто отмечаем те порты (tug), которые по нашему плану должны входить в вилан, и больше ничего не трогаем

Чего ты ругаешься, читал я манул :blush2: . Он на английском, мало, что понятно. За объяснение спасибо! :blush2:

Машины не пингуются в созданных группах, путем добавления портов в режиме tag, причем не пингуют и сам свитч. Если в свитче больше ничего трогать не надо, то в чем причина? Подскажи пожалуйста, какие необходимы настройки компьютеров??

[Andrey_al]

хорошо, если, допустим, взять простой неуправляемый свитч и подключить к нему эти же 2-3 компьютера, то они видят друг друга? еще посмотри, что бы в настройках твоего свитча управляемого порты были все включены, там есть возможность вкл/выкл, IP адрес свитча назначен из той же подсети? в статусе портов, при подключении компьютера отображается его нормальное подключение?

Изменено 14 февраля, 2008 пользователем Andrey_al

[Skeptik]

хорошо, если, допустим, взять простой неуправляемый свитч и подключить к нему эти же 2-3 компьютера, то они видят друг друга? еще посмотри, что бы в настройках твоего свитча управляемого порты были все включены, там есть возможность вкл/выкл, IP адрес свитча назначен из той же подсети?

Да, порты включены. Компьютеры подключал к обычному свитчу и все ОК! IP адрес свитча из той же подсети. Брандмауер отключен полностью. Свитч все равно не пингуется.

[Andrey_al]

можно полностью гарантировать исправность железки и отсутствие брака? просто без настроек свитч должен работать, как обычный, умолчальные установки именно такие, попробуй скинуть настройки на заводские, потом ничего не меняя в настройках, кроме IP адреса свитча, попробуй подключить к нему пару компьютеров, если у тебя в сети есть DHCP сервер, то присвой свитчу адрес вне диапазона арендуемых адресов

Изменено 14 февраля, 2008 пользователем Andrey_al

[Skeptik]

можно полностью гарантировать исправность железки и отсутствие брака? просто без настроек свитч должен работать, как обычный, умолчальные установки именно такие, попробуй скинуть настройки на заводские, потом ничего не меняя в настройках, кроме IP адреса свитча, попробуй подключить к нему пароу компьютеров, если у тебя в сети есть DHCP сервер, то присвой свитчу адрес вне диапазона арендуемых адресов

Железка новая, больше ничего сказать не могу. С настройками по умолчанию работает как обычный хаб (заработал когда Брандмауер отключил). Забиваю порт в группу и ставлю tag, и все. Даже свитча не видит

В настройках сетевой карты ничего менять не надо?

[Andrey_al]

порт с которого пингуется роутер тоже в той же группе? попробуй изменить MTU на 1496 (вместо 1500), чем управляется твоя сеть? кроме этой железки, что еще присутствует? сервер, роутер, и т.д., посмотри в сетевых картах в закладке дополнительно, если есть пункты: 802.1Q/1p VLAN Tagging, тогда = Enable

Изменено 14 февраля, 2008 пользователем Andrey_al

[Skeptik]

порт с которого пингуется роутер тоже в той же группе? попробуй изменить MTU на 1496

Пингуется свитч с любого порта который в любой группе, но в режиме untag. В настройках сетевой карты нашел Vlan=disable, изменил на enable, не помогло. Я извиняюсь, но что такое MTU ??

[Andrey_al]

в режиме untag порт работает как обычный без меток, MTU - максимальный размер передаваемых пакетов, в вольном переводе, можно попробовать им поиграть, т.к. размер пакета с меткой (тэгом) отличается размером от стандартного

[Skeptik]

Пингуется свитч с любого порта который в любой группе, но в режиме untag. В настройках сетевой карты нашел Vlan=disable, изменил на enable, не помогло. Я извиняюсь, но что такое MTU ?? В сети ничего больше нет. Предположим, что дело было бы в настройках карты пункт Vlan-disable, но данный пункт есть не взде. Выходит, чтобы пользоваться vlan нужны новые сетевые платы.

[Andrey_al]

сделай картинку с настройками твоих виланов и пошли вот сюда http://79.172.72.111/upload/ , если есть мануал к прибамбасу в электронном виде, тоже его туда брось, вообще существуют сетевые карты со специальной поддержкой 802.1Q VLAN на основе меток, как быстрое решение - создай разные рабочие группы и они не будут иметь доступ друг к другу, а свитч поставь в простой режим и неспеша изучай его возможности, если, конечно, работа сети кретична, конечно этот вариант временный...

Изменено 14 февраля, 2008 пользователем Andrey_al

[Skeptik]

сделай картинку с настройками твоих виланов и пошли вот сюда http://79.172.72.111/upload/ , если есть мануал к прибамбасу в электронном виде, тоже его туда брось, вообще существуют сетевые карты со специальной поддержкой 802.1Q VLAN на основе меток

Бросил. Вот я и говорю, с обыкновенными сетевухами не получится чтоли?

[Skeptik]

сделай картинку с настройками твоих виланов и пошли вот сюда http://79.172.72.111/upload/ , если есть мануал к прибамбасу в электронном виде, тоже его туда брось, вообще существуют сетевые карты со специальной поддержкой 802.1Q VLAN на основе меток, как быстрое решение - создай разные рабочие группы и они не будут иметь доступ друг к другу, а свитч поставь в простой режим и неспеша изучай его возможности, если, конечно, работа сети кретична, конечно этот вариант временный...

Наверное так и сделаю.....

[Andrey_al]

Вот я и говорю, с обыкновенными сетевухами не получится чтоли?

может и получится, если они смогут принимать нестандартные пакеты, в некоторых картах есть возможность включить большой фрейм, опять же попробуй изменить MTU на 1496, фишка в том, что при стандартном MTU = 1500 тегированный кадр составляет не 1518 а уже 1522 байта, уменьшив значение MTU ты приведешь тегированные пакеты к стандартному размеру, это только предположение, но почему не попробовать? в некоторых коммутаторах бывает функция port isolation, которая изолирует порты, входящие в один вилан, друг от друга, нет ли такой функции в твоей железке?

Изменено 14 февраля, 2008 пользователем Andrey_al

[Andrey_al]

покурил мануал, который ты мне выслал, вроде понял как сделать, если выбрать членов вилана и пометить их, как untag, свитч должен работать как port based VILAN (похоже длинк так замаскировал эту функцию), попробуй удалить то что создавал раньше и сделать две группы, например по два компьютера в каждой, если они будут видеть друг друга внутри группы и не видеть компьютеры из другой группы, тогда мы победили :), отпишись, если получится, мне, просто, тоже интересно стало...

Изменено 15 февраля, 2008 пользователем Andrey_al

[Skeptik]

покурил мануал, который ты мне выслал, вроде понял как сделать, если выбрать членов вилана и пометить их, как untag, свитч должен работать как port based VILAN (похоже длинк так замаскировал эту функцию), попробуй удалить то что создавал раньше и сделать две группы, например по два компьютера в каждой, если они будут видеть друг друга внутри группы и не видеть компьютеры из другой группы, тогда мы победили :), отпишись, если получится, мне, просто, тоже интересно стало...

Да, ты прав! Тот же самый port based. Создал несколько групп как untag. Внутри групп связь есть, вне - нет. Но untag порт может быть только в одной из групп. Как тогда открыть доступ к серверу всем группам?? С Vlan тоже разобрался, включил на сетевой карте Vlan и присвоил #VID, перевел порт группы в tag и все. Только вот проблема в том, что, как я понял, если мы строим группы с помощью port based, то теряем возможность добавить один порт во все группы. При использовании Vlan tagged такой фигни нет, но дело в том, что не все сетевые карты поддерживают vlan, а как я уже говорил, половина компьютеров ноутбуки. Как ты думаешь, возможно связать одну группу vlan tagget с группами Untag ???