https://slinkov.ru/openforum/vsluhforumID6/181.html Прошу не судить строго. Я совсем новичок в коммутаторах и построения сетей.<br><br>Имею такой вопрос:<br> <br>Не понимаю, что я делаю не так...<br> <br>Беру два коммутатора. Агрегация (QTech QSW-8300) и Доступ (QTech QSW-2800). Создаю и там и там два Влана. Один "Влан 7" для управления, другой "Влан 5" клиентский. Клиентский "Влан 5" имеет на Агрегации IP-адрес 192.168.11.1. Этот адрес является шлюзом для клиента и клиент к нему имеет полный доступ. Пингует его, и через него же имеет интернет и так далее...<br> <br>Для влана управления создан "Влан 7". С подсетью 192.168.0.0. Это адреса 192.168.0.101 (Агрегация) и 192.168.0.102 (Доступ). Оба свича соединены между собой транковыми портами.<br> <br>Клиенту я вручную прописываю IP-адрес 192.168.11.5 и тут получается заковыка, которая мне не ясна. Клиент прекрасно пингует (то есть имеет доступ) в свой родной "Влан 5" на Агрегации И ПРИ ЭТОМ ОН ТАК ЖЕ ПРЕКРАСНО ПИНГУЕТ и адрес чужого "Влана 7" Агрегации - 192.168.0.101. И мало того, через эту же Агрегацию при этом еще пингует и св https://slinkov.ru/openforum/vsluhforumID6/181.html#9 Fri, 05 Oct 2012 14:57:09 GMT Судя по постам человек вы упорный и это респект вам. В общем я считаю что таких работодателей надо подвешивать за ... Если уж взяли такого работника то минимально обучите его, хотя бы принципы построения. Конечно методом тыка и ошибок вы обучитесь, но узнаете не все аспекты и не все сразу будете делать верно.<br> https://slinkov.ru/openforum/vsluhforumID6/181.html#8 Fri, 05 Oct 2012 12:19:51 GMT &gt; В первом приближении :) <br><br>Ну, хоть в первом приближении. И то слава Богу! :)<br><br>Ведь это получается, как будто в обычный комп-сервер воткнуть пять сетевых карт, всем сетевушкам назначить IP-адреса из разных подсетей и подключиться к этому компу другим компом-клиентом. Стоит назначить клиенту шлюз из любого IP адреса сервера, как он начнет видеть все пять сетевых карт. Именно эта аналогия мне понятнее всего. Именно она и работает в коммутаторе. Именно в это я и не врубался. Думал, что в коммутаторе все гораздо сложнее. А он, зараза, тот же комп (ну, почти)... :)<br><br>Можно вопрос не по теме?<br>Я вообще правильно делаю, что довожу клиентский Влан через все коммутаторы до Агрегации и потом даю клиенту шлюз от этой самой Агрегации? Ну, при условии, что у меня в сети только только Агрегация и Доступы. Ядра нет. То есть сам подход верный, если строить небольшую сеть IPoE? Типа, Влан на абонента, или Влан на дом... Так, в принципе, нужно делать?<br><br>&gt; именно чтобы КОНТРОЛИРОВАТЬ подобное придуманы файрволы, брандмауз https://slinkov.ru/openforum/vsluhforumID6/181.html#7 Fri, 05 Oct 2012 11:53:44 GMT &gt;&gt; Учите матчасть...<br>&gt; Матчасть со всех своих страниц, черным по белому, учит меня тому, что <br>&gt; Вланы НЕ ДОСТУПНЫ друг другу по определению! Это аксиома! А тут <br>&gt; выходит форменное нарушение всех "законов физики". :) Читаю вас и получается <br>&gt; следующее: <br>&gt;&gt; ...IP назначения доступен через влан7 <br><br>Эх... учить вас и учить :)<br>VLANы НЕ ДОСТУПНЫ друг другу по определению!!! и это правильно и так оно и есть на самом деле... НО!!! для уровня 2!!!!! модели osi !!!!!!<br><br>А ip - это уровень 3 !!!!!!<br>Если хотите полной изоляции - vrf вам в помощь!<br><br>&gt; В общем я кажись врубаюсь. Получается, что если залезть внутрь железки, то <br>&gt; все адреса созданные в ней (из самых разных Вланов и подсетей) <br>&gt; будут доступны друг другу. Поэтому выходит, что если корректно подключиться к <br>&gt; этой железке хостом и назначить этому хосту ЛЮБОЙ IP-адрес из этой <br>&gt; железки в качестве шлюза, то начиная с этого момента, хост будет <br>&gt; пинговать через этот, назначенный ему шлюз, АБСОЛЮТНО ВСЕ адреса из этой <br>&gt; железки. Естественно, е https://slinkov.ru/openforum/vsluhforumID6/181.html#6 Fri, 05 Oct 2012 11:12:45 GMT &gt;&gt; Учите матчасть...<br><br>1. Изучит на досуге модель OSI<br>2. Что такое L3 коммутаторы<br>3. Отличие протоколов ethernet, arp, ip<br>4. Маршрутизация между вланами.<br><br>И тогда вопросы сами отпадут.<br><br> https://slinkov.ru/openforum/vsluhforumID6/181.html#5 Fri, 05 Oct 2012 10:41:10 GMT &gt; Учите матчасть...<br><br>Матчасть со всех своих страниц, черным по белому, учит меня тому, что Вланы НЕ ДОСТУПНЫ друг другу по определению! Это аксиома! А тут выходит форменное нарушение всех "законов физики". :) Читаю вас и получается следующее:<br>&gt; ...IP назначения доступен через влан7<br><br>В общем я кажись врубаюсь. Получается, что если залезть внутрь железки, то все адреса созданные в ней (из самых разных Вланов и подсетей) будут доступны друг другу. Поэтому выходит, что если корректно подключиться к этой железке хостом и назначить этому хосту ЛЮБОЙ IP-адрес из этой железки в качестве шлюза, то начиная с этого момента, хост будет пинговать через этот, назначенный ему шлюз, АБСОЛЮТНО ВСЕ адреса из этой железки. Естественно, если они находятся в состоянии "UP".<br><br>Ну, хоть сейчас-то я правильно понял? :)<br> https://slinkov.ru/openforum/vsluhforumID6/181.html#4 Fri, 05 Oct 2012 09:29:14 GMT &gt;[оверквотинг удален]<br>&gt; Агрегации во "Влане 5". Я не понимаю ПОЧЕМУ это самый адрес <br>&gt; из Vlan 5 имеет доступ в чужой Vlan 7!!! Это что, <br>&gt; так и должно быть? Разве Вланы не должны быть изолированы друг <br>&gt; от друга в коммутаторе?! Тем более Вланы с разными подсетями.<br>&gt;&gt; пинги из одного влана в другой попадают не по вине коммутатора, а <br>&gt;&gt; по вине маршрутизатора - вот на нем и думайте что делать....<br>&gt; Получается, что "Коммутатор Агрегации" как таковой - он же есть маршрутизатор ПО <br>&gt; УМОЛЧАНИЮ? То есть как бы объединяет внутри себя все Вланы между <br>&gt; собой? И это так и должно быть? Или я что-то совсем <br>&gt; не понимаю.<br><br>Не понимаете..<br>IP пакет (пинг например) "помещается" в езернет фрейм, фрейм попадает в влан 5 на коммутаторе доступа, коммутатор отправляет его внутри влана5 на агрегацию, на шлюзе из фрейма "извлекается" IP пакет и анализируется IP адрес назначения, IP назначения доступен через влан7; <br>Шлюз формирует новый фрейм, в который помещает все тот же ip пакет (заметьте - пакет тот же самый https://slinkov.ru/openforum/vsluhforumID6/181.html#3 Fri, 05 Oct 2012 09:07:24 GMT &gt; пингуете вы потому как прписан гетвей и на гетвее у вас есть <br>&gt; и ИП другого влана который прекрасно роутиться :) <br><br>Да это я понимаю, что все упирается в шлюз 192.168.11.1, находящийся в Агрегации во "Влане 5". Я не понимаю ПОЧЕМУ это самый адрес из Vlan 5 имеет доступ в чужой Vlan 7!!! Это что, так и должно быть? Разве Вланы не должны быть изолированы друг от друга в коммутаторе?! Тем более Вланы с разными подсетями.<br><br><br>&gt; пинги из одного влана в другой попадают не по вине коммутатора, а <br>&gt; по вине маршрутизатора - вот на нем и думайте что делать.... <br><br>Получается, что "Коммутатор Агрегации" как таковой - он же есть маршрутизатор ПО УМОЛЧАНИЮ? То есть как бы объединяет внутри себя все Вланы между собой? И это так и должно быть? Или я что-то совсем не понимаю.<br><br>Сори еще раз. Совсем я чайник в этих делах. :(<br><br> https://slinkov.ru/openforum/vsluhforumID6/181.html#2 Fri, 05 Oct 2012 08:54:19 GMT &gt; пингуете вы потому как прписан гетвей и на гетвее у вас есть <br>&gt; и ИП другого влана который прекрасно роутиться :) <br><br>VLAN - l2,<br>ip - L3,<br><br>пинги из одного влана в другой попадают не по вине коммутатора, а по вине маршрутизатора - вот на нем и думайте что делать....<br><br> https://slinkov.ru/openforum/vsluhforumID6/181.html#1 Fri, 05 Oct 2012 08:35:57 GMT пингуете вы потому как прписан гетвей и на гетвее у вас есть и ИП другого влана который прекрасно роутиться :)<br>