Здравствуйте all!

Необходимо настроить VPN на 2-х свичах HP. Схема следующая:


| |----------------| |
K1 -- | | | |-- K3
|S1| |S2|
| | | |
K2 -- | | | | -- K4


K1, K2, K3, K4 - Компьютеры.
S1, S2 - Cвичи.

Необходимо что бы K1 видел K3 и К4, но при этом К2 видел только К4.

Уважаемые форумчане:
1) Про транки я слышал.
2) Меня интересуют именно НР (если напишете про 2626 или 6108 то вообще супер).

Заранее спасибо.
Добавлено @ 06:34
Схема заметно попортилась из за вырезки пробелов, что нерадует.

***********************
****| *|----------------|* |***
K1 -- | *|********* |* |-- K3
****|S1|******* *|S2|****
****| *|******** |* |*****
K2 -- | *|******** |* | -- K4
***********************

Вместо звездочек пробелы

Насколько я понял под VPN имелось в виду VLAN
Свичи поддерживают VLAN? Ты бы хоть ссылочку дал на технич. описание свичей.

P.S. форум поодерживает вставку картинок.

Да сорри конечно же VLAN, просто сижу еще с VPN по самые ноздри. Свичи VLAN поддерживают и даже поддерживают GVRP. Свичи управляемые.

Ссылка вот:

http://h10010.www1.hp.com/wwpc/ru/ru/sm/WF...1-31617187.html

Например так:
VLAN1: k1,k3,k4
VLAN2:k2,k4

DENNN, можно поподробнее

не понял схемы. можешь заключить весь участок схемы в блок "код", без подсветки. тогда пробелы сохранятся.

пока.

Куда подробнее?
В первый VLAN заключаешь k1,k3,k4
Во второй VLAN запихиваешь k2,k4

Не забыв при этом включить 802.1q VLAN на свичах

не знаю как на ХП, а вот на длинках нельзя один untagged порт включать в два влана...

Не проще ли поставить роутер с access листами на нём?

Здравствуйте All,
поднимаю тему, так как проблема похожая... о чем говорил DENNN я понимаю, было бы под рукой железо обязательно проверил бы... но не судьба... свич 3-комовский, в мане черным по белому написано, что при желании общаться между VLANами извольте пользоваться маршрутизатором...
грубо говоря у меня куча VLANов, на которых сидят клиенты, видеть друг друга они не должны, но при этом все должны видеть сервера, как и сервера их,... у меня чесно говоря действительно сомнения насчет нормального разбора свичем трафика от, например, серверов, в случае обьеденения порта в несколько VLANов, пойдет ли он во все заявленные вланы ?... сомнений правильного разбора конечными клиентами taged трафика у меня поменьше будет... но все же есть
заранее спасибо

PS: кстати TCP/IP тут не светит, из-за отсутствия такого

Это сообщение отредактировал(а) Ashlander - 2.7.2007, 17:48

Ashlander, 
ты от нас чего хочешь? Сам говоришь, твой свич 802.11q не умеет и смешивать клиентские виланы тебе тоже нельзя.
Если ставить нормальное оборудование или еще один маршрутизатор проблема, то мн в голову приходит только одна идея: поставить в этом месте свич, умеющий port-based vlan и кидать все на сервер, а там уже деалть полноценную маршрутизацию между VLAN (кому куда можно, куда нельзя и т.д.)

ну 802.11q действительно не поддерживается, потому как безпроводкой тут и не пахнет , а вот  802.1q свич, судя по тем же манам, как раз поддерживается... иначе я бы не морочал вам голову tagged трафиком... скорее я бы хотел услышать действительно ли можно обойтись в этом случае без маршрутизатора... нагуглил я чтото маловато, но мне хватило того факта, что в пакеты добавляется информация по самим ВЛАНам (идентификатор например)... 
вот здесь и сомнения... допустим мы пометили клиента (untagged) VLAN1, сервер (tagged) VLAN1 VLAN2... как будет обрабатываться исходящий от сервера трафик ? пойдет ли он в обе VLAN сети ?...

ЗЫ: все что приводилось как пример использования tagged портов - обьединение двух свичей (и тут без коментариев)

Будет сильно зависеть от структуры сети, маршрутизации на уровне IP и того, какие пакеты послал маршрутизатор: в какой-то конкретный VLAN-интерфейс, поднятый у него или просто tcp-кадр без токена VLAN.

Это сообщение отредактировал(а) DENNN - 4.7.2007, 09:58

в этом то и дело... самое первое и самое главное - ну просто нет у нас ни тсп ни айпи... есть netbios, ... соответственно разруливать все что к нам приходит нужно по портам
попробую в деталях, сеть очень проста, свич и напрямую сервера с клиентами...  сервера выношу в один влан,... клиентов по-группно тоже по разным + в каждый же добавляю сервера (tagged), дабы сервера могли взаимодействовать с любым клиентом... но сегодня игрался со свичем, попробовал соединить подобным образом... облом... сервера не видны...
может я конечно еще чтото не учел, если да то подскажите...

значится при таких раскладах нужен такая же  port-based маршрутизация (?!)... мда... нет чегото я таки не вижу

Это сообщение отредактировал(а) Ashlander - 5.7.2007, 15:43

Интересное заявление насчет отсутствия. А вы не пробовали хоть раз посмотреть сниффером netbios трафик? 


Ничего не понял. На стороне клиента смотрели что приходит? Доходят IP-пакеты?


При одном свиче возможна port-based VLAN маршуртизация. Port-based VLAN умеют даже самые дешевые 16-типортовые SOHO свичи. Например compexPS2216 или Planet (не помню маркировку). К примеру. Выставляешь dip-переключателями, либо через конфигурялку что трафик со всех портов может идти только на первый, а с первого порта на любой. И получаешь то, что тебе нужно: все сервера на первом порту этого свича, клиенты на остальных и им видны только сервера.

ясно к чему вы ... используется netbeui, IPX/SPX

мда я сморозил насчет серверов... сервера добавлялись в каждый влан как tagged... от клиентов к серверам ничего не доходило (с этого все начинается, а не доходит значит дальше проверять не имеет смысла)

спасибо курю... если б еще так все просто было ... кстати облазил документацию, софтверно не выставляется - буду искать по джамперам 
и на сколько я понимаю, в таком варианте клиенты между собой взаимодействовать просто не смогут... только клиент - сервер, сервер - клиенты

вопрос кстати отпадает - нужен маршрутизатор, силами свича это не сделать :( ибо это 2 Layer switch, а маршрутизацией может заниматься только 3 ([B]не плохая статья[/B])

Это сообщение отредактировал(а) Ashlander - 6.7.2007, 11:27

Это означает, что свич должен так сказать "сделать правильную маршрутизацию" пакетов с тегом VLAN. Умеет ли он такое - вопрос к тебе ))


скорей только изолированный порт на не изолированный. Как ты соединишь дальше порты - вопос другой ))

Добавлено через 2 минуты и 16 секунд
P.S. Если не секрет, какой сокровенный смысл в использовании именно IPX в сети?

не умеет )

... так работает разработанная Н лет назад система, и намного легче найти аппаратное решение чем переделывать саму систему

что несколько странно на мой взгляд. )))


ну тогда легче взять в тумбочке 1200 рублей и купить на выбор любой из SOHO-свичей с порт-бейсед VLAN (остальное у них откровенно говнево под нагрузкой работает. А твои два дорогих свича будут уже "агрегировать", к примеру, все сервера в один перекрывающийся порт на этом свиче   

ну как сказать... он то умеет работать и возможно с маршрутизацией с тегами тоже все в порядке... но какая реакция сервера, т.е. как он разбирает этот пакет я не знаю... учитывая что пакет "свой" и драйвера "свои" - значит не мои, а не стандартные... а куда добавляется признак влана ?... хз может при этом бьется сам пакет...

судя по всему у меня есть два варианта:
1) использовать маршрутизатор, а точнее я прочитал о фиче, когда строится соответствие МАК - номер моста... все что приходит с МАКа, наприме принадлежащий к мосту 1, может быть отправлено только на МАКи других мостов, т.к. маршрутизатор считает их в одной локальной сети, а значит ему незачем тратить ресурсы на пересылку - так дойдут... соответственно направить весть трафик через tagged порт на маршрутизатор, а маки всех клиентов записать в один мост, а серверов в другой, разделив их таким образом, ко второму выходу поцепить самый простой свич и на него повесиь все сервера...
2) заменить свич, который сейчас стоит (2 слой) на другой (3 слой), грубо говоря со встроенным маршрутизатором... как его настраивать дальше сейчас гуглю...

на сколько это правильно, да и получится ли - хз.... реальных образцов для игр пока на руках нет :(

Бр-р-р-р. То что написано в пункте 1 - и есть Port-based VLAN, только в слегка в искаженном виде.
Layer3, который к тому же будет работать с IPX, а не с TCP/IP? Этот надо на всяк случай погуглить перед покупкой   
Твой сервер умеет отправлять пакеты уже непосредственно в нужный VLAN? Потому как если он будет это делать, то вроде с отальным свичи должны справится. В сущности, свич на клиентских портах должен только снимать/ставить метку и отправить пакет с тегом VLAN в нужный порт (а если он и это не умеет, то какая тогда вообще поддрежка VLAN  ) .
Мне другая мысль не дает покоя: а насколько вообще реально прицепить тег VLAN к IPX транспорту? Ты не гуглил на эту тему?

это оч. большой вопрос...

ну вот не хотел лезть в rfc...



судя по сему - поддерживает... но мне не понравилось начало документа... продолжу гуглить

значит, если я правильно понял, свичу 2 слоя не важно с каким протоколом он работает, значит метку он цеплять должен и без ущерба...


вот для 3го протокол уже критично, согласен... вот только такой 3комовский свич стоит, судя по прайсам, более 2000$... текущий в районе 700-800... роутер - 450


похоже этот вариант придется проработать... в том то и дело, что не умеет... потому и вся каша такая, я надеялся, что несмотря на модификацию пакеты будут нормально разбираться, а чистые пакеты отосланные на тагед порт автоматически разошлются... от сюда и все беды...
со свичем все ок... что и как делать с вланами он знает... разделение опробовано мной лично - все работает... единственное что нужно действительно убедиться в том, что выдает тагед порт...

и тогда есть одна штука, и возможный для меня выход... вопрос такой,... пакет (широковещалка) с идентификатором пришел к серверу, тот его запомнил и выплюнул его же, без изменений (ну или изменив идентификатор на нужный), назад на порт... обработается ли он ? (... на сколько я понимаю то должен... ведь такой же пакет мы могли передать другому свичу...)

а вообще самый дешевый и простой способ - установить на ресурсы общего доступа карточку (допустим интеловскую) с поддержкой сего дела и не парить мозги ни себе ни людям... и выйдет это ну никак не более 30 баков за экземпляр...