Здравствуйте all!

Необходимо настроить VPN на 2-х свичах HP. Схема следующая:


| |----------------| |
K1 -- | | | |-- K3
|S1| |S2|
| | | |
K2 -- | | | | -- K4


K1, K2, K3, K4 - Компьютеры.
S1, S2 - Cвичи.

Необходимо что бы K1 видел K3 и К4, но при этом К2 видел только К4.

Уважаемые форумчане:
1) Про транки я слышал.
2) Меня интересуют именно НР (если напишете про 2626 или 6108 то вообще супер).

Заранее спасибо.
Добавлено @ 06:34
Схема заметно попортилась из за вырезки пробелов, что нерадует.

***********************
****| *|----------------|* |***
K1 -- | *|********* |* |-- K3
****|S1|******* *|S2|****
****| *|******** |* |*****
K2 -- | *|******** |* | -- K4
***********************

Вместо звездочек пробелы

Насколько я понял под VPN имелось в виду VLAN
Свичи поддерживают VLAN? Ты бы хоть ссылочку дал на технич. описание свичей.

P.S. форум поодерживает вставку картинок.

Да сорри конечно же VLAN, просто сижу еще с VPN по самые ноздри. Свичи VLAN поддерживают и даже поддерживают GVRP. Свичи управляемые.

Ссылка вот:

http://h10010.www1.hp.com/wwpc/ru/ru/sm/WF...1-31617187.html

Например так:
VLAN1: k1,k3,k4
VLAN2:k2,k4

DENNN, можно поподробнее

не понял схемы. можешь заключить весь участок схемы в блок "код", без подсветки. тогда пробелы сохранятся.

пока.

Куда подробнее?
В первый VLAN заключаешь k1,k3,k4
Во второй VLAN запихиваешь k2,k4

Не забыв при этом включить 802.1q VLAN на свичах

не знаю как на ХП, а вот на длинках нельзя один untagged порт включать в два влана...

Не проще ли поставить роутер с access листами на нём?

Здравствуйте All,
поднимаю тему, так как проблема похожая... о чем говорил DENNN я понимаю, было бы под рукой железо обязательно проверил бы... но не судьба... свич 3-комовский, в мане черным по белому написано, что при желании общаться между VLANами извольте пользоваться маршрутизатором...
грубо говоря у меня куча VLANов, на которых сидят клиенты, видеть друг друга они не должны, но при этом все должны видеть сервера, как и сервера их,... у меня чесно говоря действительно сомнения насчет нормального разбора свичем трафика от, например, серверов, в случае обьеденения порта в несколько VLANов, пойдет ли он во все заявленные вланы ?... сомнений правильного разбора конечными клиентами taged трафика у меня поменьше будет... но все же есть
заранее спасибо

PS: кстати TCP/IP тут не светит, из-за отсутствия такого

Это сообщение отредактировал(а) Ashlander - 2.7.2007, 17:48

Ashlander, 
ты от нас чего хочешь? Сам говоришь, твой свич 802.11q не умеет и смешивать клиентские виланы тебе тоже нельзя.
Если ставить нормальное оборудование или еще один маршрутизатор проблема, то мн в голову приходит только одна идея: поставить в этом месте свич, умеющий port-based vlan и кидать все на сервер, а там уже деалть полноценную маршрутизацию между VLAN (кому куда можно, куда нельзя и т.д.)

ну 802.11q действительно не поддерживается, потому как безпроводкой тут и не пахнет , а вот  802.1q свич, судя по тем же манам, как раз поддерживается... иначе я бы не морочал вам голову tagged трафиком... скорее я бы хотел услышать действительно ли можно обойтись в этом случае без маршрутизатора... нагуглил я чтото маловато, но мне хватило того факта, что в пакеты добавляется информация по самим ВЛАНам (идентификатор например)... 
вот здесь и сомнения... допустим мы пометили клиента (untagged) VLAN1, сервер (tagged) VLAN1 VLAN2... как будет обрабатываться исходящий от сервера трафик ? пойдет ли он в обе VLAN сети ?...

ЗЫ: все что приводилось как пример использования tagged портов - обьединение двух свичей (и тут без коментариев)

Будет сильно зависеть от структуры сети, маршрутизации на уровне IP и того, какие пакеты послал маршрутизатор: в какой-то конкретный VLAN-интерфейс, поднятый у него или просто tcp-кадр без токена VLAN.

Это сообщение отредактировал(а) DENNN - 4.7.2007, 09:58

в этом то и дело... самое первое и самое главное - ну просто нет у нас ни тсп ни айпи... есть netbios, ... соответственно разруливать все что к нам приходит нужно по портам
попробую в деталях, сеть очень проста, свич и напрямую сервера с клиентами...  сервера выношу в один влан,... клиентов по-группно тоже по разным + в каждый же добавляю сервера (tagged), дабы сервера могли взаимодействовать с любым клиентом... но сегодня игрался со свичем, попробовал соединить подобным образом... облом... сервера не видны...
может я конечно еще чтото не учел, если да то подскажите...

значится при таких раскладах нужен такая же  port-based маршрутизация (?!)... мда... нет чегото я таки не вижу

Это сообщение отредактировал(а) Ashlander - 5.7.2007, 15:43

Интересное заявление насчет отсутствия. А вы не пробовали хоть раз посмотреть сниффером netbios трафик? 


Ничего не понял. На стороне клиента смотрели что приходит? Доходят IP-пакеты?


При одном свиче возможна port-based VLAN маршуртизация. Port-based VLAN умеют даже самые дешевые 16-типортовые SOHO свичи. Например compexPS2216 или Planet (не помню маркировку). К примеру. Выставляешь dip-переключателями, либо через конфигурялку что трафик со всех портов может идти только на первый, а с первого порта на любой. И получаешь то, что тебе нужно: все сервера на первом порту этого свича, клиенты на остальных и им видны только сервера.

ясно к чему вы ... используется netbeui, IPX/SPX

мда я сморозил насчет серверов... сервера добавлялись в каждый влан как tagged... от клиентов к серверам ничего не доходило (с этого все начинается, а не доходит значит дальше проверять не имеет смысла)

спасибо курю... если б еще так все просто было ... кстати облазил документацию, софтверно не выставляется - буду искать по джамперам 
и на сколько я понимаю, в таком варианте клиенты между собой взаимодействовать просто не смогут... только клиент - сервер, сервер - клиенты

вопрос кстати отпадает - нужен маршрутизатор, силами свича это не сделать :( ибо это 2 Layer switch, а маршрутизацией может заниматься только 3 ([B]не плохая статья[/B])

Это сообщение отредактировал(а) Ashlander - 6.7.2007, 11:27