Разделяем VLAN-ы на D-Link DSLAM DAS-3224E

DSLAM

Пришлось настраивать вот такую железку – IP DSLAM DAS 3224/E фирмы D-Link. Нужно было выделить 2 канала абонентам для обмена данными так, чтобы они не попали в общую сеть.

DSLAM
DSLAM

Коннектимся к MGMT порту, через Telnet на адрес 192.168.1.1 (такой у него адрес оказался).

DSLAM фирмы DLink не может делать коммутацию напрямую, между двумя абонентами DSL, даже несмотря на включенный режим моста (ну вот такая бага), поэтому придется для этого делать отдельный маршрутизатор. Но у нас задача несколько проще, у нас у одного абонента витая пара, у другого – aDSL канал.

Итак, схема весьма простая:

Топология
Топология

Имеем коммутатор Cisco 3550, а так же DLink DSLAM DAS3224E, как я уже упомянул. А так же есть два хоста (вообще-то больше, но для теста два), и два сервера. Так же есть разделяемые сервера, к которым нужно иметь доступ соответствующих хостов. Я пометил их своим цветом.

То есть PC1 через aDSL-модем может получить доступ к Server1, но не может к Server0, а PC0 соответственно может получить к Server0, но не может к Server1.

Ограничивать связь решил через 802.1Q (VLAN). Тогда нужно настроить VLAN-ы в Cisco и в DSLAM-е.

Настройки Cisco:

Устанавливаем Trunk-порт Fa0/1:

(config)# int fa0/1
(config-if)# switchport trunk encapsulation dot1q
(config-if)# switchport mode trunk

Создаем два VLAN-а.

(config)# vlan 10
(config-vlan)# name vlan10

(config)# vlan 20
(config-vlan)# name vlan20

Теперь надо порты с 2 по 7 повесить на 10-ый VLAN, а с 8 по 10-ый на 20-ый VLAN:

(config)# interface range fa0/2 - 7
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 10

(config)# interface range fa0/8 - 10
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 20

Готово.

# write mem

Сохранили. Теперь надо конфигурить DAS.

Создаем VLAN-ы:

$ create vlan static vlanid 10 vlanname vlan10
$ create vlan static vlanid 20 vlanname vlan20

Теперь привязываем порты с 1 по 4 на VLAN 20, а с 5 по 8 – на VLAN10 (чуток перевернулось, но это не важно).

$ modify vlan static vlanid 20 egressports 1 2 3 4 385 untaggedports 1 2 3 4
$ modify vlan static vlanid 10 egressports 5 6 7 8 385 untaggedports 5 6 7 8

egress-порт – такой порт, который передаёт в себе VLAN-тег.

untagged-порт – порт, к которому подключено оборудование, не способное метить трафик самостоятельно. Тогда нужно будет принудительно метить его в “native vlan” в терминологии Cisco.

Обратите внимание, что порт 385 (eth-1) мы оставляем tagged, таким образом он у нас становится “trunk” в терминологии Cisco.

Ну и с vlan 1 убираем всю ерунду:

$ modify vlan static vlanid 1 forbidegressports 1 2 3 4 5 6 7 8 385

То есть таким образом изымаем использованные ранее порты из vlan 1.

Теперь метим трафик как я уже говорил, в “native”:

$ modify gvrp port info portid 1 portvlanid 20 acceptframetypes all
$ modify gvrp port info portid 2 portvlanid 20 acceptframetypes all
$ modify gvrp port info portid 3 portvlanid 20 acceptframetypes all
$ modify gvrp port info portid 4 portvlanid 20 acceptframetypes all
$ modify gvrp port info portid 5 portvlanid 10 acceptframetypes all
$ modify gvrp port info portid 6 portvlanid 10 acceptframetypes all
$ modify gvrp port info portid 7 portvlanid 10 acceptframetypes all
$ modify gvrp port info portid 8 portvlanid 10 acceptframetypes all

Теперь трафик, полученный на этот порт будет автоматически “маркирован” соответствующим VLAN ID.

Сохраняем изменения

$ commit

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply