Прошу не судить строго. Я совсем новичок в коммутаторах и построения сетей.

Имею такой вопрос:

Не понимаю, что я делаю не так...

Беру два коммутатора. Агрегация (QTech QSW-8300) и Доступ (QTech QSW-2800). Создаю и там и там два Влана. Один "Влан 7" для управления, другой "Влан 5" клиентский. Клиентский "Влан 5" имеет на Агрегации IP-адрес 192.168.11.1. Этот адрес является шлюзом для клиента и клиент к нему имеет полный доступ. Пингует его, и через него же имеет интернет и так далее...

Для влана управления создан "Влан 7". С подсетью 192.168.0.0. Это адреса  192.168.0.101 (Агрегация) и  192.168.0.102 (Доступ). Оба свича соединены между собой транковыми портами.

Клиенту я вручную прописываю IP-адрес 192.168.11.5 и тут получается заковыка, которая мне не ясна. Клиент прекрасно пингует (то есть имеет доступ) в свой родной "Влан 5" на Агрегации И ПРИ ЭТОМ ОН ТАК ЖЕ ПРЕКРАСНО ПИНГУЕТ и адрес чужого "Влана 7" Агрегации -  192.168.0.101. И мало того, через эту же Агрегацию при этом еще пингует и свой коммутатор доступа, адрес  192.168.0.102.

Не понимаю, почему такое происходит. Ведь "Влан 5" и "Влан 7" - это есть разные Вланы, с разными подсетями. Почему клиент имеет доступ из своего клиентского "Влана 5" в чужой "Влан 7"???!!! Разве такое должно происходить? И как это поправить?

В тесте принимают участие только три железки. Два свича и клиентский хост. Сервер не подключаю.

Вот максимально мои укороченные рабочие конфиги:

АГРЕГАЦИЯ:
enable
config
!
vlan 7
name management
interface vlan 7
ip address 192.168.0.101 255.255.255.0
!
interface ethernet 1/0/13
switchport mode trunk
combo-forced-mode copper-forced
exit
!
vlan 5
interface vlan 5
ip address 192.168.11.1 255.255.255.0
exit

ДОСТУП:
enable
config
!
vlan 7
name management
interface vlan 7
ip address 192.168.0.102 255.255.255.0
!
interface ethernet 1/1
switchport mode trunk
exit
!
vlan 5
interface ethernet 1/5
switchport access vlan 5
exit

• Один Vlan имеет доступ в другой Vlan,Николай, 12:35 , 05-Окт-12
  • Один Vlan имеет доступ в другой Vlan,fantom, 12:54 , 05-Окт-12
    • Один Vlan имеет доступ в другой Vlan,SlavikSG, 13:07 , 05-Окт-12
      • Один Vlan имеет доступ в другой Vlan,fantom, 13:29 , 05-Окт-12
        • Один Vlan имеет доступ в другой Vlan,SlavikSG, 14:41 , 05-Окт-12
          • Один Vlan имеет доступ в другой Vlan,Den, 15:12 , 05-Окт-12
          • Один Vlan имеет доступ в другой Vlan,fantom, 15:53 , 05-Окт-12
            • Один Vlan имеет доступ в другой Vlan,SlavikSG, 16:19 , 05-Окт-12
              • Один Vlan имеет доступ в другой Vlan,Николай, 18:57 , 05-Окт-12

пингуете вы потому как прписан гетвей и на гетвее у вас есть и ИП другого влана который прекрасно роутиться :)

> пингуете вы потому как прписан гетвей и на гетвее у вас есть
> и ИП другого влана который прекрасно роутиться :)

VLAN - l2,
ip - L3,

пинги из одного влана в другой попадают не по вине коммутатора, а по вине маршрутизатора - вот на нем и думайте что делать....

> пингуете вы потому как прписан гетвей и на гетвее у вас есть
> и ИП другого влана который прекрасно роутиться :)

Да это я понимаю, что все упирается в шлюз 192.168.11.1, находящийся в Агрегации во "Влане 5". Я не понимаю ПОЧЕМУ это самый адрес из Vlan 5 имеет доступ в чужой Vlan 7!!! Это что, так и должно быть? Разве Вланы не должны быть изолированы друг от друга в коммутаторе?! Тем более Вланы с разными подсетями.

> пинги из одного влана в другой попадают не по вине коммутатора, а
> по вине маршрутизатора - вот на нем и думайте что делать....

Получается, что "Коммутатор Агрегации" как таковой - он же есть маршрутизатор ПО УМОЛЧАНИЮ? То есть как бы объединяет внутри себя все Вланы между собой? И это так и должно быть? Или я что-то совсем не понимаю.

Сори еще раз. Совсем я чайник в этих делах. :(

>[оверквотинг удален]
> Агрегации во "Влане 5". Я не понимаю ПОЧЕМУ это самый адрес
> из Vlan 5 имеет доступ в чужой Vlan 7!!! Это что,
> так и должно быть? Разве Вланы не должны быть изолированы друг
> от друга в коммутаторе?! Тем более Вланы с разными подсетями.
>> пинги из одного влана в другой попадают не по вине коммутатора, а
>> по вине маршрутизатора - вот на нем и думайте что делать....
> Получается, что "Коммутатор Агрегации" как таковой - он же есть маршрутизатор ПО
> УМОЛЧАНИЮ? То есть как бы объединяет внутри себя все Вланы между
> собой? И это так и должно быть? Или я что-то совсем
> не понимаю.

Не понимаете..
IP пакет (пинг например) "помещается" в езернет фрейм, фрейм попадает в влан 5 на коммутаторе доступа, коммутатор отправляет его внутри влана5 на агрегацию, на шлюзе из фрейма "извлекается" IP пакет и анализируется IP адрес назначения, IP назначения доступен через влан7;
Шлюз формирует новый фрейм, в который помещает все тот же ip пакет (заметьте - пакет тот же самый, а вот фрейм НОВЫЙ) и отправляет его в влан7, коммутатор доступа получает этот фрейм СО СТОРОНЫ АГРЕГАЦИИ и благополучно вынимает из него ip пакет, формирует ответный пакет, помещает его в фрейм, отправляет на агрегацию, шлюз вынимает пакет из фрейма пришедшего в влан7, помещает его в фрейм для влана 5 и отправляет рабочей станции.

Собственно изоляцию vlan-ов проверить просто - вынимаете все шнурки из коммутатора доступа и подключаете один единственный - ваш копм который в влане 5, и пытаетесь пропинговать ip коммутатора, размышляете над полученными результатами. ;)

> Сори еще раз. Совсем я чайник в этих делах. :(

Простите, заметно. ;)
Учите матчасть...

> Учите матчасть...

Матчасть со всех своих страниц, черным по белому, учит меня тому, что Вланы НЕ ДОСТУПНЫ друг другу по определению! Это аксиома! А тут выходит форменное нарушение всех "законов физики". :) Читаю вас и получается следующее:
> ...IP назначения доступен через влан7

В общем я кажись врубаюсь. Получается, что если залезть внутрь железки, то все адреса созданные в ней (из самых разных Вланов и подсетей) будут доступны друг другу. Поэтому выходит, что если корректно подключиться к этой железке хостом и назначить этому хосту ЛЮБОЙ IP-адрес из этой железки в качестве шлюза, то начиная с этого момента, хост будет пинговать через этот, назначенный ему шлюз, АБСОЛЮТНО ВСЕ адреса из этой железки. Естественно, если они находятся в состоянии "UP".

Ну, хоть сейчас-то я правильно понял? :)

>> Учите матчасть...

1. Изучит на досуге модель OSI
2. Что такое L3 коммутаторы
3. Отличие протоколов ethernet, arp, ip
4. Маршрутизация между вланами.

И тогда вопросы сами отпадут.

>> Учите матчасть...
> Матчасть со всех своих страниц, черным по белому, учит меня тому, что
> Вланы НЕ ДОСТУПНЫ друг другу по определению! Это аксиома! А тут
> выходит форменное нарушение всех "законов физики". :) Читаю вас и получается
> следующее:
>> ...IP назначения доступен через влан7

Эх... учить вас и учить :)
VLANы НЕ ДОСТУПНЫ друг другу по определению!!! и это правильно и так оно и есть на самом деле... НО!!! для уровня 2!!!!! модели osi !!!!!!

А ip - это уровень 3 !!!!!!
Если хотите полной изоляции - vrf вам в помощь!

> В общем я кажись врубаюсь. Получается, что если залезть внутрь железки, то
> все адреса созданные в ней (из самых разных Вланов и подсетей)
> будут доступны друг другу. Поэтому выходит, что если корректно подключиться к
> этой железке хостом и назначить этому хосту ЛЮБОЙ IP-адрес из этой
> железки в качестве шлюза, то начиная с этого момента, хост будет
> пинговать через этот, назначенный ему шлюз, АБСОЛЮТНО ВСЕ адреса из этой
> железки. Естественно, если они находятся в состоянии "UP".
> Ну, хоть сейчас-то я правильно понял? :)

В первом приближении :)
именно чтобы КОНТРОЛИРОВАТЬ подобное придуманы файрволы, брандмаузеры и фильтры IP-ов/портов/протоколов.....

вы можете на шлюзе контролировать доступ из одной сети в другую, если все запихнуть в один vlan - вы лишитесь возможности подобного контроля.

> В первом приближении :)

Ну, хоть в первом приближении. И то слава Богу! :)

Ведь это получается, как будто в обычный комп-сервер воткнуть пять сетевых карт, всем сетевушкам назначить IP-адреса из разных подсетей и подключиться к этому компу другим компом-клиентом. Стоит назначить клиенту шлюз из любого IP адреса сервера, как он начнет видеть все пять сетевых карт. Именно эта аналогия мне понятнее всего. Именно она и работает в коммутаторе. Именно в это я и не врубался. Думал, что в коммутаторе все гораздо сложнее. А он, зараза, тот же комп (ну, почти)... :)

Можно вопрос не по теме?
Я вообще правильно делаю, что довожу клиентский Влан через все коммутаторы до Агрегации и потом даю клиенту шлюз от этой самой Агрегации? Ну, при условии, что у меня в сети только только Агрегация и Доступы. Ядра нет. То есть сам подход верный, если строить небольшую сеть IPoE? Типа, Влан на абонента, или Влан на дом... Так, в принципе, нужно делать?

> именно чтобы КОНТРОЛИРОВАТЬ подобное придуманы файрволы, брандмаузеры и фильтры IP-ов/портов/протоколов.....

ACL (он же фаервол), конечно буду юзать! И контролировать и прочее... Просто думал, что я в принципе, что-то не так строю.

> все запихнуть в один vlan - вы лишитесь возможности подобного контроля.

Ну, и конечно один Влан на всех юзать глупо. :)

Судя по постам человек вы упорный и это респект вам. В общем я считаю что таких работодателей надо подвешивать за ... Если уж взяли такого работника то минимально обучите его, хотя бы принципы построения. Конечно методом тыка и ошибок вы обучитесь, но узнаете не все аспекты и не все сразу будете делать верно.