Использование Vlan на pf 2.2.4

kudrik_tt

Уважаемые форумчане, возник вопрос, хочу проверить, либо неправильно работает pf, либо свитч Avaya. Хочу проверить настройки.
Сейчас вот так, без настройки VLAN
                        wan
                          |
                        lan (192.168.0.8)

Необходимо:

Avaya (4524GT)(vlan1(default) 192.168.0.250; vlan5 - 172.16.20.1; vlan10 - …21.1; vlan20 - ...22.1; vlan30 -...23.1)
                          trunk (1,5,10,20,30)
                                      |
                                      |
                                      |
                                pf (интерфейс без vlan - 192.168.0.8; vlan5-172.16.20.8;vlan10-21.8;vlan20-22.8;vlan30-23.8)

Настраивал следующим образом, взял интерфейс lan с ip-192.168.0.8 и привязал к нему 4 vlan, назначил каждому ip и маску. Больше ничего не делал. Необходимо эти vlan пустить в инет и больше ничего. Но проблема в том что когда я втыкаю pf в trunk порт свитча, я не могу достучаться до 0.8. Причем с консоли pfsense я могу пропинговать свитч по vlan (20.1\21.1\22.1\23.1), а вот 192.168.0.250 никак. А если воткнуть в обычный не тегированный порт естественно ping проходит до всех портов, но трафик vlan avaya не идет. что здесь может быть не так. Спасибо за помощь.

PbIXTOP

Люблю давать стандартный совет — воспользуйтесь tcpdump для начала.
И вполне возможно коммутатор не умеет работать в гибридном режиме портов (когда на порту присутвуют как тегированные, так и не тегированные данные)

pigbrother

В отличие от ТС у меня обычный L2-свитч.

Тоже предстоит переезд на конфигурацию с использованием vlan.
На тестовой машинке протестировал такой вариант:
https://en.wikipedia.org/wiki/One-armed_router
Т.е LAN и PPPOE-WAN на одной сетевой карте.

Однако окончательно буду реализовывать вариант с "физическим" LAN и 2-мя PPPOE-WAN во vlan.

Дилетантский вопрос - для каждого WAN следует создать свой vlan или оба WAN должны находиться каждый в отдельном vlan?

kudrik_tt

@pigbrother:

Дилетантский вопрос - для каждого WAN следует создать свой vlan или оба WAN должны находиться каждый в отдельном vlan?

А это разве ни одно и тоже?

Спасибо за ответ PbIXTOP, просто все в работе, буду после работы эксперементировать и проверять, но pfsense же должен отвечать по ip 192.168.0.8, если находиться в trunk-порту? Просто трафик этого ip как раз и не тегируется.

pigbrother

А это разве ни одно и тоже?

Думаю - это не одно и то же.

werter

Доброе.

2 kudrik_tt
1. Обновить прошивку свитча.
2. Порты WAN и др. LAN-ы (физические)  - порты untagged, порт LAN pfsense - tagged всеми LAN-ми. Вроде так.