Проблема с подключением к VLAN и теги

Я экспериментирую с разделением существующей плоской локальной сети на несколько отдельных виртуальных локальных сетей. Кажется, у меня все работает и маршрутизируется, как я хочу, но у меня проблемы с подключением к Интернету. Краткое изложение LAN:

1x PowerConnect 6248 (уровень 3)
4x 5448 (уровень 2)

Существующая локальная сеть (теперь vLAN99) 192.168.0.x / 24
Межсетевой экран SnapGear SG580 является основным шлюзом в этой vLAN 192.168.0.251

Новые сети vLAN:

10.0.10.x/24 - gateway 10.0.10.254 - virtual interface set on 6248
10.0.11.x/24 - gateway 10.0.11.254 - virtual interface set on 6248
10.0.12.x/24 - gateway 10.0.12.254 - virtual interface set on 6248

У меня есть 4 соединительных звена порта (LAG + LACP) от каждого 5448 до 6248 - каждый «транк» помечен в каждой VLAN, через которую мне нужно маршрутизировать, все порты в каждом LAG установлены в режим «Trunk». Все существующие серверы и рабочие станции были настроены на vLAN99, и все работало отлично, независимо от того, к какому коммутатору вы подключены. Отличное начало. Я установил IP-Helper на 6248 и направил его на наш DC. Я также установил 3 новых области DHCP для соответствия новым подсетям. Я могу установить порты на любом коммутаторе как vLAN10, vLAN11 или vLAN12, и они получат правильный IP-адрес, назначенный им. Я вижу новые договоры аренды. ПК отлично справляется с серверами, подключенными дисками, печатью и т. Д. - отлично

Но у них нет интернета!

Они могут разрешить IP в порядке. Я могу перейти к командной строке, пропинговать любой веб-адрес и определить IP-адрес, на который он должен перейти - однако никаких ответов. Они могут пинговать свой соответствующий шлюз (виртуальный интерфейс на 6248), они могут пинговать брандмауэр SnapGear по адресу 192.168.0.251. Я могу войти в Snapgear и вернуться к шлюзу подсети нормально. Что-то просто не так, и это сводит меня с ума!

Кроме того, просто чтобы прояснить это на мой взгляд. TAGGED и UNTAGGED порты. Из всего, что я читал, вы помечаете порты, к которым хотите получить доступ к нескольким vLAN.

Таким образом, мои магистрали (LAG) помечены тегами в каждой vLAN, которая мне нужна для доступа к этим магистралям.

Серверы должны иметь их порты, настроенные на «общие» и отмеченные тегами для каждой vLAN, к которым вы хотите получить доступ, и UNTAGGED для своей собственной vLAN ?? т.е. мой DC находится в vLAN99, так что в этой vLAN его НЕПОМЯЧЕННЫЙ, а в vLAN12 - ПОМЕЩЕННЫЙ, чтобы ПК в vLAN12 могли получить к нему доступ ?? Это то, как он в настоящее время установлен, и мой ноутбук в vLAN12 может ударить по серверу и получить доступ к DHCP, общим ресурсам и т. Д. - просто нет доступа к сети.

У меня есть брандмауэр в vLAN99 и без тегов в этой vLAN, но с тегами в vLAN10, vLAN11 и vLAN12.

Все мои ПК настроены на «Доступ», независимо от того, в какой vLAN они находятся, и независимо от того, в какой vLAN они находятся, они настроены на «UNTAGGED», т.е. все ПК в vLAN12 установлены на UNTAGGED.

Любая помощь или идеи приветствуются;)

Когда я выполняю tracert с любого ПК в затронутых vLAN, я получаю «Горячий пункт назначения недоступен из 10.0.x.254», который является виртуальным интерфейсом на 6248 для этой подсети. Тем не менее, я могу получить доступ к остальной части внутренней сети и проверить связь с межсетевым экраном SG580. На SG580 у меня есть маршруты, определенные для возврата к 6248, и SG580 может пинговать правильный интерфейс на 6248.

У меня просто возникает подозрительное ощущение, что это как-то связано с тем, как я ОТМЕТИЛ и ОТМЕТИЛ порты ....