Jump to content
Калькуляторы

изоляция портов/vlan на cisco 6500

Коллеги подскажите как бы выкрутитсся в данной ситуации:

Есть несолкьо портов-апплинков в которых приходят скажем 400403,405 вланы.

 

Есть кучка портов смотрящих в сторону клиентов (транковых) с этими вланами.

Задача - клиенты не должны в этих вланах видеть друг-друга. Только порты-апплинки.

Думал сделать через switchport protection но его на Version 12.2(33)SXH8 не вижу.

Почитал про приватные вланы - не нашёл возмоджности на 1 транковый порт повесить несколько изолированных вланов.

 

#switchport private-vlan ?

association Set the private VLAN association

host-association Set the private VLAN host association

mapping Set the private VLAN promiscuous mapping

 

Вопрос как быть?

Share this post


Link to post
Share on other sites

У вас клиенты включены к аплинку по L2?!

Что-то у меня как-то не очень складывается такая картина...

Или вы для клиентов - только и исключительно L2 транспорт?

Share this post


Link to post
Share on other sites

Вы клиенту в транке все vlan-ы что ли передаете? А зачем? Почему бы не передавать клиенту в транке только его vlan. Как-то странно Вы излагаете...

Share this post


Link to post
Share on other sites

С 6500 выходит пачка вланов на свитчи доступа, а там уже разумеется кому и что нужно выдаётся.

Share this post


Link to post
Share on other sites

У вас клиенты включены к аплинку по L2?!

Что-то у меня как-то не очень складывается такая картина...

Или вы для клиентов - только и исключительно L2 транспорт?

 

 

В 65 с 1 стороны смотрят - брасы, сервер IP-телефонии, сервер iptv.

С другой стороны уходят оптические линки на доступ и на доступе уже накаждый порт назначается нужный влан, в зависимости от требуемой услуги.

 

К брасу да только л2 через 65. 1 vlan на дом

Share this post


Link to post
Share on other sites

Если я верно понял, то 6500 у вас просто агрегирует, vlan-ы с домов, на которых в свою очередь стоят коммутаторы доступа L2, и отправляет их на БРАС-ы.

Так то о чём, вы говорите - делается на уровне доступа. Т.е. на тех коммутаторах, куда подключаются абоненты. У zyxel - Port Isolation. Далее если на БРАС-е не разрешено им общяться в vlan-е то видеть они будут только интерфейс, который их терминирует, т.е. сам БРАС.

Share this post


Link to post
Share on other sites

Да всё верно. На самом доступе изоялция портов включена и работает.

Но проблема втом что на IP телефонию 1 vlan (за телефония отвечаю не я.. а там у них свои загоны) и получится что через 65 будет видел vlan телефонии между клиентами в соседних портах 65.

Share this post


Link to post
Share on other sites

Т.е. У Вас весь трафик в vlan-е доступа, предположим - 555-й А услуга телефонии - 123-й vlan. И проблема в том, что абоненты не смогут видеть 123-й ?

или же VoIP трафик в 1-м vlan-е? И Вас смущяет, что все всех будут видеть в этом 1м vlan-е?

Share this post


Link to post
Share on other sites

ТС смущает, что абоны видят друг друга в влане для определённой услуги через аплинковый порт.

Share this post


Link to post
Share on other sites

Нет.

В скажем в влаах с N по NNN вланах бегает PPPoE. На каждый дом (считайте на каждый порт 65) свой vlan до браса.

А вся телефония бегает в 1 vlan-e скажем 444.

и проблема в том, что если этот влан на порту 1/46 и на 1/47 и через него клиенты из этих портов друг друга видят на l2

Share this post


Link to post
Share on other sites

Быть может:

sw(config-if)# switchport protected

Функция protected port работает только на локальном коммутаторе. Между protected-портами на канальном уровне не передается трафик (multicast, broadcast или unicast).

Share this post


Link to post
Share on other sites

Об чём и речь - нету этого на 65 кошке.

 

Router(config)#int gi 1/48

Router(config-if)#swi

Router(config-if)#switchport ?

access Set access mode characteristics of the interface

autostate Include or exclude this port from vlan link up calculation

backup Set backup for the interface

block Disable forwarding of unknown uni/multi cast addresses

capture Set capture mode characteristics of this interface

dot1q Set interface dot1q properties

host Set port host

mode Set trunking mode of the interface

nonegotiate Device will not engage in negotiation protocol on this interface

port-security Security related command

private-vlan Set the private VLAN configuration

trunk Set trunking characteristics of the interface

vlan Set a VLAN mapping on this interface

voice Voice appliance attributes

<cr>

Share this post


Link to post
Share on other sites

ТС смущает, что абоны видят друг друга в влане для определённой услуги через аплинковый порт.

Я понял, не совсем так. Понял, что его смущяет, что они будут видеть друг друга в VoIP vlan-е на разных Uplink-k портах в ядре.

Share this post


Link to post
Share on other sites

Нет.

В скажем в влаах с N по NNN вланах бегает PPPoE. На каждый дом (считайте на каждый порт 65) свой vlan до браса.

А вся телефония бегает в 1 vlan-e скажем 444.

и проблема в том, что если этот влан на порту 1/46 и на 1/47 и через него клиенты из этих портов друг друга видят на l2

 

Я понял, не совсем так. Понял, что его смущяет, что они будут видеть друг друга в VoIP vlan-е на разных Uplink-k портах в ядре.

 

И в чём отличие того, что я написал, от того, что написали Вы? Кроме того, что вы указали номера портов, и наименования услуг.

 

Ну а проблема у вас получается by-design. Может рассмотреть вариант с разными вланами на "ветку"? Может, какое, qinq. Ну или совсем костыльно - аклы?

Share this post


Link to post
Share on other sites

Уху и такой нужной вещи как "switchport protected" нету. Приватный vlan тоже не спасёт - так как их не может быть больше 1..и тем более на транковом порту

Share this post


Link to post
Share on other sites

и pvlan-ы тут не помогут, ибо их не может быть на транковом порту/несколько пвланов на 1 порту

Share this post


Link to post
Share on other sites

При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера.

Share this post


Link to post
Share on other sites

случаем, не оно?

 

Это я в самом начале прочитал. не нашёл как на транковом порту это заюзать в купе с несколькими вланами

 

При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера.

 

Про фильтрацию на дсоутпе тоже подумываю.

Вообще меня больше всего напрягает возможные колизии на длинках на доступе. Поэтому и хотел распилить сеть

Share this post


Link to post
Share on other sites

При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера.

Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом.

Share this post


Link to post
Share on other sites

Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом.

 

Что-то вроде да аха.

А то ест ьумельцы котыоре втыкают вместо телефонов завирусованные компы гадящие в сеть или гоняющие другой трафик по влану телефонии между неск точками.

Share this post


Link to post
Share on other sites

Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом.

 

Что-то вроде да аха.

А то ест ьумельцы котыоре втыкают вместо телефонов завирусованные компы гадящие в сеть или гоняющие другой трафик по влану телефонии между неск точками.

Где метится VoIP трафик? Каким образом трафик с компьютера может туда попасть?

Share this post


Link to post
Share on other sites

Вместо VoIp-адаптера воткнули ноут.

Share this post


Link to post
Share on other sites

Ну и опять же когда 100500 адапетрво в сети в 1 влане.. колизии на длинках неизбежны

Share this post


Link to post
Share on other sites

Вопрос о том где метка на VoIP вешается - не решен. Или это в vlan 1? (без метки)

VoIP и на доступе по идее ваш вопрос решен. D-link-и умеют вроде.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this