stalker86 Posted March 18, 2015 Posted March 18, 2015 Коллеги подскажите как бы выкрутитсся в данной ситуации: Есть несолкьо портов-апплинков в которых приходят скажем 400403,405 вланы. Есть кучка портов смотрящих в сторону клиентов (транковых) с этими вланами. Задача - клиенты не должны в этих вланах видеть друг-друга. Только порты-апплинки. Думал сделать через switchport protection но его на Version 12.2(33)SXH8 не вижу. Почитал про приватные вланы - не нашёл возмоджности на 1 транковый порт повесить несколько изолированных вланов. #switchport private-vlan ? association Set the private VLAN association host-association Set the private VLAN host association mapping Set the private VLAN promiscuous mapping Вопрос как быть? Вставить ник Quote
SergeiK Posted March 19, 2015 Posted March 19, 2015 У вас клиенты включены к аплинку по L2?! Что-то у меня как-то не очень складывается такая картина... Или вы для клиентов - только и исключительно L2 транспорт? Вставить ник Quote
dignity Posted March 19, 2015 Posted March 19, 2015 Вы клиенту в транке все vlan-ы что ли передаете? А зачем? Почему бы не передавать клиенту в транке только его vlan. Как-то странно Вы излагаете... Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 С 6500 выходит пачка вланов на свитчи доступа, а там уже разумеется кому и что нужно выдаётся. Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 У вас клиенты включены к аплинку по L2?! Что-то у меня как-то не очень складывается такая картина... Или вы для клиентов - только и исключительно L2 транспорт? В 65 с 1 стороны смотрят - брасы, сервер IP-телефонии, сервер iptv. С другой стороны уходят оптические линки на доступ и на доступе уже накаждый порт назначается нужный влан, в зависимости от требуемой услуги. К брасу да только л2 через 65. 1 vlan на дом Вставить ник Quote
bomberman Posted March 19, 2015 Posted March 19, 2015 Если я верно понял, то 6500 у вас просто агрегирует, vlan-ы с домов, на которых в свою очередь стоят коммутаторы доступа L2, и отправляет их на БРАС-ы. Так то о чём, вы говорите - делается на уровне доступа. Т.е. на тех коммутаторах, куда подключаются абоненты. У zyxel - Port Isolation. Далее если на БРАС-е не разрешено им общяться в vlan-е то видеть они будут только интерфейс, который их терминирует, т.е. сам БРАС. Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 Да всё верно. На самом доступе изоялция портов включена и работает. Но проблема втом что на IP телефонию 1 vlan (за телефония отвечаю не я.. а там у них свои загоны) и получится что через 65 будет видел vlan телефонии между клиентами в соседних портах 65. Вставить ник Quote
bomberman Posted March 19, 2015 Posted March 19, 2015 Т.е. У Вас весь трафик в vlan-е доступа, предположим - 555-й А услуга телефонии - 123-й vlan. И проблема в том, что абоненты не смогут видеть 123-й ? или же VoIP трафик в 1-м vlan-е? И Вас смущяет, что все всех будут видеть в этом 1м vlan-е? Вставить ник Quote
g3fox Posted March 19, 2015 Posted March 19, 2015 ТС смущает, что абоны видят друг друга в влане для определённой услуги через аплинковый порт. Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 Нет. В скажем в влаах с N по NNN вланах бегает PPPoE. На каждый дом (считайте на каждый порт 65) свой vlan до браса. А вся телефония бегает в 1 vlan-e скажем 444. и проблема в том, что если этот влан на порту 1/46 и на 1/47 и через него клиенты из этих портов друг друга видят на l2 Вставить ник Quote
bomberman Posted March 19, 2015 Posted March 19, 2015 Быть может: sw(config-if)# switchport protected Функция protected port работает только на локальном коммутаторе. Между protected-портами на канальном уровне не передается трафик (multicast, broadcast или unicast). Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 Об чём и речь - нету этого на 65 кошке. Router(config)#int gi 1/48 Router(config-if)#swi Router(config-if)#switchport ? access Set access mode characteristics of the interface autostate Include or exclude this port from vlan link up calculation backup Set backup for the interface block Disable forwarding of unknown uni/multi cast addresses capture Set capture mode characteristics of this interface dot1q Set interface dot1q properties host Set port host mode Set trunking mode of the interface nonegotiate Device will not engage in negotiation protocol on this interface port-security Security related command private-vlan Set the private VLAN configuration trunk Set trunking characteristics of the interface vlan Set a VLAN mapping on this interface voice Voice appliance attributes <cr> Вставить ник Quote
bomberman Posted March 19, 2015 Posted March 19, 2015 ТС смущает, что абоны видят друг друга в влане для определённой услуги через аплинковый порт. Я понял, не совсем так. Понял, что его смущяет, что они будут видеть друг друга в VoIP vlan-е на разных Uplink-k портах в ядре. Вставить ник Quote
g3fox Posted March 19, 2015 Posted March 19, 2015 Нет. В скажем в влаах с N по NNN вланах бегает PPPoE. На каждый дом (считайте на каждый порт 65) свой vlan до браса. А вся телефония бегает в 1 vlan-e скажем 444. и проблема в том, что если этот влан на порту 1/46 и на 1/47 и через него клиенты из этих портов друг друга видят на l2 Я понял, не совсем так. Понял, что его смущяет, что они будут видеть друг друга в VoIP vlan-е на разных Uplink-k портах в ядре. И в чём отличие того, что я написал, от того, что написали Вы? Кроме того, что вы указали номера портов, и наименования услуг. Ну а проблема у вас получается by-design. Может рассмотреть вариант с разными вланами на "ветку"? Может, какое, qinq. Ну или совсем костыльно - аклы? Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 Уху и такой нужной вещи как "switchport protected" нету. Приватный vlan тоже не спасёт - так как их не может быть больше 1..и тем более на транковом порту Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 и pvlan-ы тут не помогут, ибо их не может быть на транковом порту/несколько пвланов на 1 порту Вставить ник Quote
dsk Posted March 19, 2015 Posted March 19, 2015 При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера. Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 случаем, не оно? Это я в самом начале прочитал. не нашёл как на транковом порту это заюзать в купе с несколькими вланами При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера. Про фильтрацию на дсоутпе тоже подумываю. Вообще меня больше всего напрягает возможные колизии на длинках на доступе. Поэтому и хотел распилить сеть Вставить ник Quote
bomberman Posted March 19, 2015 Posted March 19, 2015 При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера. Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом. Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом. Что-то вроде да аха. А то ест ьумельцы котыоре втыкают вместо телефонов завирусованные компы гадящие в сеть или гоняющие другой трафик по влану телефонии между неск точками. Вставить ник Quote
bomberman Posted March 19, 2015 Posted March 19, 2015 Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом. Что-то вроде да аха. А то ест ьумельцы котыоре втыкают вместо телефонов завирусованные компы гадящие в сеть или гоняющие другой трафик по влану телефонии между неск точками. Где метится VoIP трафик? Каким образом трафик с компьютера может туда попасть? Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 Вместо VoIp-адаптера воткнули ноут. Вставить ник Quote
stalker86 Posted March 19, 2015 Author Posted March 19, 2015 Ну и опять же когда 100500 адапетрво в сети в 1 влане.. колизии на длинках неизбежны Вставить ник Quote
bomberman Posted March 19, 2015 Posted March 19, 2015 Вопрос о том где метка на VoIP вешается - не решен. Или это в vlan 1? (без метки) VoIP и на доступе по идее ваш вопрос решен. D-link-и умеют вроде. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.