stalker86 Опубликовано 18 марта, 2015 · Жалоба Коллеги подскажите как бы выкрутитсся в данной ситуации: Есть несолкьо портов-апплинков в которых приходят скажем 400403,405 вланы. Есть кучка портов смотрящих в сторону клиентов (транковых) с этими вланами. Задача - клиенты не должны в этих вланах видеть друг-друга. Только порты-апплинки. Думал сделать через switchport protection но его на Version 12.2(33)SXH8 не вижу. Почитал про приватные вланы - не нашёл возмоджности на 1 транковый порт повесить несколько изолированных вланов. #switchport private-vlan ? association Set the private VLAN association host-association Set the private VLAN host association mapping Set the private VLAN promiscuous mapping Вопрос как быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 19 марта, 2015 · Жалоба У вас клиенты включены к аплинку по L2?! Что-то у меня как-то не очень складывается такая картина... Или вы для клиентов - только и исключительно L2 транспорт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 19 марта, 2015 · Жалоба Вы клиенту в транке все vlan-ы что ли передаете? А зачем? Почему бы не передавать клиенту в транке только его vlan. Как-то странно Вы излагаете... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба С 6500 выходит пачка вланов на свитчи доступа, а там уже разумеется кому и что нужно выдаётся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба У вас клиенты включены к аплинку по L2?! Что-то у меня как-то не очень складывается такая картина... Или вы для клиентов - только и исключительно L2 транспорт? В 65 с 1 стороны смотрят - брасы, сервер IP-телефонии, сервер iptv. С другой стороны уходят оптические линки на доступ и на доступе уже накаждый порт назначается нужный влан, в зависимости от требуемой услуги. К брасу да только л2 через 65. 1 vlan на дом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 19 марта, 2015 · Жалоба Если я верно понял, то 6500 у вас просто агрегирует, vlan-ы с домов, на которых в свою очередь стоят коммутаторы доступа L2, и отправляет их на БРАС-ы. Так то о чём, вы говорите - делается на уровне доступа. Т.е. на тех коммутаторах, куда подключаются абоненты. У zyxel - Port Isolation. Далее если на БРАС-е не разрешено им общяться в vlan-е то видеть они будут только интерфейс, который их терминирует, т.е. сам БРАС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба Да всё верно. На самом доступе изоялция портов включена и работает. Но проблема втом что на IP телефонию 1 vlan (за телефония отвечаю не я.. а там у них свои загоны) и получится что через 65 будет видел vlan телефонии между клиентами в соседних портах 65. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 19 марта, 2015 · Жалоба Т.е. У Вас весь трафик в vlan-е доступа, предположим - 555-й А услуга телефонии - 123-й vlan. И проблема в том, что абоненты не смогут видеть 123-й ? или же VoIP трафик в 1-м vlan-е? И Вас смущяет, что все всех будут видеть в этом 1м vlan-е? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 19 марта, 2015 · Жалоба ТС смущает, что абоны видят друг друга в влане для определённой услуги через аплинковый порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба Нет. В скажем в влаах с N по NNN вланах бегает PPPoE. На каждый дом (считайте на каждый порт 65) свой vlan до браса. А вся телефония бегает в 1 vlan-e скажем 444. и проблема в том, что если этот влан на порту 1/46 и на 1/47 и через него клиенты из этих портов друг друга видят на l2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 19 марта, 2015 · Жалоба Быть может: sw(config-if)# switchport protected Функция protected port работает только на локальном коммутаторе. Между protected-портами на канальном уровне не передается трафик (multicast, broadcast или unicast). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба Об чём и речь - нету этого на 65 кошке. Router(config)#int gi 1/48 Router(config-if)#swi Router(config-if)#switchport ? access Set access mode characteristics of the interface autostate Include or exclude this port from vlan link up calculation backup Set backup for the interface block Disable forwarding of unknown uni/multi cast addresses capture Set capture mode characteristics of this interface dot1q Set interface dot1q properties host Set port host mode Set trunking mode of the interface nonegotiate Device will not engage in negotiation protocol on this interface port-security Security related command private-vlan Set the private VLAN configuration trunk Set trunking characteristics of the interface vlan Set a VLAN mapping on this interface voice Voice appliance attributes <cr> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 19 марта, 2015 · Жалоба ТС смущает, что абоны видят друг друга в влане для определённой услуги через аплинковый порт. Я понял, не совсем так. Понял, что его смущяет, что они будут видеть друг друга в VoIP vlan-е на разных Uplink-k портах в ядре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 19 марта, 2015 · Жалоба Нет. В скажем в влаах с N по NNN вланах бегает PPPoE. На каждый дом (считайте на каждый порт 65) свой vlan до браса. А вся телефония бегает в 1 vlan-e скажем 444. и проблема в том, что если этот влан на порту 1/46 и на 1/47 и через него клиенты из этих портов друг друга видят на l2 Я понял, не совсем так. Понял, что его смущяет, что они будут видеть друг друга в VoIP vlan-е на разных Uplink-k портах в ядре. И в чём отличие того, что я написал, от того, что написали Вы? Кроме того, что вы указали номера портов, и наименования услуг. Ну а проблема у вас получается by-design. Может рассмотреть вариант с разными вланами на "ветку"? Может, какое, qinq. Ну или совсем костыльно - аклы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба Уху и такой нужной вещи как "switchport protected" нету. Приватный vlan тоже не спасёт - так как их не может быть больше 1..и тем более на транковом порту Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба и pvlan-ы тут не помогут, ибо их не может быть на транковом порту/несколько пвланов на 1 порту Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 19 марта, 2015 · Жалоба случаем, не оно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 19 марта, 2015 · Жалоба При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба случаем, не оно? Это я в самом начале прочитал. не нашёл как на транковом порту это заюзать в купе с несколькими вланами При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера. Про фильтрацию на дсоутпе тоже подумываю. Вообще меня больше всего напрягает возможные колизии на длинках на доступе. Поэтому и хотел распилить сеть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 19 марта, 2015 · Жалоба При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера. Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом. Что-то вроде да аха. А то ест ьумельцы котыоре втыкают вместо телефонов завирусованные компы гадящие в сеть или гоняющие другой трафик по влану телефонии между неск точками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 19 марта, 2015 · Жалоба Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом. Что-то вроде да аха. А то ест ьумельцы котыоре втыкают вместо телефонов завирусованные компы гадящие в сеть или гоняющие другой трафик по влану телефонии между неск точками. Где метится VoIP трафик? Каким образом трафик с компьютера может туда попасть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба Вместо VoIp-адаптера воткнули ноут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 19 марта, 2015 · Жалоба Ну и опять же когда 100500 адапетрво в сети в 1 влане.. колизии на длинках неизбежны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 19 марта, 2015 · Жалоба Вопрос о том где метка на VoIP вешается - не решен. Или это в vlan 1? (без метки) VoIP и на доступе по идее ваш вопрос решен. D-link-и умеют вроде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...