[stalker86]

Коллеги подскажите как бы выкрутитсся в данной ситуации:

Есть несолкьо портов-апплинков в которых приходят скажем 400403,405 вланы.

 

Есть кучка портов смотрящих в сторону клиентов (транковых) с этими вланами.

Задача - клиенты не должны в этих вланах видеть друг-друга. Только порты-апплинки.

Думал сделать через switchport protection но его на Version 12.2(33)SXH8 не вижу.

Почитал про приватные вланы - не нашёл возмоджности на 1 транковый порт повесить несколько изолированных вланов.

 

#switchport private-vlan ?

association Set the private VLAN association

host-association Set the private VLAN host association

mapping Set the private VLAN promiscuous mapping

 

Вопрос как быть?

[SergeiK]

У вас клиенты включены к аплинку по L2?!

Что-то у меня как-то не очень складывается такая картина...

Или вы для клиентов - только и исключительно L2 транспорт?

[dignity]

Вы клиенту в транке все vlan-ы что ли передаете? А зачем? Почему бы не передавать клиенту в транке только его vlan. Как-то странно Вы излагаете...

[stalker86]

С 6500 выходит пачка вланов на свитчи доступа, а там уже разумеется кому и что нужно выдаётся.

[stalker86]

У вас клиенты включены к аплинку по L2?!

Что-то у меня как-то не очень складывается такая картина...

Или вы для клиентов - только и исключительно L2 транспорт?

 

 

В 65 с 1 стороны смотрят - брасы, сервер IP-телефонии, сервер iptv.

С другой стороны уходят оптические линки на доступ и на доступе уже накаждый порт назначается нужный влан, в зависимости от требуемой услуги.

 

К брасу да только л2 через 65. 1 vlan на дом

[bomberman]

Если я верно понял, то 6500 у вас просто агрегирует, vlan-ы с домов, на которых в свою очередь стоят коммутаторы доступа L2, и отправляет их на БРАС-ы.

Так то о чём, вы говорите - делается на уровне доступа. Т.е. на тех коммутаторах, куда подключаются абоненты. У zyxel - Port Isolation. Далее если на БРАС-е не разрешено им общяться в vlan-е то видеть они будут только интерфейс, который их терминирует, т.е. сам БРАС.

[stalker86]

Да всё верно. На самом доступе изоялция портов включена и работает.

Но проблема втом что на IP телефонию 1 vlan (за телефония отвечаю не я.. а там у них свои загоны) и получится что через 65 будет видел vlan телефонии между клиентами в соседних портах 65.

[bomberman]

Т.е. У Вас весь трафик в vlan-е доступа, предположим - 555-й А услуга телефонии - 123-й vlan. И проблема в том, что абоненты не смогут видеть 123-й ?

или же VoIP трафик в 1-м vlan-е? И Вас смущяет, что все всех будут видеть в этом 1м vlan-е?

[g3fox]

ТС смущает, что абоны видят друг друга в влане для определённой услуги через аплинковый порт.

[stalker86]

Нет.

В скажем в влаах с N по NNN вланах бегает PPPoE. На каждый дом (считайте на каждый порт 65) свой vlan до браса.

А вся телефония бегает в 1 vlan-e скажем 444.

и проблема в том, что если этот влан на порту 1/46 и на 1/47 и через него клиенты из этих портов друг друга видят на l2

[bomberman]

Быть может:

sw(config-if)# switchport protected

Функция protected port работает только на локальном коммутаторе. Между protected-портами на канальном уровне не передается трафик (multicast, broadcast или unicast).

[stalker86]

Об чём и речь - нету этого на 65 кошке.

 

Router(config)#int gi 1/48

Router(config-if)#swi

Router(config-if)#switchport ?

access Set access mode characteristics of the interface

autostate Include or exclude this port from vlan link up calculation

backup Set backup for the interface

block Disable forwarding of unknown uni/multi cast addresses

capture Set capture mode characteristics of this interface

dot1q Set interface dot1q properties

host Set port host

mode Set trunking mode of the interface

nonegotiate Device will not engage in negotiation protocol on this interface

port-security Security related command

private-vlan Set the private VLAN configuration

trunk Set trunking characteristics of the interface

vlan Set a VLAN mapping on this interface

voice Voice appliance attributes

<cr>

[bomberman]

ТС смущает, что абоны видят друг друга в влане для определённой услуги через аплинковый порт.

Я понял, не совсем так. Понял, что его смущяет, что они будут видеть друг друга в VoIP vlan-е на разных Uplink-k портах в ядре.

[g3fox]

Нет.

В скажем в влаах с N по NNN вланах бегает PPPoE. На каждый дом (считайте на каждый порт 65) свой vlan до браса.

А вся телефония бегает в 1 vlan-e скажем 444.

и проблема в том, что если этот влан на порту 1/46 и на 1/47 и через него клиенты из этих портов друг друга видят на l2

 

Я понял, не совсем так. Понял, что его смущяет, что они будут видеть друг друга в VoIP vlan-е на разных Uplink-k портах в ядре.

 

И в чём отличие того, что я написал, от того, что написали Вы? Кроме того, что вы указали номера портов, и наименования услуг.

 

Ну а проблема у вас получается by-design. Может рассмотреть вариант с разными вланами на "ветку"? Может, какое, qinq. Ну или совсем костыльно - аклы?

[stalker86]

Уху и такой нужной вещи как "switchport protected" нету. Приватный vlan тоже не спасёт - так как их не может быть больше 1..и тем более на транковом порту

[stalker86]

и pvlan-ы тут не помогут, ибо их не может быть на транковом порту/несколько пвланов на 1 порту

[bomberman]

случаем, не оно?

[dsk]

При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера.

[stalker86]

случаем, не оно?

 

Это я в самом начале прочитал. не нашёл как на транковом порту это заюзать в купе с несколькими вланами

 

При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера.

 

Про фильтрацию на дсоутпе тоже подумываю.

Вообще меня больше всего напрягает возможные колизии на длинках на доступе. Поэтому и хотел распилить сеть

[bomberman]

При таком раскладе, скорее всего нужно применить политику "ну и хрен с ними". Как я понимаю, тег телефонного влана будет сниматься на каком-то клиентском voip или комбинированном устройстве и в принципе никаким боком не должен попасть клиенту в компьютер, где бегает pppoe (ну не будете же вы для voip настраивать влан на клиентском компе с виндой, это бред по сути). Как максимум - прописать acl-и, разрешающие трафик только с ip адресов для телефонии и только до вашего sip сервера.

Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом.

[stalker86]

Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом.

 

Что-то вроде да аха.

А то ест ьумельцы котыоре втыкают вместо телефонов завирусованные компы гадящие в сеть или гоняющие другой трафик по влану телефонии между неск точками.

[bomberman]

Я пологаю ТС интересует безопасность на L2. Чтоб даже телефоны не могли друг с другом обмениваться трафиком, а только с шлюзом.

 

Что-то вроде да аха.

А то ест ьумельцы котыоре втыкают вместо телефонов завирусованные компы гадящие в сеть или гоняющие другой трафик по влану телефонии между неск точками.

Где метится VoIP трафик? Каким образом трафик с компьютера может туда попасть?

[stalker86]

Вместо VoIp-адаптера воткнули ноут.

[stalker86]

Ну и опять же когда 100500 адапетрво в сети в 1 влане.. колизии на длинках неизбежны

[bomberman]

Вопрос о том где метка на VoIP вешается - не решен. Или это в vlan 1? (без метки)

VoIP и на доступе по идее ваш вопрос решен. D-link-и умеют вроде.