Jump to content
Калькуляторы

Железка с Super Vlan, IPSG,Firewall/ACL

Добрый день, мне необходимо подобрать железку с Super Vlan, с поддержкой скажем так.. 500-1000 саб вланов(это вообще реально?). Трафик будет гонять копеечный и без ната, будет использоваться для связи STB с middlware поставщика

Не могли бы вы мне что нибудь посоветовать?

UPD. Интернеты хотя по пппое. vlan per switch

Edited by Tanatos

Share this post


Link to post
Share on other sites

ip unnumbered arp-poll подойдет?

3750 или 4948 или 4900m

Share this post


Link to post
Share on other sites

ip unnumbered arp-poll подойдет?

3750 или 4948 или 4900m

спасибо прочту про arp-poll и смогу сказать подойдет или нет)

Edited by Tanatos

Share this post


Link to post
Share on other sites

подойдет например Dlink DGS-3610

Share this post


Link to post
Share on other sites

На третьем уровне длинку не место.

Share this post


Link to post
Share on other sites

подойдет например Dlink DGS-3610

 

Нет, не подойдет. Dlink и L3 это слова из разных предложений, особенно когда речь идёт о какой-то хитрой точке терминации.

Пишешь ACL, вешаешь на интерфейс супер-влана, а он дублирует его на все саб-интерфейы, в результате переполнение tcam и остановка сервиса.

Человек хочет 500-1000 "саб вланов", в таком конфиге даже 3550 справляется у некоторых товарищей, правда без поллинга.

Share this post


Link to post
Share on other sites

не, в 3550 в конфиг тупо не лезет 1000 вланов, чуть меньше 900 получается....

3560 - уже всё хорошо ))

Share this post


Link to post
Share on other sites

Почему все так любят схемы с arp-polling'ом? DHCP Snooping при unnumbered же прекрасно работает?

Share this post


Link to post
Share on other sites

Ну, клиент в праве не использовать dhcp. По крайней мере хотелось бы, чтобы была такая возможность.

Ну и изначальный Super Vlan это именно функция предполагающая его использование.

А вообще зависит от кейса.

Share this post


Link to post
Share on other sites

Всегда думал, что SuperVLAN это как раз костыль на тему unnumbered без снупинга. Ну ок.

Share this post


Link to post
Share on other sites

Да ip unnumbered arp poll подойдет

Но чот циска которую в закромах нашелкрашится от пингов при поднятом arp poll(ME-C3750-24TE 12.2(58)SE2),

tehmeh а можете скинуть пример конфига если не затруднит, с dhcp snooping

Edited by Tanatos

Share this post


Link to post
Share on other sites

Должен быть включен DHCP Snooping в тех VLAN, которые настроены как unnumbered. Ключевое слово poll использовать не надо. Иные настройки relay, контроль 82-й опции сильно зависят от дизайна. Мы вставляем 82-ю опцию на доступе, следовательно на cisco надо ее сохранить, а SVI с unnumbered настроены с helper-address.

 

 

Вот примерный конфиг без VRF.


ip dhcp snooping
ip dhcp snooping vlan X
no ip dhcp snooping verify mac-address

ip dhcp relay information policy keep
no ip dhcp relay information check ! отключаем проверку reply-сообщений
ip dhcp relay information trust-all ! хотя лучше, конечно, прописывать на даунлинках, а не глобально

interface GigabitEthernet 2/1
switchport mode trunk
switchport trunk allowed vlan X
ip dhcp snooping information option allow-untrusted
ip dhcp relay information trusted ! вот так
exit

interface vlan X
ip unnumbered loopback 1
ip helper-address X.X.X.X
exit

Edited by tehmeh

Share this post


Link to post
Share on other sites

я добавлю для снупинга :)

ip dhcp relay information option
ip dhcp snooping vlan 100-300
ip dhcp snooping information option format remote-id string 11111
ip dhcp snooping

 

третья строка - мой личный воркараунд, т.к. оно мне присылало хз что в ремоут айди - я решил таким способом.

Edited by GrandPr1de

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this