[.Amigo.]

Предложенная реализаци преследовала собой как раз обеспечить полное исключение возможности взаимодействия абонентов между собой, не иначе как только через центральные серверы и маршрутизирующие коммутаторы.  

 

Т.е. она позволяет построить сеть, обеспечивающию локальную защиту абонентов от кулхацкеров, без применения списков доступа и фильтрации передаваемых данных (зачем городить огород с маршрутизацией там, где и Ethernet легко справиться).

 

Я правильно пониманию: Взаимодействие клиентов между собой вообще никак не зависит от их принадлежности к IP сети! будь они в одной сети - взаимодействие между ними не возможно если они В РАЗНЫХ Vlanax!

Т.е. тут даже маршрутизация на уровне IP не поможет! Все разруливается на 2 уровне - т.е. VLAN! Получается что и сервер то ни нужен - все делается на коммутаторе! или я не прав?

 

Возникает ризонный вопрос:

Пример №1: Есть некоторая группа клиентов, скажем так. выделеных территориально в отдельную подсеть и этой подсети присвоен VLAN-1,

И еще одна территория выделена в другую подсеть которой присвоен VLAN-2.

Получается даже настроив маршрутизацию этих сетей на Сервере они между собой контактировать не смогут - ибо в разных VLANax.

 

Вопрос!!! Как сделать, чтобы они смогли друг друга "видеть"!!!

 

Вопрос №2!!! Как в этом случае пойдет трафик между клиентами??? Ведь если у меня на одном из коммутаторов присутвует сразу два VLANа, то он может и не направлять весь трафик на сервер - а сразу отдать его в другой VLAN т.е. другой порт!

[Nag]

Все это половинчато. Идея о том, что абонент сам себя записывает в трафикогенераторы (путем заполнения полей в разделе "Добавить ресурс") - правильная идея. Менять каждые раз при этом конфигурацию сети (переносить абонентов из одного вилана в другой) - малоприемлемо. Если уж делать, то делать по-человечески - каждому абоненту свой вилан.

 

Жизнь вообще полна компромиссов.

Вилан в существующем виде просто не предназначен для отдельных абонентов. Загнать туда частного пользователя можно - но будет очень дорого и сложно в управлении. Не стоит оно того.

Для реального подсчета 90% внутрисетевого трафика достаточно разделить сеть на кучки по 20-30-40 пользователей. Но надо делить так, что бы соседи (а лучше все пользователи) одного дома ОБЯЗАТЕЛЬНО оказывались в разных виланах. ;-)

Ну а кому хочется побиться за оставшиеся 10% трафика - должен быть готов выложить весьма круглую дополнительную сумму.

[Я_рядом]

2 Amigo

Взаимодействие между клиентами возможно, но в самом простейшем случае вы должны подключить сервер (маршрутизатор) или маршрутизирующий коммутатор, по транковому порту и настроить маршрутизацию между VLAN, вот и все.

 

2 nag

Послушали бы Вас наши дальневосточные соседи - Японцы - у них комерческие сети городского масштаба именно на dotQ и построены, уже как минимум 4 года.

Клиенты между собой (частники) разделены на уровне VLAN.

 

Проблемы таких сетей уже не раз описаны и они у Японцев есть, правда выкручиваются они весьма оригинальными способами.

Как пример, возникает вопрос перемаркировки VLAN-ов - традиционно решается на уровне маршрутизирующего коммутатора(ну останется как протокол межсетевого взаимодействия только IP, ну и что ;-) )

здесь же используются VLAN кросс-коннекторы.

 

Т.е. железка , с портами 101001000, которая может в соотвествии с правилами изменить VLAN ID в маркированном пакете с "3" на "5" и т.д. в том же духе.

 

Таких забавных вещиц у них много, но наружу они практически не попадают, до насыщения внутреннего рынка.

[Nag]

Послушали бы Вас наши дальневосточные соседи - Японцы - у них комерческие сети городского масштаба именно на dotQ и построены, уже как минимум 4 года.

Клиенты между собой (частники) разделены на уровне VLAN.

 

Что-то я не вижу противоречия. :-)

Проблемы - и у японцев есть, и не малые.

Правда у них есть деньги на их решение.

У нас пока нет.

Так что вилан на группу - единственное реальное (по деньгам) решение. :-)

[bone]

Что то я не понял. Если я ставлю абонентам коммутаторы с поддержкой виланов, то какая мне разница, давать каждому свой вилан, или на группу по десять человек (тем более, если эти группы формировать из разных домов)? Наоборот, администрировать такую систему (каждому свой) гораздо проще - ни о чем думать не надо, все в автоматическом режиме, каждому присваивается свой ID. Естественно, остается общее ограничение (кажется 4096 ID. или я ошибаюсь?). Где "весьма круглая дополнительная сумма"?

[Nag]

Что то я не понял. Если я ставлю абонентам коммутаторы с поддержкой виланов, то какая мне разница, давать каждому свой вилан, или на группу по десять человек (тем более, если эти группы формировать из разных домов)? Наоборот, администрировать такую систему (каждому свой) гораздо проще - ни о чем думать не надо, все в автоматическом режиме, каждому присваивается свой ID. Естественно, остается общее ограничение (кажется 4096 ID. или я ошибаюсь?). Где "весьма круглая дополнительная сумма"?

 

Попробуйте. ;-)

1. Маршрутизация виланов процесс затратный.

Китайскими мыльницами не обойтись, только приличными - типа 3550.

2. У коммутаторов есть ограничение на количество виланов. Например 2950 - 32 если не ошибаюсь. Т.е. уже на 2 дома транзитом - его не хватит.

 

Потом еще полезут "мелочи"...

И все поднимет стоимость сети раза в полтора-два.

Готовы платить столько за 10% локала?

[Roman Ivanov]

2. У коммутаторов есть ограничение на количество виланов. Например 2950 - 32 если не ошибаюсь. Т.е. уже на 2 дома транзитом - его не хватит.  

 

http://forum.nag.ru/viewtopic.php?t=11165&...&highlight=2950

[.Amigo.]

Взаимодействие между клиентами возможно, но в самом простейшем случае вы должны подключить сервер (маршрутизатор) или маршрутизирующий коммутатор, по транковому порту и настроить маршрутизацию между VLAN, вот и все.  

 

Т.е. Как я понял маршрутизацию именно на 2 сетевом уровне! Именно между VLANaми! НЕ на сетевом 3 IP маршрутизацию!

Ну конечно если они в разных подсетях - то IP маршрутизацию полюбому!

Правильно?

[Гость]

2 Nag

хоть убейте но в контексте начала обсуждения так и не понял зачем маршрутизация между VLAN?

Для обмена P2P обмена? Ну тогда хотябы с т.з. вирусораспространения и и увеличения чуства защищенности у абонента, лучше держать стрктурированную файловую помойку с проверкой контента на вирусобезопасность и трояносвободность.

Здесь вообще открывается поле деятельности, направить свои усилия на создание и поддержание высоколиквидного контента в сетевом центре, вместо латания дыр в неуместной маршрутизации и практикования в написании acl.

Не раз обсуждалось и говорилось - будущее - за локальными центрами концентрации интересов и тяготения обмена данными.

 

2 .Amigo

Не очень понял что такое "маршрутизация именно на 2 сетевом уровне" ????

Есть VLAN - логический интерфейс, есть IP подсеть на 2 хоста для этого VLAN (т.е. юзеру IP и IP маршрутизатору). Грустно конечно и сложно до нев...я, но Вы же так хотели и соединения каждый с каждым и изоляция.

Я бы столько "не выкурил"

 

Я предлагал именно одну IP подсеть , но для изоляции клиентов - каждому клиенту по VLAN. Все ресурсы в центр и никакого P2P обмена данными в рамках подсети.

[Nag]

хоть убейте но в контексте начала обсуждения так и не понял зачем маршрутизация между VLAN?

 

А какя разница между виланами или всех виланов во что-то другое?

Для стандартных, не специализированных железок это безразлично.

 

Кстати, если не маршрутизить соседние виланы, начинаются очень неудобные вещи - не работают все протоколы точка-точка. ;-) Т.е. Скайпы, нетмитинги, асечные навороты, и т.п.

Это многих напрягает - когда сосед соседу не может кинуть файл через аську или поговорить...

 

В принципе может быть от этого можно отказаться - но ради чего?

Идейной красоты или оставшихся 10% локального трафика?

 

Не раз обсуждалось и говорилось - будущее - за локальными центрами концентрации интересов и тяготения обмена данными.

 

... Но не ценой полного запрещения обмена точка-точка.

 

Я предлагал именно одну IP подсеть , но для изоляции клиентов - каждому клиенту по VLAN. Все ресурсы в центр и никакого P2P  обмена данными в рамках подсети.

 

Ну так конкретные примеры железок, способных перемаркировывать виланы, в студию... Может на самом деле они сделают революцию в построении сетей.

[Я_рядом]

Продуктовый каталог

Страница 26, VXC-1004 -пример модели с портами под SFP GBIC.

[bone]

Тут дело не только в 10% трафика, которые не посчитать. Дело еще в защите сети. Я вижу следующие варианты:

1. Привязка мака к порту коммутатора. Тогда мы хотя бы ТОЧНО знаем кто шалит и можем его отключить на порту.

2. VLAN на каждого абонента. Поскольку весь трафик проходит через маршрутизатор - мы имеем полный контроль.

 

Второй вариант дает больший контроль и, поэтому, лучше. В случае, когда по 10 абонентов на вилан (и даже если всего два), мы не можем _гарантированно_ утверждать от какого из этих десяти абонентов идут вредные пакеты. Значит в этом случае защита отсутствует полностью.

[Nag]

Продуктовый каталог

Страница 26, VXC-1004 -пример модели с портами под SFP GBIC.

 

Хорошая заявка.

Вопрос цены... Сколько?

И подробные характеристики бы... А то мультиплексор и мультиплесор... :-)

[Nag]

Второй вариант дает больший контроль и, поэтому, лучше. В случае, когда по 10 абонентов на вилан (и даже если всего два), мы не можем _гарантированно_ утверждать от какого из этих десяти абонентов идут вредные пакеты. Значит в этом случае защита отсутствует полностью.

 

Максимализм, это хорошо.

Правда в реальности в большинстве сетей вообще виланы не используются. :-) И ничего, живут.

 

Имея управляемую сеть, саппорт (если там не кретины) найдет вредоносного пользователя в считанные минуты. ;-) Порты-то управляемые... МАСи известны... Вполне причем гарантированно и даже без всякой привязки.

Куда пользователь с подводной лодки денется...

[zoro]

так

1) человек вообще непонимает о чем вы говорите :) так как вы перекинулись обсуждать высшие материи :)(для данного человека)

2) человеку надо объяснить что такое влан на доступном уровене....

щас гдето у меня завалялась нормальная статья... если найду(в течении завтрашниго дня то дам ссылку или саму статью выложу...) там все предельно ясно написанно...

PS сам чукча(я) не писатель и на бумаге частенько немогу выложить правильно свои мысли.... это плохо... :(

[.Amigo.]

Что не видно твоей доки!

[Александр Роман]

Вопросы будут яснее(если останутся вообще) после прочтения:

 

http://pchelp.zelot.ru/lan/information/vlan.php

http://www.opennet.ru/base/net/vlan_freebsd.txt.html

http://www.tekoc.ru/text/vlan/vlans.html

http://net-line.by.ru/vlan.html?extract=1109933212

[andyvt]

1. Маршрутизация виланов процесс затратный.

Китайскими мыльницами не обойтись, только приличными - типа 3550.

2. У коммутаторов есть ограничение на количество виланов. Например 2950 - 32 если не ошибаюсь. Т.е. уже на 2 дома транзитом - его не хватит.  

 

Потом еще полезут "мелочи"...

И все поднимет стоимость сети раза в полтора-два.

Готовы платить столько за 10% локала?

 

Ключевые слова - Private VLAN и Private VLAN Edge (protected port).

[Гость]

У нас продаются свичи по 17 баксов - 8 портов способные понимать вланы )))

[ae]

для решения подобной задачи мы используем PPPoE, то есть сегменты между собой не маршрутизируются (все VLAN'ы оптикой сводятся в центр, там стоит 3750 и ASR7400), клиент поднимает PPPoE на ASR7400 (раньше пользовали для этих целей AS5300 и 3660, но они слабоваты), получает честный адрес и трафик считатется во всех мыслимых направлениях и раскладках. Подобная p4p партнёрская программа запущена в конце декабря и оказалась очень эффективна... сейчас в сети около 7-ми тыс абонентов...

[Гость]

В такой схеме нет необходимости ставить на сервер карту с поддержкой dotQ.

Порт сервера на Ethernet коммутаторе должен быть то же Access, с т.з. dotQ, но быть членом всех пользовательских VLAN-ов.

Итого получаем такую схему из расчета "1-пользователь - 1VLAN":

VLAN#1 - VLAN через который сервер отдает данные абонентам.

VLAN#2-4096 - пользовательские VLAN, через которые абоненты посылают пакеты на сервер и через сервер во внешний мир.

.

 

что - то до меня не совсем доходит эта схема,

те предположим что пользователь 1 находиться на порту 1, пользователь 2 на порту 2, а сервер на порту 10.

Я правильно понимаю что, порты 1,2,10 будут untagged,

для VLAN 1 членами будут порты 1,10

для VLAN 2 членами будут порты 2,10

для VLAN 10 членами будут порты 1,2,10

 

Но как свитч узнает что к примеру входящие пакеты на порту 10, он должен маркировать как VLAN10, а не как скажем VLAN1 ??

[Roman Ivanov]

что - то до меня не совсем доходит эта схема,

те предположим что пользователь 1 находиться на порту 1, пользователь 2 на порту 2, а сервер на порту 10.

Я правильно понимаю что, порты 1,2,10 будут untagged,  

для VLAN 1 членами будут порты 1,10

для VLAN 2 членами будут порты 2,10

для VLAN 10 членами будут порты 1,2,10

 

Но как свитч узнает что к примеру входящие пакеты на порту 10, он должен маркировать как VLAN10, а не как скажем VLAN1 ??

 

Почитайте документацию.

Параметр PVID (Native vlan) - один из первых, о котором рассказывают.

[Гость]

Я почему-то думал что Native vlan это вилан для которого тег не вставляется, или нет?

 

я так понял что PVID это номер вилана который вставиться при передаче с этого порта и он может быть только один на порту, в то время как порт может быть членом многих виланов

 

PS: А в ком***х каталиста это как звучать будет?

[MrCloud]

А как считаете, на сети из D-link DXS-3326GSR узловые L3 и DES-3526/2110 L2 на уровне доступа схема тут описанная пойдет?

 

Что делать если кол-во VLAN превысит 4096?

[Александр Роман]

> Что делать если кол-во VLAN превысит 4096?

Купить книгу "Принципы коммутации в локальных сетях Cisco" и внимательно ее прочитать. Вы поймете что вланы либо ненужны Вам вовсе, либо решите снять транки между свичами и углубится в принципы маршрутизации CIDR.