[grifin.ru]

Коллеги, прошу не смеяться, вопрос школьника у меня. Просто ни разу не сталкивался с такой задачей, которую большинство здесь присутствующий решает с детства:

В общем есть маршрутизатор(ы) и некоторое количество серверов (своих и не очень), которые к этим маршрутизаторам подключены и используют реальные IP

о настоящего времени вопрос изоляции серверов друг-от друга решался путем включения каждого из них в отдельный порт маршрутизатора и соответствующей настройкой интерфейса.

Теперь хочется поставить между ними коммутатор, воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP.

При этом привязака МАС-IP не устраивает.

Нужно что-то вроде такого:

Клиенту выделяется ГРУППА портов коммутатора.

Для этой группы прописывается разрешенный диапазон IP.

Как называется технология, которая умеет это делать и в сторону каких коммутаторов смотреть ?

Спасибо.

[Serejka]

vlan + l3 коммутатор с ACL. Например cisco 3750

[grifin.ru]

vlan + l3 коммутатор с ACL. Например cisco 3750

А если не кошка ?

Что-то типа Hp или Eltex ?

 

HP1920-16G лежит.

Он умеет такое ?

[andryas]

Cisco WS-C4948-S или WS-C4948-10GE-S или WS-C4948E + Private vlan

[v_r]

L3 ACL умеют большинство L2 свитчей, ведь фильтрация трафика на портах не завязана на способность свитча маршрутизировать трафик.

[uxcr]

vlan + l3 коммутатор с ACL. Например cisco 3750

А если не кошка ?

Что-то типа Hp или Eltex ?

 

HP1920-16G лежит.

Он умеет такое ?

Принципиально умеет, но.

У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов.

[grifin.ru]

Принципиально умеет, но.

У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов.

А как это вообще настраивается ?

[dmp.user]

У коммутаторов HP есть управление через веб (неполное), есть cli (больше возможностей). У младших моделей, к сожалению, на сайте поддержки документация по cli отсутствует. Можно найти руководство по более продвинутым моделям.

Порты можно раскидать по разным vlan.

В конфигурации будет нечто подобное:

interface Vlan-interface103

ip address 172.16.0.1 255.255.240.0

packet-filter 3002 inbound

[edo]

vlan + l3 коммутатор с ACL. Например cisco 3750

зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами.

обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести.

[rdc]

+1 к вланам

[grifin.ru]

edordc

Что-то сам не допер. Действительно.

Спасибо!

[Andrei]

Вот только L2-свич не сделает вот этого:

воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP.

При этом привязака МАС-IP не устраивает.

Нужно что-то вроде такого:

Клиенту выделяется ГРУППА портов коммутатора.

Для этой группы прописывается разрешенный диапазон IP.

L2 на то и L2, что об IP-адресах ничего не знает

[GrandPr1de]

Вот только L2-свич не сделает вот этого:

Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети.

На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф.

Ну и выше сказали уже, на роутере поднят vlan с ипом а на свиче банально сделать аля "switchport access vlan 100".

[edo]

L2 на то и L2, что об IP-адресах ничего не знает

А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело.

[rdc]

Вот только L2-свич не сделает вот этого:

А это уже забота роутера.

[Serejka]

А если не кошка ?

Что-то типа Hp или Eltex ?

 

HP1920-16G лежит.

Он умеет такое ?

к сожалению не знаю, те HP что мне попадались (давным давно) были лютым калом. Иного опыта нет, двигайтесь сами от стандарта, если кроите.

[Serejka]

зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами.

обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести.

 

было сказано изоляция серверов - VLAN

Использовалась изоляция по портам маршрутизатора - L3

 

Самый примитив ничего не ломая и не предлагая ТС, это совместить VLAN и extended ACL, при чём решение не предполагает "роутить на свиче", как был отдельный роутер так пусть он и будет, просто в режиме router-on-stick. А Свич пусть нафильтровывает изоляцию между подсетями не пуская одну в другую.

 

А это уже забота роутера.

 

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере.

[edo]

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере.

можете более подробно расписать, к какому попадалову?

[Bachaa]

HP1920-16G лежит.

Он умеет такое ?

 

Умеет, и у нас так и было, как советуют люди, но мы убрали эти свитчи на уровень доступа, т.к. на серверах с виртуальными машинами поймали с ними нереальный глюк, когда при смене IP адресов на серверах из одной сети в другую вся сеть падала непонятным образом. Ни ребуты ничего не помогало.

[Andrei]

Вот только L2-свич не сделает вот этого:

А это уже забота роутера.

 

L2 на то и L2, что об IP-адресах ничего не знает

А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело.

 

Я с вами полностью согласен. Просто я процитировал задачу ТС и там такое требование было.

 

Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети.

На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф.

Не пробовал, но много раз читал, что не надо на Л2-свич вешать функции Л3, пусть даже свич декларируется как Л2+ с функционалом Л3, в особенности это касается длинк.

[Serejka]

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере.

можете более подробно расписать, к какому попадалову?

 

Кроилово всегда ведёт к попадалову :) это устойчивая правда жизни, приделывая неустойчивый костылик куда-то, вы обязательно с этим гавном встретитесь)

 

Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл"

[rdc]

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину.

Дело в том, что "изоляцию роутером" (ну или L3 свичом, который по сути роутер) не нужно как-то специально делать.

Она сама собой получается - раскидал всех по вланам и всё.

 

А вот когда сервера, принадлежащие разным хозяевам, находятся в одном влане - это ад.

Я как-то пользовался таким хостером - пару раз нарывался на конфликт ипов и один раз какой-то урод светил мак шлюза.

Чтобы эту проблему относительно надёжно решить - нужно будет прибивать маки к портам и отфильтровывать ипы в ACL.

Причём ещё надо будет решить проблему кривых arp-ответов - или ACL по содержимому пакета, или прибивать ипы к макам на роутере и изолировать сервера друг от друга, ломая связность.

А особенно весело будет колхозить ACL под IPv6 SLAAC.

Вишенка на торте - всё это ещё и администрировать!

 

Может быть, всё-таки лучше не колхозить систему из говна и палок, а раскидать по вланам?

[edo]

Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл"

а конкретнее, почему вы считате так правильно?

 

я рассуждал именно с точки зрения "правильно": свитч просто "удлинитель интерфейсов" для роутера, все l3+ настройки в одном месте (на роутере). при желании схема отлично масштабируется на несколько свитчей.

 

минусы, которые можно придумать:

- много трафика между клиентами, который лучше пустить мимо роутера? в задаче про это не было ничего сказано (хотя бы из того, что не было ничего сказано про скорость портов, можно предположить, что всё в гигабит укладывается);

- нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно;

- много клиентов и 4096 vlan мало? )))

[rdc]

4096 vlan мало?

qinq решает же

[YuryD]

- нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно;

Беда L2 - малая и общая таблица мак-адресов, независимо от кол-ва vlan. Некий гипопотический засранец способен эту таблицу засрать-вымыть. Причём засранец например вполне корректно купил гуанороутер от асус, и гадит своим маком и на лан и на ван, и на пптп-интерфейсе одновременно.