grifin.ru Posted June 9, 2017 · Report post Коллеги, прошу не смеяться, вопрос школьника у меня. Просто ни разу не сталкивался с такой задачей, которую большинство здесь присутствующий решает с детства: В общем есть маршрутизатор(ы) и некоторое количество серверов (своих и не очень), которые к этим маршрутизаторам подключены и используют реальные IP о настоящего времени вопрос изоляции серверов друг-от друга решался путем включения каждого из них в отдельный порт маршрутизатора и соответствующей настройкой интерфейса. Теперь хочется поставить между ними коммутатор, воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP. При этом привязака МАС-IP не устраивает. Нужно что-то вроде такого: Клиенту выделяется ГРУППА портов коммутатора. Для этой группы прописывается разрешенный диапазон IP. Как называется технология, которая умеет это делать и в сторону каких коммутаторов смотреть ? Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 9, 2017 · Report post vlan + l3 коммутатор с ACL. Например cisco 3750 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted June 9, 2017 · Report post vlan + l3 коммутатор с ACL. Например cisco 3750 А если не кошка ? Что-то типа Hp или Eltex ? HP1920-16G лежит. Он умеет такое ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted June 9, 2017 · Report post Cisco WS-C4948-S или WS-C4948-10GE-S или WS-C4948E + Private vlan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
v_r Posted June 9, 2017 · Report post L3 ACL умеют большинство L2 свитчей, ведь фильтрация трафика на портах не завязана на способность свитча маршрутизировать трафик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted June 9, 2017 · Report post vlan + l3 коммутатор с ACL. Например cisco 3750 А если не кошка ? Что-то типа Hp или Eltex ? HP1920-16G лежит. Он умеет такое ? Принципиально умеет, но. У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted June 9, 2017 · Report post Принципиально умеет, но. У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов. А как это вообще настраивается ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmp.user Posted June 9, 2017 · Report post У коммутаторов HP есть управление через веб (неполное), есть cli (больше возможностей). У младших моделей, к сожалению, на сайте поддержки документация по cli отсутствует. Можно найти руководство по более продвинутым моделям. Порты можно раскидать по разным vlan. В конфигурации будет нечто подобное: interface Vlan-interface103 ip address 172.16.0.1 255.255.240.0 packet-filter 3002 inbound Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edo Posted June 9, 2017 · Report post vlan + l3 коммутатор с ACL. Например cisco 3750 зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами. обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 9, 2017 · Report post +1 к вланам Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted June 9, 2017 · Report post edordc Что-то сам не допер. Действительно. Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted June 10, 2017 · Report post Вот только L2-свич не сделает вот этого: воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP.При этом привязака МАС-IP не устраивает. Нужно что-то вроде такого: Клиенту выделяется ГРУППА портов коммутатора. Для этой группы прописывается разрешенный диапазон IP. L2 на то и L2, что об IP-адресах ничего не знает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted June 10, 2017 · Report post Вот только L2-свич не сделает вот этого: Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети. На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф. Ну и выше сказали уже, на роутере поднят vlan с ипом а на свиче банально сделать аля "switchport access vlan 100". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edo Posted June 10, 2017 · Report post L2 на то и L2, что об IP-адресах ничего не знает А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 10, 2017 · Report post Вот только L2-свич не сделает вот этого:А это уже забота роутера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 10, 2017 · Report post А если не кошка ? Что-то типа Hp или Eltex ? HP1920-16G лежит. Он умеет такое ? к сожалению не знаю, те HP что мне попадались (давным давно) были лютым калом. Иного опыта нет, двигайтесь сами от стандарта, если кроите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 11, 2017 · Report post зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами. обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести. было сказано изоляция серверов - VLAN Использовалась изоляция по портам маршрутизатора - L3 Самый примитив ничего не ломая и не предлагая ТС, это совместить VLAN и extended ACL, при чём решение не предполагает "роутить на свиче", как был отдельный роутер так пусть он и будет, просто в режиме router-on-stick. А Свич пусть нафильтровывает изоляцию между подсетями не пуская одну в другую. А это уже забота роутера. По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edo Posted June 11, 2017 · Report post По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере. можете более подробно расписать, к какому попадалову? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bachaa Posted June 11, 2017 · Report post HP1920-16G лежит. Он умеет такое ? Умеет, и у нас так и было, как советуют люди, но мы убрали эти свитчи на уровень доступа, т.к. на серверах с виртуальными машинами поймали с ними нереальный глюк, когда при смене IP адресов на серверах из одной сети в другую вся сеть падала непонятным образом. Ни ребуты ничего не помогало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted June 11, 2017 · Report post Вот только L2-свич не сделает вот этого:А это уже забота роутера. L2 на то и L2, что об IP-адресах ничего не знает А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело. Я с вами полностью согласен. Просто я процитировал задачу ТС и там такое требование было. Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети. На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф. Не пробовал, но много раз читал, что не надо на Л2-свич вешать функции Л3, пусть даже свич декларируется как Л2+ с функционалом Л3, в особенности это касается длинк. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 11, 2017 · Report post По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере. можете более подробно расписать, к какому попадалову? Кроилово всегда ведёт к попадалову :) это устойчивая правда жизни, приделывая неустойчивый костылик куда-то, вы обязательно с этим гавном встретитесь) Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 11, 2017 · Report post По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину.Дело в том, что "изоляцию роутером" (ну или L3 свичом, который по сути роутер) не нужно как-то специально делать.Она сама собой получается - раскидал всех по вланам и всё. А вот когда сервера, принадлежащие разным хозяевам, находятся в одном влане - это ад. Я как-то пользовался таким хостером - пару раз нарывался на конфликт ипов и один раз какой-то урод светил мак шлюза. Чтобы эту проблему относительно надёжно решить - нужно будет прибивать маки к портам и отфильтровывать ипы в ACL. Причём ещё надо будет решить проблему кривых arp-ответов - или ACL по содержимому пакета, или прибивать ипы к макам на роутере и изолировать сервера друг от друга, ломая связность. А особенно весело будет колхозить ACL под IPv6 SLAAC. Вишенка на торте - всё это ещё и администрировать! Может быть, всё-таки лучше не колхозить систему из говна и палок, а раскидать по вланам? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edo Posted June 11, 2017 · Report post Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл" а конкретнее, почему вы считате так правильно? я рассуждал именно с точки зрения "правильно": свитч просто "удлинитель интерфейсов" для роутера, все l3+ настройки в одном месте (на роутере). при желании схема отлично масштабируется на несколько свитчей. минусы, которые можно придумать: - много трафика между клиентами, который лучше пустить мимо роутера? в задаче про это не было ничего сказано (хотя бы из того, что не было ничего сказано про скорость портов, можно предположить, что всё в гигабит укладывается); - нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно; - много клиентов и 4096 vlan мало? ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 11, 2017 · Report post 4096 vlan мало?qinq решает же Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted June 11, 2017 · Report post - нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно; Беда L2 - малая и общая таблица мак-адресов, независимо от кол-ва vlan. Некий гипопотический засранец способен эту таблицу засрать-вымыть. Причём засранец например вполне корректно купил гуанороутер от асус, и гадит своим маком и на лан и на ван, и на пптп-интерфейсе одновременно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...