grifin.ru Posted June 9, 2017 Коллеги, прошу не смеяться, вопрос школьника у меня. Просто ни разу не сталкивался с такой задачей, которую большинство здесь присутствующий решает с детства: В общем есть маршрутизатор(ы) и некоторое количество серверов (своих и не очень), которые к этим маршрутизаторам подключены и используют реальные IP о настоящего времени вопрос изоляции серверов друг-от друга решался путем включения каждого из них в отдельный порт маршрутизатора и соответствующей настройкой интерфейса. Теперь хочется поставить между ними коммутатор, воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP. При этом привязака МАС-IP не устраивает. Нужно что-то вроде такого: Клиенту выделяется ГРУППА портов коммутатора. Для этой группы прописывается разрешенный диапазон IP. Как называется технология, которая умеет это делать и в сторону каких коммутаторов смотреть ? Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 9, 2017 vlan + l3 коммутатор с ACL. Например cisco 3750 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted June 9, 2017 vlan + l3 коммутатор с ACL. Например cisco 3750 А если не кошка ? Что-то типа Hp или Eltex ? HP1920-16G лежит. Он умеет такое ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted June 9, 2017 Cisco WS-C4948-S или WS-C4948-10GE-S или WS-C4948E + Private vlan Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
v_r Posted June 9, 2017 L3 ACL умеют большинство L2 свитчей, ведь фильтрация трафика на портах не завязана на способность свитча маршрутизировать трафик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uxcr Posted June 9, 2017 vlan + l3 коммутатор с ACL. Например cisco 3750 А если не кошка ? Что-то типа Hp или Eltex ? HP1920-16G лежит. Он умеет такое ? Принципиально умеет, но. У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted June 9, 2017 Принципиально умеет, но. У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов. А как это вообще настраивается ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dmp.user Posted June 9, 2017 У коммутаторов HP есть управление через веб (неполное), есть cli (больше возможностей). У младших моделей, к сожалению, на сайте поддержки документация по cli отсутствует. Можно найти руководство по более продвинутым моделям. Порты можно раскидать по разным vlan. В конфигурации будет нечто подобное: interface Vlan-interface103 ip address 172.16.0.1 255.255.240.0 packet-filter 3002 inbound Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edo Posted June 9, 2017 vlan + l3 коммутатор с ACL. Например cisco 3750 зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами. обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 9, 2017 +1 к вланам Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
grifin.ru Posted June 9, 2017 edordc Что-то сам не допер. Действительно. Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted June 10, 2017 Вот только L2-свич не сделает вот этого: воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP.При этом привязака МАС-IP не устраивает. Нужно что-то вроде такого: Клиенту выделяется ГРУППА портов коммутатора. Для этой группы прописывается разрешенный диапазон IP. L2 на то и L2, что об IP-адресах ничего не знает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted June 10, 2017 Вот только L2-свич не сделает вот этого: Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети. На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф. Ну и выше сказали уже, на роутере поднят vlan с ипом а на свиче банально сделать аля "switchport access vlan 100". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edo Posted June 10, 2017 L2 на то и L2, что об IP-адресах ничего не знает А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 10, 2017 Вот только L2-свич не сделает вот этого:А это уже забота роутера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 10, 2017 А если не кошка ? Что-то типа Hp или Eltex ? HP1920-16G лежит. Он умеет такое ? к сожалению не знаю, те HP что мне попадались (давным давно) были лютым калом. Иного опыта нет, двигайтесь сами от стандарта, если кроите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 11, 2017 зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами. обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести. было сказано изоляция серверов - VLAN Использовалась изоляция по портам маршрутизатора - L3 Самый примитив ничего не ломая и не предлагая ТС, это совместить VLAN и extended ACL, при чём решение не предполагает "роутить на свиче", как был отдельный роутер так пусть он и будет, просто в режиме router-on-stick. А Свич пусть нафильтровывает изоляцию между подсетями не пуская одну в другую. А это уже забота роутера. По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edo Posted June 11, 2017 По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере. можете более подробно расписать, к какому попадалову? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Bachaa Posted June 11, 2017 HP1920-16G лежит. Он умеет такое ? Умеет, и у нас так и было, как советуют люди, но мы убрали эти свитчи на уровень доступа, т.к. на серверах с виртуальными машинами поймали с ними нереальный глюк, когда при смене IP адресов на серверах из одной сети в другую вся сеть падала непонятным образом. Ни ребуты ничего не помогало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted June 11, 2017 Вот только L2-свич не сделает вот этого:А это уже забота роутера. L2 на то и L2, что об IP-адресах ничего не знает А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело. Я с вами полностью согласен. Просто я процитировал задачу ТС и там такое требование было. Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети. На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф. Не пробовал, но много раз читал, что не надо на Л2-свич вешать функции Л3, пусть даже свич декларируется как Л2+ с функционалом Л3, в особенности это касается длинк. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Serejka Posted June 11, 2017 По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере. можете более подробно расписать, к какому попадалову? Кроилово всегда ведёт к попадалову :) это устойчивая правда жизни, приделывая неустойчивый костылик куда-то, вы обязательно с этим гавном встретитесь) Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 11, 2017 По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину.Дело в том, что "изоляцию роутером" (ну или L3 свичом, который по сути роутер) не нужно как-то специально делать.Она сама собой получается - раскидал всех по вланам и всё. А вот когда сервера, принадлежащие разным хозяевам, находятся в одном влане - это ад. Я как-то пользовался таким хостером - пару раз нарывался на конфликт ипов и один раз какой-то урод светил мак шлюза. Чтобы эту проблему относительно надёжно решить - нужно будет прибивать маки к портам и отфильтровывать ипы в ACL. Причём ещё надо будет решить проблему кривых arp-ответов - или ACL по содержимому пакета, или прибивать ипы к макам на роутере и изолировать сервера друг от друга, ломая связность. А особенно весело будет колхозить ACL под IPv6 SLAAC. Вишенка на торте - всё это ещё и администрировать! Может быть, всё-таки лучше не колхозить систему из говна и палок, а раскидать по вланам? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
edo Posted June 11, 2017 Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл" а конкретнее, почему вы считате так правильно? я рассуждал именно с точки зрения "правильно": свитч просто "удлинитель интерфейсов" для роутера, все l3+ настройки в одном месте (на роутере). при желании схема отлично масштабируется на несколько свитчей. минусы, которые можно придумать: - много трафика между клиентами, который лучше пустить мимо роутера? в задаче про это не было ничего сказано (хотя бы из того, что не было ничего сказано про скорость портов, можно предположить, что всё в гигабит укладывается); - нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно; - много клиентов и 4096 vlan мало? ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted June 11, 2017 4096 vlan мало?qinq решает же Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted June 11, 2017 - нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно; Беда L2 - малая и общая таблица мак-адресов, независимо от кол-ва vlan. Некий гипопотический засранец способен эту таблицу засрать-вымыть. Причём засранец например вполне корректно купил гуанороутер от асус, и гадит своим маком и на лан и на ван, и на пптп-интерфейсе одновременно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...