Jump to content
Калькуляторы

Выбор коммутатора

Коллеги, прошу не смеяться, вопрос школьника у меня. Просто ни разу не сталкивался с такой задачей, которую большинство здесь присутствующий решает с детства:

В общем есть маршрутизатор(ы) и некоторое количество серверов (своих и не очень), которые к этим маршрутизаторам подключены и используют реальные IP

о настоящего времени вопрос изоляции серверов друг-от друга решался путем включения каждого из них в отдельный порт маршрутизатора и соответствующей настройкой интерфейса.

Теперь хочется поставить между ними коммутатор, воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP.

При этом привязака МАС-IP не устраивает.

Нужно что-то вроде такого:

Клиенту выделяется ГРУППА портов коммутатора.

Для этой группы прописывается разрешенный диапазон IP.

Как называется технология, которая умеет это делать и в сторону каких коммутаторов смотреть ?

Спасибо.

Share this post


Link to post
Share on other sites

vlan + l3 коммутатор с ACL. Например cisco 3750

А если не кошка ?

Что-то типа Hp или Eltex ?

 

HP1920-16G лежит.

Он умеет такое ?

Share this post


Link to post
Share on other sites

L3 ACL умеют большинство L2 свитчей, ведь фильтрация трафика на портах не завязана на способность свитча маршрутизировать трафик.

Share this post


Link to post
Share on other sites

vlan + l3 коммутатор с ACL. Например cisco 3750

А если не кошка ?

Что-то типа Hp или Eltex ?

 

HP1920-16G лежит.

Он умеет такое ?

Принципиально умеет, но.

У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов.

Share this post


Link to post
Share on other sites

Принципиально умеет, но.

У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов.

А как это вообще настраивается ?

Share this post


Link to post
Share on other sites

У коммутаторов HP есть управление через веб (неполное), есть cli (больше возможностей). У младших моделей, к сожалению, на сайте поддержки документация по cli отсутствует. Можно найти руководство по более продвинутым моделям.

Порты можно раскидать по разным vlan.

В конфигурации будет нечто подобное:

interface Vlan-interface103

ip address 172.16.0.1 255.255.240.0

packet-filter 3002 inbound

Share this post


Link to post
Share on other sites

vlan + l3 коммутатор с ACL. Например cisco 3750

зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами.

обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести.

Share this post


Link to post
Share on other sites

Вот только L2-свич не сделает вот этого:

воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP.

При этом привязака МАС-IP не устраивает.

Нужно что-то вроде такого:

Клиенту выделяется ГРУППА портов коммутатора.

Для этой группы прописывается разрешенный диапазон IP.

L2 на то и L2, что об IP-адресах ничего не знает

Share this post


Link to post
Share on other sites

Вот только L2-свич не сделает вот этого:

Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети.

На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф.

Ну и выше сказали уже, на роутере поднят vlan с ипом а на свиче банально сделать аля "switchport access vlan 100".

Share this post


Link to post
Share on other sites

L2 на то и L2, что об IP-адресах ничего не знает

А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело.

Share this post


Link to post
Share on other sites

А если не кошка ?

Что-то типа Hp или Eltex ?

 

HP1920-16G лежит.

Он умеет такое ?

к сожалению не знаю, те HP что мне попадались (давным давно) были лютым калом. Иного опыта нет, двигайтесь сами от стандарта, если кроите.

Share this post


Link to post
Share on other sites

зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами.

обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести.

 

было сказано изоляция серверов - VLAN

Использовалась изоляция по портам маршрутизатора - L3

 

Самый примитив ничего не ломая и не предлагая ТС, это совместить VLAN и extended ACL, при чём решение не предполагает "роутить на свиче", как был отдельный роутер так пусть он и будет, просто в режиме router-on-stick. А Свич пусть нафильтровывает изоляцию между подсетями не пуская одну в другую.

 

А это уже забота роутера.

 

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере.

Share this post


Link to post
Share on other sites

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере.

можете более подробно расписать, к какому попадалову?

Share this post


Link to post
Share on other sites

HP1920-16G лежит.

Он умеет такое ?

 

Умеет, и у нас так и было, как советуют люди, но мы убрали эти свитчи на уровень доступа, т.к. на серверах с виртуальными машинами поймали с ними нереальный глюк, когда при смене IP адресов на серверах из одной сети в другую вся сеть падала непонятным образом. Ни ребуты ничего не помогало.

Share this post


Link to post
Share on other sites

Вот только L2-свич не сделает вот этого:
А это уже забота роутера.

 

L2 на то и L2, что об IP-адресах ничего не знает

А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело.

 

Я с вами полностью согласен. Просто я процитировал задачу ТС и там такое требование было.

 

Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети.

На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф.

Не пробовал, но много раз читал, что не надо на Л2-свич вешать функции Л3, пусть даже свич декларируется как Л2+ с функционалом Л3, в особенности это касается длинк.

Share this post


Link to post
Share on other sites

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере.

можете более подробно расписать, к какому попадалову?

 

Кроилово всегда ведёт к попадалову :) это устойчивая правда жизни, приделывая неустойчивый костылик куда-то, вы обязательно с этим гавном встретитесь)

 

Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл"

Share this post


Link to post
Share on other sites

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину.
Дело в том, что "изоляцию роутером" (ну или L3 свичом, который по сути роутер) не нужно как-то специально делать.

Она сама собой получается - раскидал всех по вланам и всё.

 

А вот когда сервера, принадлежащие разным хозяевам, находятся в одном влане - это ад.

Я как-то пользовался таким хостером - пару раз нарывался на конфликт ипов и один раз какой-то урод светил мак шлюза.

Чтобы эту проблему относительно надёжно решить - нужно будет прибивать маки к портам и отфильтровывать ипы в ACL.

Причём ещё надо будет решить проблему кривых arp-ответов - или ACL по содержимому пакета, или прибивать ипы к макам на роутере и изолировать сервера друг от друга, ломая связность.

А особенно весело будет колхозить ACL под IPv6 SLAAC.

Вишенка на торте - всё это ещё и администрировать!

 

Может быть, всё-таки лучше не колхозить систему из говна и палок, а раскидать по вланам?

Share this post


Link to post
Share on other sites

Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл"

а конкретнее, почему вы считате так правильно?

 

я рассуждал именно с точки зрения "правильно": свитч просто "удлинитель интерфейсов" для роутера, все l3+ настройки в одном месте (на роутере). при желании схема отлично масштабируется на несколько свитчей.

 

минусы, которые можно придумать:

- много трафика между клиентами, который лучше пустить мимо роутера? в задаче про это не было ничего сказано (хотя бы из того, что не было ничего сказано про скорость портов, можно предположить, что всё в гигабит укладывается);

- нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно;

- много клиентов и 4096 vlan мало? )))

Share this post


Link to post
Share on other sites

- нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно;

Беда L2 - малая и общая таблица мак-адресов, независимо от кол-ва vlan. Некий гипопотический засранец способен эту таблицу засрать-вымыть. Причём засранец например вполне корректно купил гуанороутер от асус, и гадит своим маком и на лан и на ван, и на пптп-интерфейсе одновременно.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.