grifin.ru Опубликовано 9 июня, 2017 Коллеги, прошу не смеяться, вопрос школьника у меня. Просто ни разу не сталкивался с такой задачей, которую большинство здесь присутствующий решает с детства: В общем есть маршрутизатор(ы) и некоторое количество серверов (своих и не очень), которые к этим маршрутизаторам подключены и используют реальные IP о настоящего времени вопрос изоляции серверов друг-от друга решался путем включения каждого из них в отдельный порт маршрутизатора и соответствующей настройкой интерфейса. Теперь хочется поставить между ними коммутатор, воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP. При этом привязака МАС-IP не устраивает. Нужно что-то вроде такого: Клиенту выделяется ГРУППА портов коммутатора. Для этой группы прописывается разрешенный диапазон IP. Как называется технология, которая умеет это делать и в сторону каких коммутаторов смотреть ? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 9 июня, 2017 vlan + l3 коммутатор с ACL. Например cisco 3750 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 9 июня, 2017 vlan + l3 коммутатор с ACL. Например cisco 3750 А если не кошка ? Что-то типа Hp или Eltex ? HP1920-16G лежит. Он умеет такое ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 9 июня, 2017 Cisco WS-C4948-S или WS-C4948-10GE-S или WS-C4948E + Private vlan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 9 июня, 2017 L3 ACL умеют большинство L2 свитчей, ведь фильтрация трафика на портах не завязана на способность свитча маршрутизировать трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 9 июня, 2017 vlan + l3 коммутатор с ACL. Например cisco 3750 А если не кошка ? Что-то типа Hp или Eltex ? HP1920-16G лежит. Он умеет такое ? Принципиально умеет, но. У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 9 июня, 2017 Принципиально умеет, но. У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов. А как это вообще настраивается ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmp.user Опубликовано 9 июня, 2017 У коммутаторов HP есть управление через веб (неполное), есть cli (больше возможностей). У младших моделей, к сожалению, на сайте поддержки документация по cli отсутствует. Можно найти руководство по более продвинутым моделям. Порты можно раскидать по разным vlan. В конфигурации будет нечто подобное: interface Vlan-interface103 ip address 172.16.0.1 255.255.240.0 packet-filter 3002 inbound Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 9 июня, 2017 vlan + l3 коммутатор с ACL. Например cisco 3750 зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами. обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 9 июня, 2017 +1 к вланам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
grifin.ru Опубликовано 9 июня, 2017 edordc Что-то сам не допер. Действительно. Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 10 июня, 2017 Вот только L2-свич не сделает вот этого: воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP.При этом привязака МАС-IP не устраивает. Нужно что-то вроде такого: Клиенту выделяется ГРУППА портов коммутатора. Для этой группы прописывается разрешенный диапазон IP. L2 на то и L2, что об IP-адресах ничего не знает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 10 июня, 2017 Вот только L2-свич не сделает вот этого: Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети. На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф. Ну и выше сказали уже, на роутере поднят vlan с ипом а на свиче банально сделать аля "switchport access vlan 100". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 10 июня, 2017 L2 на то и L2, что об IP-адресах ничего не знает А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 10 июня, 2017 Вот только L2-свич не сделает вот этого:А это уже забота роутера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 10 июня, 2017 А если не кошка ? Что-то типа Hp или Eltex ? HP1920-16G лежит. Он умеет такое ? к сожалению не знаю, те HP что мне попадались (давным давно) были лютым калом. Иного опыта нет, двигайтесь сами от стандарта, если кроите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 11 июня, 2017 зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами. обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести. было сказано изоляция серверов - VLAN Использовалась изоляция по портам маршрутизатора - L3 Самый примитив ничего не ломая и не предлагая ТС, это совместить VLAN и extended ACL, при чём решение не предполагает "роутить на свиче", как был отдельный роутер так пусть он и будет, просто в режиме router-on-stick. А Свич пусть нафильтровывает изоляцию между подсетями не пуская одну в другую. А это уже забота роутера. По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 11 июня, 2017 По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере. можете более подробно расписать, к какому попадалову? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bachaa Опубликовано 11 июня, 2017 HP1920-16G лежит. Он умеет такое ? Умеет, и у нас так и было, как советуют люди, но мы убрали эти свитчи на уровень доступа, т.к. на серверах с виртуальными машинами поймали с ними нереальный глюк, когда при смене IP адресов на серверах из одной сети в другую вся сеть падала непонятным образом. Ни ребуты ничего не помогало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 11 июня, 2017 Вот только L2-свич не сделает вот этого:А это уже забота роутера. L2 на то и L2, что об IP-адресах ничего не знает А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело. Я с вами полностью согласен. Просто я процитировал задачу ТС и там такое требование было. Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети. На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф. Не пробовал, но много раз читал, что не надо на Л2-свич вешать функции Л3, пусть даже свич декларируется как Л2+ с функционалом Л3, в особенности это касается длинк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Serejka Опубликовано 11 июня, 2017 По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере. можете более подробно расписать, к какому попадалову? Кроилово всегда ведёт к попадалову :) это устойчивая правда жизни, приделывая неустойчивый костылик куда-то, вы обязательно с этим гавном встретитесь) Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 11 июня, 2017 По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину.Дело в том, что "изоляцию роутером" (ну или L3 свичом, который по сути роутер) не нужно как-то специально делать.Она сама собой получается - раскидал всех по вланам и всё. А вот когда сервера, принадлежащие разным хозяевам, находятся в одном влане - это ад. Я как-то пользовался таким хостером - пару раз нарывался на конфликт ипов и один раз какой-то урод светил мак шлюза. Чтобы эту проблему относительно надёжно решить - нужно будет прибивать маки к портам и отфильтровывать ипы в ACL. Причём ещё надо будет решить проблему кривых arp-ответов - или ACL по содержимому пакета, или прибивать ипы к макам на роутере и изолировать сервера друг от друга, ломая связность. А особенно весело будет колхозить ACL под IPv6 SLAAC. Вишенка на торте - всё это ещё и администрировать! Может быть, всё-таки лучше не колхозить систему из говна и палок, а раскидать по вланам? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
edo Опубликовано 11 июня, 2017 Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл" а конкретнее, почему вы считате так правильно? я рассуждал именно с точки зрения "правильно": свитч просто "удлинитель интерфейсов" для роутера, все l3+ настройки в одном месте (на роутере). при желании схема отлично масштабируется на несколько свитчей. минусы, которые можно придумать: - много трафика между клиентами, который лучше пустить мимо роутера? в задаче про это не было ничего сказано (хотя бы из того, что не было ничего сказано про скорость портов, можно предположить, что всё в гигабит укладывается); - нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно; - много клиентов и 4096 vlan мало? ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 11 июня, 2017 4096 vlan мало?qinq решает же Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 11 июня, 2017 - нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно; Беда L2 - малая и общая таблица мак-адресов, независимо от кол-ва vlan. Некий гипопотический засранец способен эту таблицу засрать-вымыть. Причём засранец например вполне корректно купил гуанороутер от асус, и гадит своим маком и на лан и на ван, и на пптп-интерфейсе одновременно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...