Перейти к содержимому
Калькуляторы

Коллеги, прошу не смеяться, вопрос школьника у меня. Просто ни разу не сталкивался с такой задачей, которую большинство здесь присутствующий решает с детства:

В общем есть маршрутизатор(ы) и некоторое количество серверов (своих и не очень), которые к этим маршрутизаторам подключены и используют реальные IP

о настоящего времени вопрос изоляции серверов друг-от друга решался путем включения каждого из них в отдельный порт маршрутизатора и соответствующей настройкой интерфейса.

Теперь хочется поставить между ними коммутатор, воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP.

При этом привязака МАС-IP не устраивает.

Нужно что-то вроде такого:

Клиенту выделяется ГРУППА портов коммутатора.

Для этой группы прописывается разрешенный диапазон IP.

Как называется технология, которая умеет это делать и в сторону каких коммутаторов смотреть ?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vlan + l3 коммутатор с ACL. Например cisco 3750

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vlan + l3 коммутатор с ACL. Например cisco 3750

А если не кошка ?

Что-то типа Hp или Eltex ?

 

HP1920-16G лежит.

Он умеет такое ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco WS-C4948-S или WS-C4948-10GE-S или WS-C4948E + Private vlan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L3 ACL умеют большинство L2 свитчей, ведь фильтрация трафика на портах не завязана на способность свитча маршрутизировать трафик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vlan + l3 коммутатор с ACL. Например cisco 3750

А если не кошка ?

Что-то типа Hp или Eltex ?

 

HP1920-16G лежит.

Он умеет такое ?

Принципиально умеет, но.

У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Принципиально умеет, но.

У 1920 ограничение то ли на 8 L3-интерфейсов, то 8 маршрутов.

А как это вообще настраивается ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У коммутаторов HP есть управление через веб (неполное), есть cli (больше возможностей). У младших моделей, к сожалению, на сайте поддержки документация по cli отсутствует. Можно найти руководство по более продвинутым моделям.

Порты можно раскидать по разным vlan.

В конфигурации будет нечто подобное:

interface Vlan-interface103

ip address 172.16.0.1 255.255.240.0

packet-filter 3002 inbound

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vlan + l3 коммутатор с ACL. Например cisco 3750

зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами.

обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

edordc

Что-то сам не допер. Действительно.

Спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот только L2-свич не сделает вот этого:

воткнуть сервера в коммутатор и настроить порт коммутатора так, чтоб сервер не мог взять чужой IP.

При этом привязака МАС-IP не устраивает.

Нужно что-то вроде такого:

Клиенту выделяется ГРУППА портов коммутатора.

Для этой группы прописывается разрешенный диапазон IP.

L2 на то и L2, что об IP-адресах ничего не знает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот только L2-свич не сделает вот этого:

Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети.

На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф.

Ну и выше сказали уже, на роутере поднят vlan с ипом а на свиче банально сделать аля "switchport access vlan 100".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2 на то и L2, что об IP-адресах ничего не знает

А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот только L2-свич не сделает вот этого:
А это уже забота роутера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если не кошка ?

Что-то типа Hp или Eltex ?

 

HP1920-16G лежит.

Он умеет такое ?

к сожалению не знаю, те HP что мне попадались (давным давно) были лютым калом. Иного опыта нет, двигайтесь сами от стандарта, если кроите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

зачем роутить на свитче? в задаче не было озвучено, что много-много трафика между серверами.

обычный управляемый свитч (l2), добавить vlan, маршрутизатор уже есть - вот на него vlan и завести.

 

было сказано изоляция серверов - VLAN

Использовалась изоляция по портам маршрутизатора - L3

 

Самый примитив ничего не ломая и не предлагая ТС, это совместить VLAN и extended ACL, при чём решение не предполагает "роутить на свиче", как был отдельный роутер так пусть он и будет, просто в режиме router-on-stick. А Свич пусть нафильтровывает изоляцию между подсетями не пуская одну в другую.

 

А это уже забота роутера.

 

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере.

можете более подробно расписать, к какому попадалову?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

HP1920-16G лежит.

Он умеет такое ?

 

Умеет, и у нас так и было, как советуют люди, но мы убрали эти свитчи на уровень доступа, т.к. на серверах с виртуальными машинами поймали с ними нереальный глюк, когда при смене IP адресов на серверах из одной сети в другую вся сеть падала непонятным образом. Ни ребуты ничего не помогало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот только L2-свич не сделает вот этого:
А это уже забота роутера.

 

L2 на то и L2, что об IP-адресах ничего не знает

А зачем свитчу знать? Его дело связать группу портов с vlan маршрутизатора, а что там в этих vlan творится — не его дело.

 

Я с вами полностью согласен. Просто я процитировал задачу ТС и там такое требование было.

 

Acl на порт? Вроде не egress легко вешается, соотвественно ничего не заработает при присвоении себе не дозволенной ип\сети.

На л2 длинках люди ж делают IPMB например, ну или банальный acl вполне себе даст зафильтровать прям на порту с каких ип можно слать траф.

Не пробовал, но много раз читал, что не надо на Л2-свич вешать функции Л3, пусть даже свич декларируется как Л2+ с функционалом Л3, в особенности это касается длинк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину. Не просто так изобретены cisco ASA, кроилово ведёт к попадалову, одно дело кроить заменяя ASA L3 коммутатором, другое пытаться всё решить сразу на рутере.

можете более подробно расписать, к какому попадалову?

 

Кроилово всегда ведёт к попадалову :) это устойчивая правда жизни, приделывая неустойчивый костылик куда-то, вы обязательно с этим гавном встретитесь)

 

Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По хорошему это не задача роутера, это до роутера должно "не долетать", давайте не плодить саабщину.
Дело в том, что "изоляцию роутером" (ну или L3 свичом, который по сути роутер) не нужно как-то специально делать.

Она сама собой получается - раскидал всех по вланам и всё.

 

А вот когда сервера, принадлежащие разным хозяевам, находятся в одном влане - это ад.

Я как-то пользовался таким хостером - пару раз нарывался на конфликт ипов и один раз какой-то урод светил мак шлюза.

Чтобы эту проблему относительно надёжно решить - нужно будет прибивать маки к портам и отфильтровывать ипы в ACL.

Причём ещё надо будет решить проблему кривых arp-ответов - или ACL по содержимому пакета, или прибивать ипы к макам на роутере и изолировать сервера друг от друга, ломая связность.

А особенно весело будет колхозить ACL под IPv6 SLAAC.

Вишенка на торте - всё это ещё и администрировать!

 

Может быть, всё-таки лучше не колхозить систему из говна и палок, а раскидать по вланам?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если бюджет позволяет лучше всё сразу сделать правильно, немного дороже но "сделал и забыл"

а конкретнее, почему вы считате так правильно?

 

я рассуждал именно с точки зрения "правильно": свитч просто "удлинитель интерфейсов" для роутера, все l3+ настройки в одном месте (на роутере). при желании схема отлично масштабируется на несколько свитчей.

 

минусы, которые можно придумать:

- много трафика между клиентами, который лучше пустить мимо роутера? в задаче про это не было ничего сказано (хотя бы из того, что не было ничего сказано про скорость портов, можно предположить, что всё в гигабит укладывается);

- нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно;

- много клиентов и 4096 vlan мало? )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

- нужно защитить роутер от клиентов-хацкеров? да ну тоже как-то сомнительно;

Беда L2 - малая и общая таблица мак-адресов, независимо от кол-ва vlan. Некий гипопотический засранец способен эту таблицу засрать-вымыть. Причём засранец например вполне корректно купил гуанороутер от асус, и гадит своим маком и на лан и на ван, и на пптп-интерфейсе одновременно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.