[Evropeec]

Уважаемые знатоки, не нашел раздела по 3Сом. Если модератор посчитает данный вопрос неуместным, то просто удалит.

Описание ситуации:

Есть Switch - 3com baseline switch 2928-SFP Plus

Необходимо построить Vlan'ы исходя из следующего:

1. Порты 1-4: Интернет (доступен всем).

2. Порт 5: Роутер Wi-Fi (доступ: 1, другим Vlan недоступен ).

3. Порт 6 - камеры IP, 7 - сервер видеонаблюдения подключены к Интернет (доступ 1, 4).

4. Порт 8 - группа рабочих станций подключенных к Интернет, видеонаблюдению 3, серверам и рабочим станциям 5.

5. Порты 9-28 - группа серверов и рабочих станций подключенных к Интернет, рабочим станциям из 4.

 

Создаю и заполняю ассиметричные Vlan'ы

enable asymmetric_vlan

 

config vlan vlan1 add untagged 1-28

config vlan vlan2 add untagged 1-5

config vlan vlan3 add untagged 1-4,6-8

config vlan vlan4 add untagged 1-4,6-28

config vlan vlan5 add untagged 1-4,8-28

 

config gvrp 1-4 pvid 1

config gvrp 5 pvid 2

config gvrp 6-7 pvid 3

config gvrp 8 pvid 4

config gvrp 9-28 pvid 5

 

save

 

История такая: все работает, но не долго. Через 4-5 часов после записи конфигурации сеть начинает проседать, т.е. ping'и становятся по 300 мс. Страшно 'тормозит' Интернет.

Знаю - где-то ошибка.

Прошу ткнуть меня в нее носом. Или объяснить как построить, если все в 'корне' не верно.

 

[myth]

В 04.12.2017 в 19:42, Evropeec сказал:

как построить

маршрутизатор надо, имхо

[guеst]

или L3 свитч, baseline 2928-SFP только L2

[Evropeec]

Я правильно понял, что на этом Switch'е можно построить только не асимметричные vlan'ы?

[guеst]

тут дело не в симметричных или ассиметричных VLAN, а в том что для функционального подключения к сети Интернет нельзя (в жизни) обойтись только разграничением доступа между портами коммутатора на основе только идентификаторов тэгов VLAN, тут нужен уже L3 уровень.

 

А вообще вы студент чтоли с лабой какой-то? зачем такая экзотика вам?

[myth]

микротик, я думаю, поможет тут

[Vasechkin]

Я сейчас тоже озадачен проблемой ассиметричных VLAN. Проблема такая же как у Вас.

Все работает с точки зрения разграничения доступа и пакеты бегают только туда куда надо и возвращаются. Все как описано в множестве инструкций для всякого разного оборудования.

Но вот с производительностью огромные проблемы. Сеть ложиться при любой появляющейся нагрузке.

Такую же проблему человек описывает тут http://forum.ixbt.com/topic.cgi?id=14:30361 в далеком 2003 году )

У меня и думаю у Вас такая же картина в сети. (

 

Как я разобрался, проблема в таблице коммутации, а именно в том как она заполняется при ассиметричных VLAN.

Проблему прекрасно описывает фраза участника форума, 3 ответ с низу...

 

 

"Каюсь, забыл про Asymmetric VLAN, пробовал в свое время с ними играть, но получил такую фигню - коммутатор превращался в хаб :( до тех пор пока ручками не пропишешь статическую таблицу коммутации для этих вланов :(

так что я выкинул из головы эту гадость :)"

 

Действительно, таблица коммутации заполняется только записями с мак адресами и портами с тем номером VLAN который указан на порту как PVID. 

А нужно добавлять для каждого порта несколько записей с "мак - порт - VLAN" и прописать на каждый порт столько строк, в скольки VLAN этот порт состоит.

 

И получается что трафик из всех портов льется на все порты в том VLAN какой PVID стоит на порту.

Как описывается тут http://www.intuit.ru/studies/courses/3591/833/lecture/14251?page=2 "В том случае, если МАС-адрес приемника в поступившем кадре неизвестен (в таблице коммутации отсутствует соответствующая запись), коммутатор создает множество копий этого кадра и передает их через все свои порты, за исключением того, на который он поступил. Этот процесс называется лавинной передачей (flooding)."

 

Таким образом сеть ложится, так как во все порты VLAN льется весь трафик и отбрасывается уже только на сетевой карте.

Проблема решается если ручками прописать в таблицу коммутации нужные записи. Нужно прописать на каждый порт столько строк, в скольки VLAN этот порт состоит.!

Я ручками это делаю на тестовом стенде из 3-5 портов и все начинает работать как нужно.

Но в реальной сети это делать не реально (((

 

Поэтому хочу спросить местных профи.

У всех производителей таблица коммутации для ассиметричных VLAN заполняется таким образом или есть модели и производители у которых в таблицу коммутации автоматически добавляются записи для всех VLAN в которых порт состоит?

 

 

[EShirokiy]

Зачем такой изврат? Поставьте какой-нибудь микротик и разграничивайте доступ как нравится обычными вланами

[Ivan_83]

Мазохисты, стройте сети на простых стандартных схемах.

Хакерствовать может себе позволить только тот, кто имеет возможность пропатчить софт/железо, вы же вляпываетесь без возможности отмыться.

[Vasechkin]

Я не знаю почему автор темы решил идти по пути строительства сети по этой технологии. Наверное в каких-то случаях она имеет право на реализацию. )

За себя скажу, что изучаю разные технологии, смотрю что мне будет понятнее и удобнее в работе. 

Я только предложил возможный ответ на его вопрос что с его сетью...