Trueno Опубликовано 21 марта, 2018 (изменено) · Жалоба Доброго времени суток! Имеется в наличии свеженький CRS112. Используется для разруливания vlan по классической схеме - на один порт приходят 3 tagged vlan, на остальные порты выдаются untagged эти же 3 vlan. Но как сделать так, чтобы, допустим, между untagged портами с одним и тем же vlan-id не было связи? Так же стоит вопрос, как обезопасить сеть от всяческих ARP-флудов и прочего говна, которое периодически прёт из этих untagged-портов? Недавний пример - завис роутер в отделе охранников, какой-то древний асус, лежал весь vlan, пока не выявили "врага" методом тыка. Чтобы если снова какая-то гадость заведется, она не пёрла на другой порт этого же vlan? Увеличить количество vlan на данный момент нет возможности. VLANы разруливаются с помощью оснастки свитча (не софт-бридж). Изменено 21 марта, 2018 пользователем Trueno Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 21 марта, 2018 · Жалоба А поискать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Trueno Опубликовано 21 марта, 2018 · Жалоба Это я читал. Но пока что не получилось. Значит будем курить мануалы дальше) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Trueno Опубликовано 11 апреля, 2018 (изменено) · Жалоба Так, с изоляцией разобрался. В 21.03.2018 в 20:47, Trueno сказал: Так же стоит вопрос, как обезопасить сеть от всяческих ARP-флудов и прочего говна, которое периодически прёт из этих untagged-портов? Вцелом хотелось бы ещё поработать вот над этим. На "сервере" с помощью Torch определил, что кроме полезного трафика, есть куча ненужного ipv6 и, вероятно, multicast. ipv6 порезал с помощью ACL, а вот как порезать им multicast, я не нашел. В "софтовом" микротике, в бридже можно было выбрать packet type = multicast. Здесь, вероятно, возможности работы с мультом пошире и погибче,но я пока ещё не додумался. Вообще, была идея в ACL сделать так: 0 Разрешить ipv4 1 Разрешить arp 2 Запретить всё. Но мультикаст в его ipv4 виде всё равно будет ведь проникать. Изменено 11 апреля, 2018 пользователем Trueno Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...