вопрос по изоляции пользователей

[andpuxa]

здравствуйте, есть несколько коммутаторов SNR-S2965-48T  выполняющих роль доступа в многоэтажном здании, со всех идет аплинк на коммутатор ядра. конфигурация простая, несколько виланов на юзер сеть, вафлю и телефонию. как оптимальней всего изоливать юзера на порту в вилане от соседей по коммутатору и этажу? что бы всякий щлак, типа нетбиоса и тд не гонять, какой функционал использовать?

[snvoronkov]

Изоляция портов, не?

[andpuxa]

Изоляция в вилане будет работать между коммутаторами?

[snvoronkov]

Расшифровывайте. Или, лучше, наверное, так: изоляция, она не в вилане. Она у порта. Безотносительно влан. Если есть на порту изоляция, то пакеты с него уйдут только в тот порт, где ее нет.

Делайте изоляцию от доступа до браса.

[andpuxa]

я имел ввиду что, port isolation можно сделать на коммутаторе на порту в пределах vlan, будет ли она работать на разных коммутаторах в одном vlan ? я же изначально написал, что надо заблочить лишний траф между разными свичами в одном броадкаст домене, но в пределах одного это будет работать, а между другими, думаю что нет, ибо на аплинк port isolation не применяется, на брасе фильтровать, как лучше?

Edited December 19, 2020 by andpuxa

[Aleksey Sonkin]

@andpuxa  чтобы работало между разными свитчами достаточно на агрегации точно также применить port-isolation.

[andpuxa]

спасибо за ответ, логика понятна

[ShyLion]

сеть растет, ширится, расползается по городу и возникает абонент, которому нужно связать две точки в разных концах, и тут начинается веселье

 

а вот еще

 

задумываешься о кольце для отказоустойчивости, и снова здравствуй изоляция

 

 

[alibek]

Для связности есть много решений, которым изоляция портов не мешает. У кого-то это MPLS.

Я планировал каждую точку в уникальном VLAN приводить до ядра, а уже там бриджевать нужное. Недостатков в такой схеме не вижу (кроме поиска железки с аппаратным бриджем), даёт много удобных возможностей. Правда пока не реализовывал.