ALEX_SE Posted February 19, 2021 Posted February 19, 2021 Добрый день! Может ли 4011 фильтровать запросы на уровне L3 и L4 между портами которые находятся в одной L3 подсети? В бридже. Иными словами получить что-то типа ACL на уровне портов и протоколов на коммутаторе. Пример. LAN1 (192.168.0.0) - ROUTER (не микротик) - LAN2 (10.0.0.0). Что хочется - между ROUTER и портом коммутатора LAN2 воткнуть 4011 что бы можно было указать какие клиенты и по каким портам из LAN1 могут к каким хостам и по каким портам ходить в LAN1. То есть сделать аналог ACL на коммутаторе LAN2. В случае каких-то проблем на микротике просто линк восстанавливается физически и сетка работет как и раньше только уже понятно без фильтров. Вставить ник Quote
Saab95 Posted February 19, 2021 Posted February 19, 2021 Может, средствами фильтров на бридже, там есть разбор IP пакетов. Только аппаратное ускорение придется отключить, а то не заработает. Вставить ник Quote
ALEX_SE Posted February 19, 2021 Author Posted February 19, 2021 А по производительности какой вариант будет шустрее и проще в настройке - предложенный или если на портах от роутера и от LAN2 поднять роутинг? Или принципиальной разницы нет? Данный девайс еще служит VPN-роутером для 1-2 клиентов с отдельного порта ethernet но чисто для удаленного доступа в LAN2. Вставить ник Quote
jffulcrum Posted February 19, 2021 Posted February 19, 2021 Разницы в производительности особо нет, свитч-чипы в 4011 offloading не особо поддерживают. Главное, не смешивать порты 1-5 и 6-10 в один мост или VLAN, тогда все 100% через CPU пойдет Вставить ник Quote
ALEX_SE Posted February 19, 2021 Author Posted February 19, 2021 Про это я читал да и в видео структурную схему показывали. Просто я интересуюсь как будет правильнее, проще и оптимальнее. Мне все-равно что настроить ограничения средствами коммутатора LAN2 (коммутатор L3 правил можно понаписать кучу) вообще без использования микротика, средствами микротика в режиме роутера или средствами микротика в режиме прозрачного коммутатора с фильтром. Больше беспокоит как будет проще тому кто будет это делать и обслуживать после меня. Вот именно потому и спросил. Вариант с микротиком нравится тем что проще анализировать при настройках и проще настраивать если будет делать новичек (ну мало ли надо будет еще какой сервис опубликовать). Вариант с прозрачным мостом нравится тем что в случае сбоя или ошибки в настройках микротика можно просто патч-корд воткнуть напрямки и все будет работать точно так же только без фильтров. То что там еще VPN ничего страшного. Ну просто правилами этот трафик будет заворачиваться на интерфейс LAN2 и все. Вставить ник Quote
Saab95 Posted February 20, 2021 Posted February 20, 2021 Правильнее будет делать на L3, то есть настроить его роутером между первым роутером и абонентами. Тут будет выше производительность и больше возможность настроек и мониторинга. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.