ALEX_SE Опубликовано 19 февраля, 2021 · Жалоба Добрый день! Может ли 4011 фильтровать запросы на уровне L3 и L4 между портами которые находятся в одной L3 подсети? В бридже. Иными словами получить что-то типа ACL на уровне портов и протоколов на коммутаторе. Пример. LAN1 (192.168.0.0) - ROUTER (не микротик) - LAN2 (10.0.0.0). Что хочется - между ROUTER и портом коммутатора LAN2 воткнуть 4011 что бы можно было указать какие клиенты и по каким портам из LAN1 могут к каким хостам и по каким портам ходить в LAN1. То есть сделать аналог ACL на коммутаторе LAN2. В случае каких-то проблем на микротике просто линк восстанавливается физически и сетка работет как и раньше только уже понятно без фильтров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 февраля, 2021 · Жалоба Может, средствами фильтров на бридже, там есть разбор IP пакетов. Только аппаратное ускорение придется отключить, а то не заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 19 февраля, 2021 · Жалоба А по производительности какой вариант будет шустрее и проще в настройке - предложенный или если на портах от роутера и от LAN2 поднять роутинг? Или принципиальной разницы нет? Данный девайс еще служит VPN-роутером для 1-2 клиентов с отдельного порта ethernet но чисто для удаленного доступа в LAN2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 19 февраля, 2021 · Жалоба Разницы в производительности особо нет, свитч-чипы в 4011 offloading не особо поддерживают. Главное, не смешивать порты 1-5 и 6-10 в один мост или VLAN, тогда все 100% через CPU пойдет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 19 февраля, 2021 · Жалоба Про это я читал да и в видео структурную схему показывали. Просто я интересуюсь как будет правильнее, проще и оптимальнее. Мне все-равно что настроить ограничения средствами коммутатора LAN2 (коммутатор L3 правил можно понаписать кучу) вообще без использования микротика, средствами микротика в режиме роутера или средствами микротика в режиме прозрачного коммутатора с фильтром. Больше беспокоит как будет проще тому кто будет это делать и обслуживать после меня. Вот именно потому и спросил. Вариант с микротиком нравится тем что проще анализировать при настройках и проще настраивать если будет делать новичек (ну мало ли надо будет еще какой сервис опубликовать). Вариант с прозрачным мостом нравится тем что в случае сбоя или ошибки в настройках микротика можно просто патч-корд воткнуть напрямки и все будет работать точно так же только без фильтров. То что там еще VPN ничего страшного. Ну просто правилами этот трафик будет заворачиваться на интерфейс LAN2 и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 февраля, 2021 · Жалоба Правильнее будет делать на L3, то есть настроить его роутером между первым роутером и абонентами. Тут будет выше производительность и больше возможность настроек и мониторинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ALEX_SE Опубликовано 20 февраля, 2021 · Жалоба Благодарю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...