igogo Posted March 13, 2022 (edited) Уважаемые форумчане. можно ли на s2985g +s3850g сделать изоляцию клиентов на уровне L2 но доступ оставить по ip в одной подсети. имеется ввиду чтобы клиенты были например в подсети 192.168.0.0/24 но видели у себя в арп таблице только мак шлюза но не клиентов и вся передача траффика работала по ip внутри этой сети Edited March 13, 2022 by igogo Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeniy Rychkov Posted March 16, 2022 Здравствуйте. Можем предложить использовать возможность port isolation: Изоляция может быть использована как в рамках порта, так и влана. Ограничить L2 связность между портами во всех влан: isolate-port group <name> switchport interface Ethernet1/0/3 isolate-port group <name> switchport interface Ethernet1/0/2 isolate-port group <name> switchport interface Ethernet1/0/1 и так далее Ограничение связности во влане: vlan 5 isolate-port group <name> switchport interface Ethernet1/0/5 isolate-port group <name> switchport interface Ethernet1/0/7 Также, можно ознакомиться с руководством к данному коммутатору в плане isolate ports https://data.nag.ru/SNR Switches/Configuration Guide/SNR-S2965_SNR-S2985G/ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
igogo Posted March 16, 2022 (edited) В 16.03.2022 в 09:48, Evgeniy Rychkov сказал: Здравствуйте. Можем предложить использовать возможность port isolation: Изоляция может быть использована как в рамках порта, так и влана. Ограничить L2 связность между портами во всех влан: isolate-port group <name> switchport interface Ethernet1/0/3 isolate-port group <name> switchport interface Ethernet1/0/2 isolate-port group <name> switchport interface Ethernet1/0/1 и так далее Ограничение связности во влане: vlan 5 isolate-port group <name> switchport interface Ethernet1/0/5 isolate-port group <name> switchport interface Ethernet1/0/7 Также, можно ознакомиться с руководством к данному коммутатору в плане isolate ports https://data.nag.ru/SNR Switches/Configuration Guide/SNR-S2965_SNR-S2985G/ а если применить port isolation то трафик пойдет через шлюз(тогда нужно иметь клиентам IP из разных подсетей чтобы обращались к шлюзу?)? будет подмена мака на мак шлюза? или как это работает :D где матчасть почитать)) Edited March 16, 2022 by igogo Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andpuxa Posted March 17, 2022 если порт с которого прилетает мак шлюза в группу изоляции не добавите, то траффик пойдет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Evgeniy Rychkov Posted March 17, 2022 В 16.03.2022 в 12:43, igogo сказал: а если применить port isolation то трафик пойдет через шлюз(тогда нужно иметь клиентам IP из разных подсетей чтобы обращались к шлюзу?)? будет подмена мака на мак шлюза? или как это работает :D где матчасть почитать)) В ответе я вам предоставил руководство пользователя. Никакой подмены мака не будет. Если вы указываете, например, два порта в одной изоляционной группе, то связи между ними не будет на L2. Возможно, вам интересно будет еще статья: https://kis.nag.ru/pages/viewpage.action?pageId=58034959 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 26, 2022 On 3/16/2022 at 12:43 PM, igogo said: а если применить port isolation то трафик пойдет через шлюз(тогда нужно иметь клиентам IP из разных подсетей чтобы обращались к шлюзу?)? будет подмена мака на мак шлюза? или как это работает :D где матчасть почитать)) На роутере должен быть включен функционал arp proxy (proxy arp) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
