igogo Posted March 13, 2022 Posted March 13, 2022 (edited) Уважаемые форумчане. можно ли на s2985g +s3850g сделать изоляцию клиентов на уровне L2 но доступ оставить по ip в одной подсети. имеется ввиду чтобы клиенты были например в подсети 192.168.0.0/24 но видели у себя в арп таблице только мак шлюза но не клиентов и вся передача траффика работала по ip внутри этой сети Edited March 13, 2022 by igogo Вставить ник Quote
Evgeniy Rychkov Posted March 16, 2022 Posted March 16, 2022 Здравствуйте. Можем предложить использовать возможность port isolation: Изоляция может быть использована как в рамках порта, так и влана. Ограничить L2 связность между портами во всех влан: isolate-port group <name> switchport interface Ethernet1/0/3 isolate-port group <name> switchport interface Ethernet1/0/2 isolate-port group <name> switchport interface Ethernet1/0/1 и так далее Ограничение связности во влане: vlan 5 isolate-port group <name> switchport interface Ethernet1/0/5 isolate-port group <name> switchport interface Ethernet1/0/7 Также, можно ознакомиться с руководством к данному коммутатору в плане isolate ports https://data.nag.ru/SNR Switches/Configuration Guide/SNR-S2965_SNR-S2985G/ Вставить ник Quote
igogo Posted March 16, 2022 Author Posted March 16, 2022 (edited) В 16.03.2022 в 09:48, Evgeniy Rychkov сказал: Здравствуйте. Можем предложить использовать возможность port isolation: Изоляция может быть использована как в рамках порта, так и влана. Ограничить L2 связность между портами во всех влан: isolate-port group <name> switchport interface Ethernet1/0/3 isolate-port group <name> switchport interface Ethernet1/0/2 isolate-port group <name> switchport interface Ethernet1/0/1 и так далее Ограничение связности во влане: vlan 5 isolate-port group <name> switchport interface Ethernet1/0/5 isolate-port group <name> switchport interface Ethernet1/0/7 Также, можно ознакомиться с руководством к данному коммутатору в плане isolate ports https://data.nag.ru/SNR Switches/Configuration Guide/SNR-S2965_SNR-S2985G/ а если применить port isolation то трафик пойдет через шлюз(тогда нужно иметь клиентам IP из разных подсетей чтобы обращались к шлюзу?)? будет подмена мака на мак шлюза? или как это работает :D где матчасть почитать)) Edited March 16, 2022 by igogo Вставить ник Quote
andpuxa Posted March 17, 2022 Posted March 17, 2022 если порт с которого прилетает мак шлюза в группу изоляции не добавите, то траффик пойдет Вставить ник Quote
Evgeniy Rychkov Posted March 17, 2022 Posted March 17, 2022 В 16.03.2022 в 12:43, igogo сказал: а если применить port isolation то трафик пойдет через шлюз(тогда нужно иметь клиентам IP из разных подсетей чтобы обращались к шлюзу?)? будет подмена мака на мак шлюза? или как это работает :D где матчасть почитать)) В ответе я вам предоставил руководство пользователя. Никакой подмены мака не будет. Если вы указываете, например, два порта в одной изоляционной группе, то связи между ними не будет на L2. Возможно, вам интересно будет еще статья: https://kis.nag.ru/pages/viewpage.action?pageId=58034959 Вставить ник Quote
ShyLion Posted April 26, 2022 Posted April 26, 2022 On 3/16/2022 at 12:43 PM, igogo said: а если применить port isolation то трафик пойдет через шлюз(тогда нужно иметь клиентам IP из разных подсетей чтобы обращались к шлюзу?)? будет подмена мака на мак шлюза? или как это работает :D где матчасть почитать)) На роутере должен быть включен функционал arp proxy (proxy arp) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.