_Alexandr_ Posted December 23, 2005 Posted December 23, 2005 Всем привет! Вопрос таков: Имеется N-е число свитчей по 16 портов с включеным Port-based VLAN, т.к. таких свитчей много, то ставим свитч с dot Q VLAN (нормальные VLAN) и подключаем его к PC-маршрутизатору. На последнем поднимаем такое число VLAN - сколько у нас 16-и портовых Port-base VLAN свитчей. Тоесть, подключили каждый свитч к маршрутизатору, тут проблем, вроде, нет. Теперь получается так, что каждый клиент видит маршрутизатор, а между собой никак не может общаться. Как можно сделать общение между клиентами не поднимая всякие VPN и т.д. У меня такое решение: Каждую групу клиентов на настоящем VLAN'е "загоняем" в один диапазон, например, 192.168.х/24. Эти групы можно свободно маршрутизировать на PC. А как быть между клиентами в одном VLAN ? Как им обеспечить общение? FreeBSD при приеме на сетевушку 192.168.0.1 с IP адреса клиента 192.168.0.100 для 192.168.0.110 отошлет назад пакет в этот VLAN или просто уничтожит его? Может у Вас есть другие соображения? По возможности, полные ответы, очень важно!... Спасибо... Вставить ник Quote
Vovik Posted December 24, 2005 Posted December 24, 2005 для каждого VLAN своя IP подсеть должна быть. Соотвественно на маршрутизаторе должны быть настроены подинтерфейсы, и каждому подинтерфейсу дано по 1 IP - чтобы юзеры могли общаться с маршрутизатором. Далее настраиваешь маршруты между подсетями. Соотвественно сетевая карта на маршрутизаторе должна поддерживать 802.1q Вставить ник Quote
Ali-ajar Posted December 24, 2005 Posted December 24, 2005 _Alexandr_ , попоробуйте представить себе что ваши vlan это отдельные физ. сегменты ... Обычно в подобных решениях я рисую логическую схему сеток и интерфейсов . Вставить ник Quote
_Alexandr_ Posted December 24, 2005 Author Posted December 24, 2005 Вы меня не совсем точно поняли: Я с помощью свитча с 802.1q "размножил" один порт PC-маршрутизатора (виртуально, как-будто уменя вставлено 24 сетевые карты) - тут проблем нет, каждый порт - своя подсеть. Вопрос, как маршрутизировать ВНУТРИ одного Port-Based VLAN, который вставлен в эту виртуальную сетевую карту. Можно немного упростить задачу и свести ее к частному случаю: 15 клиентов подключены в свитч с Port-Based VLAN, а в 16 порт подключен PC. В данной схеме все 15 клиентов видят PC. Как можно с помощью настроек PC сделать видимость клиентов между собой? Вставить ник Quote
_Alexandr_ Posted December 24, 2005 Author Posted December 24, 2005 _Alexandr_ , попоробуйте представить себе что ваши vlan это отдельные физ. сегменты ... Обычно в подобных решениях я рисую логическую схему сеток и интерфейсов . Уточните, про ккие VLAN вы говорите? 802.1q или Port-Based Вставить ник Quote
Я_рядом Posted December 26, 2005 Posted December 26, 2005 Для установления соединения между рабочими станциями находящимися в одной IP подсети, но в разных Port-based VLAN-ах достаточно на оконечных устройствах сделать статические ARP следующего вида. <IP address PC A> <Router MAC address> - запись для PC B <IP address PC B> <Router MAC address> - запись для PC A Почему и как это работает, объяснять, надеюсь, не надо. Вставить ник Quote
SergeiK Posted December 27, 2005 Posted December 27, 2005 Что-то на ровном месте затор возник. Суть portbased vlan-ов в том, чтоб ограничивать взаимодействие между вланами. То есть пакет может бегать только в пределах одного влана. Если клиенты в разных вланах, то видеть напрямую они друг друга не могут, только через сервер. Либо разные IP подсети, либо последний предложенный вариант. Для особенных случаев можно с сервера посылать arp-ответы, что компьютеры A и B имеет MAC сервера. Однако, вот в чем вопрос: а зачем тогда нагромождены эти вланы. Включите нужных клиентов в один влан и все хорошо. Да, в зависимости от свича, бывает что portbased vlan работает только на broadcast-ах, то есть соседний компьютер по arp-ам не находится, но прописав статиком arp-ы все прекрасно работает. Вставить ник Quote
Kuzmich Posted December 29, 2005 Posted December 29, 2005 Поднять на маршрутизаторе arp proxy Вставить ник Quote
_Alexandr_ Posted January 3, 2006 Author Posted January 3, 2006 Всех с наступившим! :) Суть такова - ограничить доступ некоторым клиентам в локальную сеть. Вот тут и хочу изголиться с помощью port-based VLAN. Вставить ник Quote
snark Posted January 14, 2006 Posted January 14, 2006 L3 свич + ACL или РС с VLAN + man любимый_firewall Вставить ник Quote
Gadzila Posted April 17, 2006 Posted April 17, 2006 Решил следующим образом: на конечных компах (Win) добавляется маршрут - PC A route add IP_ADDR_PC_B mask 255.255.255.255 ROUTER_IP PC B route add IP_ADDR_PC_A mask 255.255.255.255 ROUTER_IP тогда могут видеть друг друга через роутер, если не закрыто файрволом. Но хочется сделать лучше (удобнее для юзверя), т.е. чтоб видели друг друга через сетевое окружение, и при изменении количества пользователей в одной "виртуальной" сети не бегать по компам, добавляя нужные маршруты, а управлять при помощи файрвола на роутере. В ХР решается вроде нормально добавлением маршрута route add SUBNET_ADDR mask SUBNET_MASK ROUTER_IP metric X X-приоритет выше чем у маршрута по умолчанию. На 98 чет не получается назначить более приоритетную метрику, второй ХР под рукой пока нет. Эксперементы с arpproxy ниче не дали (мож криво настраивал). У кого нибудь получилось распихать юзверей по виланам в одной сетке, и чтоб видели друг друга в сетевом окружении? Вставить ник Quote
olebedev Posted April 17, 2006 Posted April 17, 2006 Поднимайте на роутере proxy arp и получите необходимую Вам схему. Вставить ник Quote
Gadzila Posted April 18, 2006 Posted April 18, 2006 Поднимайте на роутере proxy arp и получите необходимую Вам схему. Чет никак не "выходит каменный цветок".... Не могли-бы Вы хоть в общих чертах объяснить технологию, с деталями думаю разберусь. Вставить ник Quote
Blackmore Posted April 18, 2006 Posted April 18, 2006 вот это поможет : http://www.unix.org.ua/orelly/networking/t...pip/ch05_03.htm вот здесь немножко : http://www.cs.unc.edu/~jeffay/dirt/FAQ/net...config.old.html http://www.opennet.ru/docs/HOWTO/mini/Prox...Subnet/how.html и целый Гугль в придачу - все описанное по поводу прокси-арп работает - во время испытаний ни одно жевотное кроме админа не пострадало и у Вас все обязательно получится .. удачи :) Вставить ник Quote
Jugernault Posted April 20, 2006 Posted April 20, 2006 Вы меня не совсем точно поняли:Я с помощью свитча с 802.1q "размножил" один порт PC-маршрутизатора (виртуально, как-будто уменя вставлено 24 сетевые карты) - тут проблем нет, каждый порт - своя подсеть. И вот тут как раз и есть твоя проблема, ты ее сам и описал - у тебя каждый порт это сеть. А маршрутизация в пределах одной логической сети это нонсенс. Т.е. физически ты сеть расскек, а логически оставил объедененной. Подобные решения хороши если ты хочеш изолировать клиентов друг от друга, и похоже что твоя сеть с этого и начиналась. А теперь возник вопрос о том что бы определенно части клиентов обеспечить доступ друг к другу. Я верно ситуацию понимаю? Вопрос, как маршрутизировать ВНУТРИ одного Port-Based VLAN, который вставлен в эту виртуальную сетевую карту.Можно немного упростить задачу и свести ее к частному случаю: 15 клиентов подключены в свитч с Port-Based VLAN, а в 16 порт подключен PC. В данной схеме все 15 клиентов видят PC. Как можно с помощью настроек PC сделать видимость клиентов между собой? Варианты есть, но они несколько извращенные. Рассмотрим один из них. К рассмотрению примем один портбэйзед свич с изолированами портами и одним аплинком подключенным к порту управляемого коммутатора поддерживающего 802.1q, порт управляемого ввича находится в нетегированном режиме. Для того что бы ты смог осуществлять маршрутизацию между клиентами тебе необходимо разбить свою сеть на подсети /30. Т.е. на каждого клиента своя подсеть из 4-х IP. Первый - адрес сети, последний - адрес броадкаста сети, а второй и третий - это непосредственно адрес клиента и адрес на интерфейсе твоего маршрутизатора терминирующего тегированые вланы. Клиенту настраивается gw на третий адрес в сети. Всем остальным клиентам выдаются другие подсети /30 и настраиваются они аналогичным образом. Т.е. на интерфейсе твоего маршрутизатора терминирующего данный тегированый влан будет 64 алиаса для сети класса C. Теперь для любого из клиентов адрес другого клиента в вашей сети не будет локальным и клиентский стэк TCP/IP будет отправлять все пакеты на gw. А уже на нем будет иметься таблица маршрутизации и правила файрвола (от кого к кому можно, а от кого к кому нет). Решение это рабочее, но оно деградатское по своей сути. Производительность канала между одинм и другим пользователем при самом прохом розкладе может быть равна 100/(<Кол-во свичей>*15)MBit/s. Если конечно управляемый свич подключен не Гигабитом. Т.е. при 3-х портбэйзед свичах и 45 клиентах на одного из них прийтется в худшем случае 2.2 мегабитав секунду. Если же подключить маршрутизатор на гигабит, то получится 22 мегабита. Но честно говоря я думаю что ваш маршрутизатор перестанет справляться с нагрузкой - потому что маршрутизация будет производиться через тот же самый физический интерфейс через который пакет пришел. А роутер Ваш ASICами не снабжен. Так что это дело очень быстро загнется - 100% загрузка CPU и полная деградация всех сервисов. Вы этого хотели? Как уже высказывался snark если маршрутизатор заменить на L3 коммутатор, то данная схема выдержит большую нагрузку - у данного коммутатора ASICи конечно есть. Но честно говоря для Вас это скорее всего не выход. Стоимость L3 коммутатора достаточно высока. И при всем при этом в сетевом окружении клиенты друг друга по SMB не увидят. Т.е. так или иначе прийдется городить самбу и ее реализацию wins. Ну и на последок хотелось бы сказать следующее - мне кажется что Вам нужно определиться изолировать клиентов сети друг от друга или нет. Тут варианта три - да, нет и да но не всех. И вот третий вариант влечет за собой замену портбэйзет влановых свичей на свичи поддерживающие 802.1q. Только в этом случае будет Вам счастье. Вставить ник Quote
Jugernault Posted April 20, 2006 Posted April 20, 2006 Поднимайте на роутере proxy arp и получите необходимую Вам схему. Честно говоря не пробывал использовать проксиарп в подобной схему но боюсь, что профайрволить траффик проксированый может и не удастся... Вставить ник Quote
_Alexandr_ Posted April 20, 2006 Author Posted April 20, 2006 SMB тут не обязательно. Надо чтобы пинг ходил и т.д. :) Броадкаст в топку, у нас люди не умеют его использовать как надо. Стандартный замер показал что 40% трафика на порту клиента - ненужный броадкаст. Вставить ник Quote
Jugernault Posted April 21, 2006 Posted April 21, 2006 SMB тут не обязательно. Надо чтобы пинг ходил и т.д. :) Ну тогда хотелось бы узнать, что собственно вы хотите гонять между клиентами? Ведь нутром чую, что два Васи из Ваших клиентов в Контру или еще что то подобное поиграть друг с другом захотели, а вы теперь напрягаетесь как перепахать дизайн сети - я прав? Броадкаст в топку, у нас люди не умеют его использовать как надо. Стандартный замер показал что 40% трафика на порту клиента - ненужный броадкаст.Стоп, ничего не понял, а как его надо уметь использовать? - Броадкасты есть и не могут не есть. ;) Ну и честно говоря, Вы бы более детально описали свою сеть и задачи которые пытаетесь решить - а то что то странное получается: если у вас 40% броадкастный траффик, то это значит, что либо уникастного траффика просто почти нет (т.е. клиенты работают очень мало), либо вашу сеть штормит. Хотелось бы услышать об этом чуде. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.