[mrrc]

Тогда маршрутизацию между подсетями vlan на кого воскладываете?

[jffulcrum]

Маршрутизатор и делает. И либо обеспечиваются условия для fastTrack, либо железо берется, способное на нужную скорость с желаемыми функциями (или еще какие приемы применяются)

[mrrc]

Вернулись к тому, с чего начинали - маршрутизатор.
Либо обеспечиваем условия для FastTrack между влан-подсетями, либо оборудование с запасом.

[Saab95]

Если сеть вся на управляемых коммутаторах, то на каждый порт коммутатора создается уникальный влан. Далее все вланы заводятся на микротике. В каждый влан автоматически выдается свой уникальный IP адрес поштучно (без масок подсетей). Теперь все устройства сети смогут передавать данные друг другу только через роутер. Никакого мусора, флуда и т.п. не возникнет.

 

В таком случае будет работать фасттрак на уровне L3.

[mrrc]

Вы стали бы собственноручно делать подобную реализацию, интересно знать.

[Saab95]

У нас везде именно так и сделано. Часто приходится модернизировать сети разных предприятий и фирм, построенных на L2 коммутаторах. Ранее эти сети создавали много проблем непонятного происхождения, установлены коммутаторы с 24 медными портами 100М для рабочих мест и телефонов, и 1Г оптическими для центральных каналов. 12 таких коммутаторов сводятся на CCR1016 с 12 оптическими портами 1Г и через 10Г порт уходит все на центральное оборудование, где интернет и все внутренние сервера.

 

На каждом коммутаторе настроен влан 101 на первом порту, 102 на втором и т.п. до 124 на последнем. На всех коммутаторах одинаковые настройки вланов (101-124) отличаются только IP адресом управления.

 

На микротике на каждом порту заведены тоже одинаковые вланы 101-124 на первом, 101-124 на втором и т.п., на каждый влан установлен свой серый или белый IP адрес для пользователя, DHCP сервер для автоматической выдачи IP без привязки к мак адресу.

 

Тут же сразу идет разделение по IP для телефонии, доступ на 1С и прочие сервера, то есть на телефонию никто кроме телефонов попасть не может, на 1С могут попасть только те, кому так же доступ разрешен. Всегда видно кто и где адрес получил, никто руками себе другой адрес прописать не может.

 

Все обмениваются файлами через этот микротик, для того, что бы пользователи могли обмениваться данными между компьютерами своей же подсети (выдаются маски /24), на всех портах микротика настроено арп-прокси.

 

В одном месте требовалось так же передавать L2 в цехах, там станки работали по какому-то своему закрытому протоколу. Там просто перед каждым станком устанавливали маленький микротик и на нем создавали EoIP туннель в центр, где сходились все EoIP туннели от других станков и подавались на компьютер управления. Там же сразу был и фильтр, который запрещал пропуск данных между портами бриджа с EoIP туннелями.

 

 

[mrrc]

Необоснованно усложнять и избыточно сепарировать сетевую инфраструктуру тоже неверно.

Если в определенных случаях это и применимо, то не должно распространяться просто ради за компанию.

 

По существу проблемы уже на самом объекте - все аплинки от оборудования с повышенной сетевой нагрузкой сведены на порты единого свиччипа, из бриджа с включенным vlan-filtering-ом выведены порты из соседних свитччипов, проапгрейдено до 7.7, принципиальной разницы по скоростным показателям с учетом проанонсированного в свое время HW offload support for vlan-filtering on RTL8367 switch chip не замечено, однако вопрос все же решается применением FastTrack-а, накладываемого на созданные интерфейс-листы задействованных во внутрисетевом обмене vlan-интерфейсов. Дальше наблюдение.