roodey-aev Posted January 30, 2024 (edited) Добрый день. Условная схема подключения: LAN-Router -> SNR-s2995g -> user Есть условный LAN роутер(По факту NGFW железка) Есть SNR-s2995 на котором подняты пользовательские сети Между LAN-router и SNR линковая сеть Общая схема примерно такая: Соответственно трафик между user_20 и user_30/40 ходит вот так Но задача состоит в том, чтобы пользователь условного VLAN20 терминирующегося на SNR-s2995g не видел напрямую пользователей из VLAN30 и VLAN40 также терминирующихся на SNR-s2995g. Он должен сходить на LAN-Router, который вернет обратно маршрут Нужно это, чтобы весь трафик пользователей проходил через NGFW для его фильтрации. Да, можно было бы всех сразу терминировать на NGFW, но пока задача стоит примерно вот так. Пока как-то нет особо идей, как это сделать нормально. Может кто сможет подсказать? Или может есть какой-то функционал для подобного "разделения" пользователей Edited January 30, 2024 by roodey-aev Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted January 30, 2024 @roodey-aev, здравствуйте! Пользователи в разных VLAN и так не будут друг друга видеть напрямую, только через inter-vlan routing. Поскольку S2995G - серия L3-коммутаторов, а сеть VLAN20,30,40 - directly connected к нему, то по умолчанию он будет самостоятельно перекладывать пакеты из одной сети в другую. Вы можете прописать статические маршруты, но они не будут помещены в таблицу маршрутизации, потому что из-за Administrative distance выигрывает directly connected маршрут: Directly connected - 0 Static - 1 И насколько я знаю, мы не сможем изменить AD у directly connected маршрута, как и сделать 0 у static. Как вариант, можно в качестве шлюза у конечных пользователей указать адрес не коммутатора, а LAN-роутера, чтобы S2995G действовал просто как L2-коммутатор, а роутинг осуществлял сам LAN-роутер. Share this post Link to post Share on other sites More sharing options...
roodey-aev Posted January 30, 2024 Цитата Пользователи в разных VLAN и так не будут друг друга видеть напрямую, только через inter-vlan routing Это само собой. Имелось ввиду, что так как все указанные VLAN терминируются на данном SNR, то видят они друг друга напрямую через SNR. Некорректно выразился Цитата Как вариант, можно в качестве шлюза у конечных пользователей указать адрес не коммутатора, а LAN-роутера, чтобы S2995G действовал просто как L2-коммутатор, а роутинг осуществлял сам LAN-роутер Этот вариант понятен и очевиден. Но пока хотелось уточнить существует ли встроенный механизм изоляции пользователей между вланами Share this post Link to post Share on other sites More sharing options...
andpuxa Posted January 30, 2024 он есть, но он не работает Share this post Link to post Share on other sites More sharing options...
Vladimir Efimtsev Posted January 30, 2024 Если вы под этим: Quote Но пока хотелось уточнить существует ли встроенный механизм изоляции пользователей между вланами имеете в виду это: Quote Имелось ввиду, что так как все указанные VLAN терминируются на данном SNR, то видят они друг друга напрямую через SNR то тут ведь дело не в коммутаторе, а нужно делать тогда так, чтобы пакеты отправлялись на LAN-роутер. Имею в виду, что какие-то настройки коммутатора здесь не имеют смысла, потому что VLAN - и так по умолчанию изолирует широковещательный трафик, а если VLAN териминируются на этом L3-коммутаторе, то он в любом случае будет осуществлять роутинг между ними, и так пользователи будут взаимодействовать между собой напрямую в рамках одного коммутатора, и единственный вариант - это сделать, чтобы коммутатор отправлял пакет дальше, чтобы какое-то другое устройство это делало, как уже и предлагал выше. Даже если мы как-то сделаем, чтобы пользователи не взаимодействовали между собой через inter-vlan routing на данном коммутаторе, и коммутатор не будет осуществлять перекладку маршрутов, но при этом не будет отправлять пакет на следующее устройство, то так связности вообще не будет. Share this post Link to post Share on other sites More sharing options...
