vladislove Posted August 20, 2024 Posted August 20, 2024 (edited) Здравствуйте. Подскажите как реализовать схему на коммутаторе SNR-S2985G-8T с разделением трафика по портам на основе ip-dst. Имеется роутер с OpenWrt, его порты lan1 и lan2 подключены к портам коммутатора 1/0/4 и 1/0/2 соответственно. На коммутаторе оба порта имеют одинаковые настройки: switchport mode hybrid switchport hybrid allowed vlan 10-12 tag На роутере VLAN 10-12 также прописаны тегом на оба порта. Конечные устройства на коммутаторе имеют ip 192.168.10.0/24 и VLAN 10 Access, прикрепил схему. Нужно сделать так, чтобы на порт 1/0/2 ходил трафик только с ip-dst 192.168.0.0/16, а на порт 1/0/4 любой трафик, кроме ip-dst 192.168.0.0/16 Попробовал сделать ip access-list: ! ip access-list extended LAN_Only permit ip any-source 192.168.0.0 0.0.255.255 deny ip any-source any-destination exit ip access-list extended WAN_Only deny ip any-source 192.168.0.0 0.0.255.255 permit ip any-source any-destination exit ! ! Interface Ethernet1/0/2 description <<<LAN_MR90X_lan2 switchport mode hybrid switchport hybrid allowed vlan 10-12 tag ip access-group LAN_Only in traffic-statistic ! ! Interface Ethernet1/0/4 description <<<WAN_MR90X_lan1 switchport mode hybrid switchport hybrid allowed vlan 10-12 tag ip access-group WAN_Only in traffic-statistic ! isolate-port group 1 switchport interface Ethernet1/0/4 isolate-port group 1 switchport interface Ethernet1/0/2 Пингую внешний и внутренний ip с компьютера 192.168.10.5, трафик всё равно ходит через один порт: root@MR90X:/# tcpdump -i any host 192.168.10.5 and icmp -n -q tcpdump: data link type LINUX_SLL2 tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes 22:17:15.636927 lan2 P IP 192.168.10.5 > 8.8.8.8: ICMP echo request, id 1, seq 1, length 40 22:17:15.636927 br-lan In IP 192.168.10.5 > 8.8.8.8: ICMP echo request, id 1, seq 1, length 40 22:17:15.636927 br-lan.10 In IP 192.168.10.5 > 8.8.8.8: ICMP echo request, id 1, seq 1, length 40 22:17:15.691893 br-lan.10 Out IP 8.8.8.8 > 192.168.10.5: ICMP echo reply, id 1, seq 1, length 40 22:17:27.593058 lan2 P IP 192.168.10.5 > 192.168.12.1: ICMP echo request, id 1, seq 2, length 40 22:17:27.593058 br-lan In IP 192.168.10.5 > 192.168.12.1: ICMP echo request, id 1, seq 2, length 40 22:17:27.593058 br-lan.10 In IP 192.168.10.5 > 192.168.12.1: ICMP echo request, id 1, seq 2, length 40 22:17:27.593138 br-lan.12 Out IP 192.168.10.5 > 192.168.12.1: ICMP echo request, id 1, seq 2, length 40 22:17:27.599076 lan2 P IP 192.168.12.1 > 192.168.10.5: ICMP echo reply, id 1, seq 2, length 40 22:17:27.599076 br-lan In IP 192.168.12.1 > 192.168.10.5: ICMP echo reply, id 1, seq 2, length 40 22:17:27.599076 br-lan.12 In IP 192.168.12.1 > 192.168.10.5: ICMP echo reply, id 1, seq 2, length 40 22:17:27.599107 br-lan.10 Out IP 192.168.12.1 > 192.168.10.5: ICMP echo reply, id 1, seq 2, length 40 Edited August 21, 2024 by vladislove На схеме была небольшая ошибка Вставить ник Quote
azhur Posted August 21, 2024 Posted August 21, 2024 Здравствуйте! Как я понял, вы пытаетесь "наколхозить" что-то похожее на маршрутизацию на l2-коммутаторе. Сильно сомневаюсь, что оно в принципе реализуемо. И, главное, не понимаю - зачем??? Единственная пока пришедшая в голову версия - не хватает пропускной способности одного порта между коммутатором и маршрутизатором. Вставить ник Quote
vladislove Posted August 21, 2024 Author Posted August 21, 2024 Цитата И, главное, не понимаю - зачем??? За роутером находится 10 гигабитная локальная сеть (подключена к порту 2.5) Ситуация: один из ПК скачивает что-то из интернета (тариф 1 гбит/c), а другой ПК в это время смотрит 4К фильм с высоким битрейтом из локального NAS. Один гиговый линк задохнётся, а port-channel собрать возможности нет (OpenWrt не позволяет тегировать трафик в бонде) Вставить ник Quote
Morty Posted August 21, 2024 Posted August 21, 2024 (edited) 1 час назад, vladislove сказал: Один гиговый линк задохнётся Это ваше предположение или вы замеры делали? Если ваш NAS находится в одном влане и в одной подсети с локалкой, и на коммутаторе не настроена изоляции портов, то трафик не пойдет через роутер. Edited August 21, 2024 by Morty Вставить ник Quote
vladislove Posted August 21, 2024 Author Posted August 21, 2024 Цитата Это ваше предположение или вы замеры делали? Предположение. Цитата Если ваш NAS находится в одном влане и в одной подсети с локалкой, и на коммутаторе не настроена изоляции портов, то трафик не пойдет через роутер. NAS имеет два разных линка с VLAN 11 и 12, один из которых имеет доступ в локальную сеть, а другой нет (для интернет-трафика). VLAN 10 - имеет полный доступ к интернету и локальной сети. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.