abdula123 Posted April 22, 2006 Posted April 22, 2006 есть "непрозрачная" сеть - клиент "видят" сервера, но не видят друг друга. грубо говоря энное кол-во изолированых (а-ля des-1008 c впаяным резистором) свичей, воткнутых в L3маршрутизатор AT-8824 каждый отдельным vlan-ом. еще одним вланом - сервера. на каждый влан своя /16 сеть. на 8824 подняты интерфейсы, роутинги, прокси-арп, прописаны фильтры так, чтобы пакеты ходили только между серверным и клиентскими вланами, но не между разными клиентскими. все работает как надо. но появилась необходимость в том, чтобы определенные клиенты видели некоторых других клиентов и таких "групп видимости" (пока непересекающихся, в будующем - могут понадобиться и пересекающиеся) было сколь-угодно много. при этом те, кто не участвует в таких группах по прежнему не должны никого кроме серверов "видеть". естественно, все это (создание группы, включение и выключение из нее клиента) должно делаться вообще без каких-либо измененией у клиента. собственно вопрос - как с минимумом затрат и изменений сети это сделать? под "видимостью" понимается обмен ip-уникастом в обе стороны. еще желательно, чтобы внутри групп ходил бродкаст, но только внутри, без выхода наружу. клиенты стоят в 10мбит. до сервера, занимающегося "прозрачностью" можно кинуть гигабит. Вставить ник Quote
Jugernault Posted April 22, 2006 Posted April 22, 2006 Вы вообще форум читаете? В http://forum.nag.ru/viewtopic.php?t=17119 практически Ваша ситуация описана. Решения тоже пожожи... Вставить ник Quote
abdula123 Posted April 22, 2006 Author Posted April 22, 2006 если бы все было так просто :) в той теме было решение с выдачей каждому клиенту подсети /30, и поднятием на роутере логических интерфейсов (алиасов) что есть далеко не гут. или еще: Тут варианта три - да, нет и да но не всех. И вот третий вариант влечет за собой замену портбэйзет влановых свичей на свичи поддерживающие 802.1q. посредством 802.1q (т.е. тегированых вланов) ? только вот я не понял - каждому пользователю по влану отдавать? даже если каждой группе свой влан, все равно большая часть пользователей должна быть изолирована ото всех - т.е. почти каждому свою группу и влан. и обо что всю эту кучу вланов терминировать тогда? на каждые несколько домов ставить неслабый роутер? ат-8824, например, больше, чем с 32 влан-интерфейсами не работает. в общем это тоже не вариант. --------- есть мысль - можно отказаться от прокси-арп на L3. т.е. поставить отдельный сервер, который будет находиться во всех вланах и поставить там своего арп-демона, который бы на основании адреса запращивающего и запрашиваемого в соответствии с "политикой партии" отдавал арп-ответы - "у такого-то ip мой мак, давай мне трафик" или "у такого-то ip мак роутера, кидай трафик ему", + файрвол, который бы в соответствии с все той-же политикой разрешал или запрещал форвард пакетов. и клиенты будут передавать трафик через роутерсервер, даже если находятся на соседних портах одного и того-же оконечного свича. Вставить ник Quote
Jugernault Posted April 23, 2006 Posted April 23, 2006 если бы все было так просто :)в той теме было решение с выдачей каждому клиенту подсети /30' date=' и поднятием на роутере логических интерфейсов (алиасов) что есть далеко не гут.[/quote'] Согласен, однако ты же сам понимаеш что это возникает из за того, что коммутаторы досута извращенные. и обо что всю эту кучу вланов терминировать тогда? на каждые несколько домов ставить неслабый роутер? ат-8824' date=' например, больше, чем с 32 влан-интерфейсами не работает.в общем это тоже не вариант.[/quote']Ну касательно ат-8824 не скажу - однако свет клином на нем не сошелся. Тем более что на http://www.alliedtelesyn.ru/ru-ru/products...=0&fid=0&pid=38 пишут что он все же 255 вланов поддерживает - врут? И опять же - давай задумаемся над тем что получается при применении описанной выше схемы: Каждый клиент в отдельном влане, каждый влан терминируется на отдельный интерфейс какого либо L3 устройства. Каждый клиент имеет логическую IP сеть (минимум /30). Если клиенты хотят видеть друг друга, то они загонятся в один влан и им выдается большая IP сеть - общее количество вланов уменьшается. Т.е. данные клиентов (передача на ~ wirespeed-е) в пределах одного влана коммутируются свичами с поддержкой 802.1q, а доступ в интернет будет осуществляться через маршрутизатор на котором и будут терминироваться вланы. Просчитывать производительность ипрочее нужно конечно по реальной сети, но в принципе это решение работать будет. есть мысль - можно отказаться от прокси-арп на L3. т.е. поставить отдельный сервер' date=' который будет находиться во всех вланах [/quote']А вот с этого места по подробней - как ты сделаеш что бы сервер был во всех вланах одновременно? и поставить там своего арп-демона' date=' который бы на основании адреса запращивающего и запрашиваемого в соответствии с "политикой партии" отдавал арп-ответы - "у такого-то ip мой мак, давай мне трафик" или "у такого-то ip мак роутера, кидай трафик ему", + файрвол, который бы в соответствии с все той-же политикой разрешал или запрещал форвард пакетов.и клиенты будут передавать трафик через роутерсервер, даже если находятся на соседних портах одного и того-же оконечного свича.[/quote']После ответа на мой вопрос можно будет обсудить твою мысль. Вставить ник Quote
abdula123 Posted April 23, 2006 Author Posted April 23, 2006 Ну касательно ат-8824 не скажу - однако свет клином на нем не сошелся. он уже куплен, и от этого пляшем :) более умных L3 не предвидится, только длинки всякие типа 3326... Ну касательно ат-8824 не скажу - однако свет клином на нем не сошелся. Тем более что на http://www.alliedtelesyn.ru/ru-ru/products...=0&fid=0&pid=38 пишут что он все же 255 вланов поддерживает - врут? скорее "лукавят". 255 вланов он может пропускать через себя. но только на 32х из них могут быть подняты ip-интерфейсы. ну и плюс на каждый влан - не более 16 логических интерфейсов (vlan2:0 - 15) Именно так - каждому клиенту свой влан. Т.е. вланов будет меньше чем клиентов на количество тех, которые хотят выидеть друг друга. и через некоторое (пусть немалое, но все-равно конечное) время упираемся в предел 4096 вланов. а гораздо раньше - в пределы железок. abdula123 писал(а): есть мысль - можно отказаться от прокси-арп на L3. т.е. поставить отдельный сервер, который будет находиться во всех вланах А вот с этого места по подробней - как ты сделаеш что бы сервер был во всех вланах одновременно? делал и работало, пока 8824 не настроил. штатными средствами линуха. заводим на сервер тегированым потоком все вланы и поднимаем каждому свой интерфейс. роутингипроксиарпфайрвол по вкусу. хочется подробностей - "читайте доки, они рулез" :) Вставить ник Quote
Barsick Posted April 23, 2006 Posted April 23, 2006 грубо говоря энное кол-во изолированых (а-ля des-1008 c впаяным резистором) свичей Изоляция не спасет, имхо нужны .q , т.е. не "des-1008 c впаяным резистором", а "des-1008 c впаяной епромкой", пример - http://mcmcc.bat.ru/vlan/ P.S. Забыл, что "des-1008 c впаяным резистором" это не доработка, а серийное изделие Вставить ник Quote
Jugernault Posted April 23, 2006 Posted April 23, 2006 abdula123 писал(а): есть мысль - можно отказаться от прокси-арп на L3. т.е. поставить отдельный сервер' date=' который будет находиться во всех вланах А вот с этого места по подробней - как ты сделаеш что бы сервер был во всех вланах одновременно? [/quote'] делал и работало, пока 8824 не настроил. штатными средствами линуха. заводим на сервер тегированым потоком все вланы и поднимаем каждому свой интерфейс. роутингипроксиарпфайрвол по вкусу. хочется подробностей - "читайте доки, они рулез" :) Тю блин... Ты об этом... - Это все понятно... Я уж грешным делом подумал что ты про multi-vlan вспомнил. Потому как фраза "что бы сервер был во всех вланах одновременно" именно это напоминает. Вставить ник Quote
abdula123 Posted April 23, 2006 Author Posted April 23, 2006 Ну это уже какое то японское порно получается. Даже такое изделие как Vector-1908 может через себя 512 вланов пропустить... В общем подтверждаются мои мысли по поводу АТ... японское-то оно может и не японское, но рассчитаны ат на корпоративных пользователей, а не на домонеты. это длинки и иже с ними погнались насыщать это сегмент рынка... :) если я правильно понимаю ситуацию, конечно.... кстати, всего интерфейсов на ат8824 может быть 1280 (насколько я помню) - динамические pppoe и т.п. Верно - ты верно подмечаеш узкие места, но потему то не хочеш это использовать во благо. Я не думаю что ты найдеш за приемлимые средства коммутатор который бы пропустил через себя все 4096 вланов. Скорее это будет что то в районе 512-ти. Ну так вот тебе и отправная точка разделения сегменты. Ведь по большому счету свет клином не сошелся когда вся сеть представляетс из себя немаршрутизированный эзернет. Можно разбить сеть на сегменты. Вот допустим 500 клиентов на сегмент. При таком розкладе оборудование терминирующее влана скорее всего будет маршрутизировать не более 100 мегабит. А с этим и програмный маршрутизатор справится. очень не хочется идти на всякого рода компромисы, если есть возможность обойтись без них... все должно быть максимально просто, надежно и быстро... --------- завтра на работе попробую скидать прототип арп-демона... по сути это тот-же активный снифер, только задачи ему ставятся совсем другие :) Вставить ник Quote
Jugernault Posted April 23, 2006 Posted April 23, 2006 Есть у меня в "корпоративном секторе" AT второго уровня с жбиками... - по сравнению с HP жалкая поделка... HP вообзе как дешевый Каталист выглядит. очень не хочется идти на всякого рода компромисы, если есть возможность обойтись без них... Хм... Так ведь в том то и дело что похоже что нельзя... ;) И компромис ли это? - тебе не кажется, что то что ты назваеш компромиссом есть небольшой блок большой сети? все должно быть максимально просто, надежно и быстро... Ты забыл еще сказать - не дорого... ;) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.