"Кристальный" VLAN, как сделать?

[builder]

Есть несколько домов, в них установлены DES-2108 (в силу малой плотности подключений), т.е. это "уровень доступа".

2108-е в свою очередь подключены по меди к неуправляемому д-линку (который планируется заменить).

Этот т.с. "агрегирующий" коммутатор соединён с linux-маршрутизатором.

Сервис для клиентов - только доступ в интернет.

Вопрос - что поставить на замену этому "агрегирующему" свичу и с помощью чего сделать на линухе полную изоляцию клиента от соседей.

Хочется понять механизм, поэтому привязка к моделям не обязательна, главное - функционал.

[romka]

Поставить коммутатор 2 или 3 уровня и отдать транки или физ. соединения на linux.

На линуксе, или разобрать транки в vlan, или добавить портов.

Запустить маршрутизацию на linux - или в виртуальной среде, или с использованием фильтров 2 -3 уровней.

[builder]

Т.е. терминироваться виланы должны на линуксе и отфильтровываться от других виланов?

Правильно я понял?

[builder]

В продолжение темы, прошу подтолкнуть в правильном направлении.

Если на линуксе сделать:

ifconfig -i vlan0002 192.168.2.1 broadcast 192.168.2.255 netmask

255.255.255.0 up

ifconfig -i vlan0003 192.168.3.1 broadcast 192.168.3.255 netmask

255.255.255.0 up

то понятно, что между сетями будет изоляция.

А как сделать чтобы в одной подсети клиенты не видели друг-друга????

Линух планируется в паре с DES-3828, или чем-то аналогичным, пока еще не решено.

[cmhungry]

В продолжение темы, прошу подтолкнуть в правильном направлении.

Если на линуксе сделать:

ifconfig -i vlan0002 192.168.2.1 broadcast 192.168.2.255 netmask

255.255.255.0 up

ifconfig -i vlan0003 192.168.3.1 broadcast 192.168.3.255 netmask

255.255.255.0 up

то понятно, что между сетями будет изоляция.

А как сделать чтобы в одной подсети клиенты не видели друг-друга????

Линух планируется в паре с DES-3828, или чем-то аналогичным, пока еще не решено.

Ну так и надо это делать на 3828, а не на линухе.

config traffic_segmentation 1-24 forward_list 25-28

[builder]

Мне может суть немного не ясна. Ну сделаю я это на коммутаторе, тогда маршрутизатор (линух) завернет пакетики от одного клиента к другому. На виланах вообще можно полностью изолировать клиента, т.е. вилан_на_клиента а не вилан_на_подсеть?

ifconfig -i vlan0003 192.168.3.1 broadcast 192.168.3.255 netmask

255.255.255.255 up

ifconfig -i vlan0003 192.168.3.2 broadcast 192.168.3.255 netmask

255.255.255.255 up

Вот так можно?

[cmhungry]

Мне может суть немного не ясна. Ну сделаю я это на коммутаторе, тогда маршрутизатор (линух) завернет пакетики от одного клиента к другому. На виланах вообще можно полностью изолировать клиента, т.е. вилан_на_клиента а не вилан_на_подсеть?

ifconfig -i vlan0003 192.168.3.1 broadcast 192.168.3.255 netmask

255.255.255.255 up

ifconfig -i vlan0003 192.168.3.2 broadcast 192.168.3.255 netmask

255.255.255.255 up

Вот так можно?

Так как указываешь - нельзя.

 

А сделаешь на коммутаторе - так и запрети файрволом на линухе хождение пакетов от клиента к клиенту. Кроме того, чтобы в одной подсети клиенты на порт-бейз вланах (или трафик-сегментации) увидели друг друга, надо им рутинг друг на друга прописывать через линух.

[builder]

Спасибо, уже разобрался. Честно говоря, был более высокого мнения о виланах. :))

[KoloBok]

Спасибо, уже разобрался. Честно говоря, был более высокого мнения о виланах. :))

Просто ты пытаешься микроскопом по гвоздям...

[builder]

Да понял я уже, просто хотелось красивое решение в некрасивой ситуации. Тока пытаемся проникнуть в жилищный фонд, а там много юр.лиц на первых этажах, вот и стоит задача: юр.лиц однозначно надо изолировать, домушников кому надо - изолировать, кому не надо -не изолировать. Трафик внутренний точно считать не будем, поэтому виланить всех до ядра никчему. На первом этапе видится такая схема:

2108(доступ)---любой свич, пропускающий тегир.пакеты---3526---linux

На линухе виланить видимо не получится, т.е. терминировать на 3526, потому как используем UTM+ndsad, вроде как он не умеет на линухе на виланах считать, но надо еще уточнять.

[cmhungry]

Да понял я уже, просто хотелось красивое решение в некрасивой ситуации. Тока пытаемся проникнуть в жилищный фонд, а там много юр.лиц на первых этажах, вот и стоит задача: юр.лиц однозначно надо изолировать, домушников кому надо - изолировать, кому не надо -не изолировать. Трафик внутренний точно считать не будем, поэтому виланить всех до ядра никчему. На первом этапе видится такая схема:

2108(доступ)---любой свич, пропускающий тегир.пакеты---3526---linux

На линухе виланить видимо не получится, т.е. терминировать на 3526, потому как используем UTM+ndsad, вроде как он не умеет на линухе на виланах считать, но надо еще уточнять.

М-да. Точно микроскопом по гвоздям, причем мимо.

 

2108 (любой свитч с 802.1q) на доступ. Терминироваться на 3828. Надо юзеру изоляцию - /30 подсетку на отдельный влан и все. Надо юрику изоляцию - /30 подсетку на отдельный влан и все. Не надо изоляцию - в общедомой влан с /24й подсеткой. На линухе в итоге прописать маршрут что вся сетка живет за 3828, считать на езернетовском интерфейсе (оно там считается нормально уже).

 

Терминировать вланы на 3526 не получится, 3526 - свитч 2го уровня, а не третьего.

 

Вырастет сетка - замените на узлах L2 на L3 и поднимете между ними хоть RIP, чтобы подсетки друг о друге знали (и ядро, в первую очередь).

[builder]

Терминировать вланы на 3526 не получится, 3526 - свитч 2го уровня, а не третьего.

- Это меня бес попутал, сам же писал что 3828.

Спасибо, cmhungry, но я Вам попзже еще парочку вопросиков задам в личку, если Вы не против :)