band20 Posted September 21, 2006 Posted September 21, 2006 насколько я понял поковырявшись в меню, порт может быть в несмкольких Vlan tagged и в одном untagged. в ряде коммутаторов (Netgear, Dlink, Compex) есть еще такой параметр PVID, поэтому видимо там порт может находится в нескольких untagged VLANах. Я правильно понимаю, что в 3226 никакого PVID нету и порт в нескольких untagged vlan одновременно быть не может? Вставить ник Quote
Korj Posted September 21, 2006 Posted September 21, 2006 Верным был бы вопрос "Я правильно понимаю, что порт в нескольких untagged vlan одновременно быть не может? " rtfm 802.1q. В китайчатине иногда чисто внутренний параметр PVID выкидывают в конфиг, стремясь хоть в чём-то да быть "круче вареных яиц". После чего пользователь героически борется с глюками при несовпадении PVID и untagged VLAN. Хотел бы я видеть схему сети, нарисованную этими гениями инженерной мысли, в которой в порт приходит одна сеть, а уходит другая... Вставить ник Quote
ayamb Posted September 21, 2006 Posted September 21, 2006 (утрированно) PVID нужен "неправильным" коммутаторам (см.статью NAG'а) с отключенной на порту проверкой тэга фрейма (на предмет совпадения его с тэгом обслуживаемых им VLAN), и установленным в режим принимать любые фреймы (с тэгом и без него). Любой фрейм приходящий на порт "неправильного" аппарата, теряет свой тэг (если он есть) для обработки внутри. А в упомянутом выше режиме, любой пакет с незнакомым для коммутатора тэгом, теряет его, но метится PVID'ом для определения дальнейшей его судьбы. (Сейчас это не столь актуально, т.к. параметр фильтрования пакетов с неопознанными тэгами на простых коммутаторах установлен либо "насмерть", либо, как минимум, - по умолчанию... Правда в этом случае теряется одно очень полезное свойство trank/vlt (©Cisco/3com), но к этому уже все давно "привыкли". :) PVID объективно нужен и "правильным" коммутаторам пытающихся обслужить еще и кучку протоколов, отличающихся от EtherNet, и кучку не меньшую форматов EtherNet, не дружащих и по сей день с 802.1Q (ATM, FDDI, AppleTalk, SNA, XNS, BBN, DEC, MOP, EtherTalk…). P.S. (Cisco обошла эту тему, так и не ставшей актуальной, своими путями… Native+MTU+VID=1001…1005+...) Вставить ник Quote
band20 Posted September 22, 2006 Author Posted September 22, 2006 статью вы имеете в виду эту Раз таблица, два таблица ? то есть получается, что если делать по уму сервер доступный нескольким Vlan'ам, нужно в порт сервера пускать tagged Vlanы, а на серверной сетевушке настраивать "распознавание" Vlan'ов ? Вставить ник Quote
Korj Posted September 22, 2006 Posted September 22, 2006 band20 Если делать по уму, то 3226 может Вам всё отлично замаршрутизировать с acl-ями в один VLAN в одну подсеть на сервере. Вставить ник Quote
GateKeeper Posted October 2, 2006 Posted October 2, 2006 т.е. чисто "Switching" не обойтись? Routing-only solution? Вставить ник Quote
Korj Posted October 2, 2006 Posted October 2, 2006 3com - для корпоративного сектора работает, там решения типа "а вот тут в заборе мы сделаем дырку и все будем через неё ходить" не прокатывают, потому единственно грамотное во всех смыслах решение по разруливанию 802.1Q - роутинг. У 3226 он идёт на 90% вайрспида, потому что софтверный. 3226 не производятся - им на смену пришли 4500 - там роутинг аппаратный вайрспид... Вставить ник Quote
GateKeeper Posted October 3, 2006 Posted October 3, 2006 Т.е. Вы хотите сказать, что присутствие одного порта в разных 802.1Q VID - есть не-RFCшный хак, и пользоваться им по идее нельзя, а надо чисто маршрутизацией всё разруливать? Всё бы ничего, и заюзать бы и этот 802.1Q для коммутации (подчеркиваю - не маршрутизации), но где на встроенных сетевушках RTL8100C, пришедших по корпоративному заказу еще до меня, взять этот 802.1Q! Да, кстати, может, кто-нибудь знает софтовую реализацию 802.1Q для виндов (желательно всех поколений, начиная с 98/NT4)? Вставить ник Quote
Korj Posted October 4, 2006 Posted October 4, 2006 GateKeeper, Вы что-то недопонимаете, мне кажется. Ничего на клиентской машине не должно тегироваться, это наоборот некорректно! Порт server-on-stick с тэгированными различными VLAN это вполне нормальное решение до некоторой степени - оно спасало, когда L3 был не по карману. Теперь в нём нет особого смысла - как правило там, где есть VLAN-ы в сети, есть хоть одна приличная L3-железка возле сервера(-ов), что удобнее, чем заводить n(особенно если n велико) виртуальных сетевух/интерфейсов на сервере. Плюс маршрутизация с acl-ями ликвидирует возможность многих атак. Некорректным же по большому счёту является решение в котором недокоммутатор сам примерно прикидывает, кого куда на L2 уровне пускать, а кого не пускать - если б ещё чёткие acl, а то ведь как правило всё "само" - out-of-the-box. И цена грамотного решения такого рода не ниже L3, так что смысла использовать такой "костыль" (плюс ко всему - проприетарный) я не вижу. Что касается конкретно 3226 то там (как и во всей продукции 3com) этого костыля нет, а есть почти wirespeed (в реальных условиях "торможение" незаметно) L3 - совершенно не понимаю, почему его надо бояться - такая фича почти нахаляву! Вставить ник Quote
nickD Posted October 4, 2006 Posted October 4, 2006 Цены на производительный L3 свитч в студию. Вопрос сколько абонентов можно подключить к сети если каждому выдилять по vlan? ACL для того чтобы вирусы(и прочее г..) не ходили от абонента к абоненту в студию? Не проще ли сделать чтобы исходящий трафик абонентов уходил по одной vlan а приходил по другой. (Для этого и придумали выставлять разный pvid и vid на порту) Кстати циска решала эту проблему опцией protected на порту. http://www.ifm.net.nz/cookbooks/2950_virus.html Вставить ник Quote
Korj Posted October 4, 2006 Posted October 4, 2006 Цены на производительный L3 свитч в студию.Вы смотрите телевизор? :) Насколько я помню "в студию" это оттуда...3com 4500 26-port = $550. Вопрос сколько абонентов можно подключить к сети если каждому выдилять по vlan?~4000 если без проприетарных наворотов и с единственным l3-коммутатором в центре. С несколькими L3 - сколько угодно. Без L3 - сколько интерфейсов выдержит ОС - много не выдержит ниодна imho да и криво это страшно.ACL для того чтобы вирусы(и прочее г..) не ходили от абонента к абоненту в студию?acl обычный - всем клиентским подсетям разрешить маршрутизацию только в серверную.Не проще ли сделать чтобы исходящий трафик абонентов уходил по одной vlan а приходил по другой.(Для этого и придумали выставлять разный pvid и vid на порту) Под 2 vlan на юзера? Это проще, чем по одному? 8-] Или что Вы хотите сделать? Поясните.Кстати циска решала эту проблему опцией protected на порту.http://www.ifm.net.nz/cookbooks/2950_virus.html 1.) Проприетарно2.) WS-C2950T-24 Коммутатор Cisco Catalyst 24 10/100 ports w/ 2 10/100/1000BASE-T ports, Enhanced Image $1295 За эти деньги можно купить два 3com 4500 и ещё на карманные расходы отложить. А закладываться на проприетарные функции вообще китайчатины - ну кому-то может быть и такой вариант подойдёт - ради Бога... 3.) В такой сети отлично будет бегать бесконтрольный p2p траффик, пусть и не совсем стандартный (например over icmp ping) + широчайший простор для подмены ip. L3 это ликвидирует. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.