Маршутник ядра сети. Разруливание VLAN

Susanin · February 14, 2007

Имеем сетку на 700 хостов с хорошими темпами роста.

В центре стоит L3 коммутатор. На текущий момент на нем около 20 VLAN. Средний траф примерно 100-120 Mbits. Готовимся к большому сегментированию сети по VLAN. Планируем довести их количество до 100 (и до 170 через полтора года). Стоит большая проблема - как сегментировать траффик, т.е. четко разделять какому VLAN с каким можно гонять траффик, а какому - нет. Ищем оборудование с поддержкой вышеуказанного кол-ва VLAN и IP-интерфейсов. Желательно сегментация именно по VLAN источника/назначения, так как адреса внутри VLAN-ов с разных сетей (т.е. наши серые, реальные инетовские, managment VLAN).

По производительности и гибкости - хорошее решение = PC-роутер, но не удовлетворяет в плане надежности (да и не солидно как-то комп в ядро сети ставить.. :)

Какой вариант можете предложить ?

Сначала будем смотреть технические возможности, потом цену, ибо интересует вариант с возможностью роста, т.е. с запасом на будущее.

mav · February 14, 2007

тоже интересует

Nailer · February 14, 2007

Желательно сегментация именно по VLAN источника/назначения, так как адреса внутри VLAN-ов с разных сетей (т.е. наши серые, реальные инетовские, managment VLAN).

Можно сделать это не по vlan, а по VRF (vlan ставится в соответствие VRF-у) и на третьем уровне.

В качестве железа в таком случае можно рассматривать catalyst 6500 с 720-ым супом. Хотя 32, по идее, тоже подойдет.

Хотя адресацию все равно лучше бы привести в порядок ;-)

Edited February 14, 2007 by Nailer

SergeiK · February 14, 2007

Ну надо же написать количество интерфейсов, доп. функционал, скорости их.

Адреса внутри вланов не должны быть разные. Это архитектурная ошибка. На каждую подсеть - свой влан.

По надежности PC роутера - jab вам расскажет!

Но гигабитные внутренние скорости с фильтрацией лучше гонять все же L3 свичом.

Альтернатив Cisco по функционалу нету. Но и цена более чем.

Из хороших решений - AT (Allied Telesys), HP Procurve.

(У HP есть (была) промопрограмма по 5300xl на 48 10/100 портов за 1К$ - отличный вариант. Увы, закончилась! А брать ее за полную цену - дороговато).

При совсем ограниченных бюджетах - Dlink, НО обязательно серия выше самой младшей, отвечающей задаче по описанию. например не 3326S а 3828.

Edited February 15, 2007 by SergeiK

Susanin · February 14, 2007

Ну надо же написать количество интерфейсов, доп. функционал, скорости их.

Да это не так важно. Если GE, то достаточно и 2-х, если FE - то 3-4 портов. А уж разветвитель вланов-то найдем без проблем.

Главная загвоздка - это именно разруливание между вланами. В этом PC и хорош - там каждый влан - в файрволле можно с помощью интерфейса разрулить, что на порядок упрощает задачу. А в свичах, насколько нашел информацию, ACL - единственный вариант - это по подсетях источника-назначения. Если влан и можно использовать, то только источника, а не сразу источника/назначения.

Адреса внутри вланов не должны быть разные. Это архитектурная ошибка. На каждую подсеть - свой влан.

Да так и есть. Основная масса клиентов - домашние пользователи, сидят в подсетях /28 из подсети 172.18.0.0/16. Но есть и юр.лица, которым нужные реальные IP без ната, для них и проброшено несколько вланов с реальными IP, над которыми в последствии не используется NAT.

Поэтому и получаеться что создание ACL на основе IP источника/назначения приводит к большому количеству правил, так необходимо описывать все ситуации можно/нельзя и нельзя перейти к схеме - [разрешено что-то, а в конце запрещено все]. Ибо последним правилом убъеться работа инета (весь инет не опишешь в ACL)

Edited February 14, 2007 by Susanin

user_anonymous · February 14, 2007

А если поставить ДВА роутера - один на серые IP, а один - на белые?

mav · February 14, 2007

Susanin, извиняюсь за то, что задаю вопрос в вашей теме.

Если использовать DES-3828, на нем можно запретить ходить куда-либо определенным ip-адресам и vlanам? Возможно ли обновлять эти записи динамически? Смысл в том, чтобы неактивные пользователи не выходили дальше своего vlan'а, а имели доступ только к серверу биллинга.

И по поводу программы у HP можно поподробнее?

Edited February 14, 2007 by mav

nickD · February 15, 2007

Des-3828 по мoему мнению крайне не пригоден для L3, тем более для core

Nag · February 15, 2007

Имхо для серьезного центра Сиска, Нортел, Фаундри (НР)... И все практически. :-)

Nailer · February 15, 2007

Имхо для серьезного центра Сиска, Нортел, Фаундри (НР)... И все практически. :-)

Juniper еще бил себя пятками в грудь и кричал, что он тоже может :-))

vIv · February 15, 2007

Альтернатив Cisco по функционалу нету. Но и цена более чем.
Из хороших решений - AT (Allied Telesys), HP Procurve.

(У HP есть (была) промопрограмма по 5300xl на 48 10/100 портов за 1К$ - отличный вариант. Увы, закончилась! А брать ее за полную цену - дороговато).

С 31 января очень актуально смотреть уже на 3500/6200/5400.

Там теперь 512 VLAN + 2K IP addresses + ведро фишек для фильтрации трафика

Цена, правда, да, не $999, но всё же...

Edited February 15, 2007 by vIv

mav · February 15, 2007

Имхо для серьезного центра Сиска, Нортел, Фаундри (НР)... И все практически. :-)

что из нортела посоветуете?

Nag · February 15, 2007

что из нортела посоветуете?

8600, или как там его... ;-)

kuru · February 17, 2007

Имеем сетку на 700 хостов с хорошими темпами роста.
В центре стоит L3 коммутатор. На текущий момент на нем около 20 VLAN. Средний траф примерно 100-120 Mbits. Готовимся к большому сегментированию сети по VLAN. Планируем довести их количество до 100 (и до 170 через полтора года). Стоит большая проблема - как сегментировать траффик, т.е. четко разделять какому VLAN с каким можно гонять траффик, а какому - нет. Ищем оборудование с поддержкой вышеуказанного кол-ва VLAN и IP-интерфейсов. Желательно сегментация именно по VLAN источника/назначения, так как адреса внутри VLAN-ов с разных сетей (т.е. наши серые, реальные инетовские, managment VLAN).

По производительности и гибкости - хорошее решение = PC-роутер, но не удовлетворяет в плане надежности (да и не солидно как-то комп в ядро сети ставить.. :)

Какой вариант можете предложить ?

Сначала будем смотреть технические возможности, потом цену, ибо интересует вариант с возможностью роста, т.е. с запасом на будущее.

Наверно самое простое и дешевое - терминировать VLAN-ы на разных свичах. Юзеров на одном L3 свиче, юриков с реальными адресами на другом L3 (все равно между юриками должна быть связность через интернет :). Management VLAN/свое хозяйство можно на третьем свиче (а можно и на первом свиче зафильтровать).

Широко-масочные acl-ы на роутере.

Nailer · February 17, 2007

Имеем сетку на 700 хостов с хорошими темпами роста.

В центре стоит L3 коммутатор. На текущий момент на нем около 20 VLAN. Средний траф примерно 100-120 Mbits. Готовимся к большому сегментированию сети по VLAN. Планируем довести их количество до 100 (и до 170 через полтора года). Стоит большая проблема - как сегментировать траффик, т.е. четко разделять какому VLAN с каким можно гонять траффик, а какому - нет. Ищем оборудование с поддержкой вышеуказанного кол-ва VLAN и IP-интерфейсов. Желательно сегментация именно по VLAN источника/назначения, так как адреса внутри VLAN-ов с разных сетей (т.е. наши серые, реальные инетовские, managment VLAN).

По производительности и гибкости - хорошее решение = PC-роутер, но не удовлетворяет в плане надежности (да и не солидно как-то комп в ядро сети ставить.. :)

Какой вариант можете предложить ?

Сначала будем смотреть технические возможности, потом цену, ибо интересует вариант с возможностью роста, т.е. с запасом на будущее.

Наверно самое простое и дешевое - терминировать VLAN-ы на разных свичах. Юзеров на одном L3 свиче, юриков с реальными адресами на другом L3 (все равно между юриками должна быть связность через интернет :). Management VLAN/свое хозяйство можно на третьем свиче (а можно и на первом свиче зафильтровать).
Широко-масочные acl-ы на роутере.

Угу, и потом ибаццо с кучей длиннющих acl-ей.

boss · February 18, 2007

Имхо для серьезного центра Сиска, Нортел, Фаундри (НР)... И все практически. :-)

А эта железяка S-Series S50V Force10 стоит внимания ?

Nag · February 18, 2007

А эта железяка S-Series S50V Force10 стоит внимания ?

Возможно - форсе крутые по идее. Но ни разу в глаза их не видел.

No_name · February 18, 2007

Из личного опыта HP Procurve 5300. Имеем более 50 вилан, сидит порядка 800 пользователей.

Можно и 3400, но там неудобства - ACL привязываются на порт а не на вилан.

Nag · February 18, 2007

Из личного опыта HP Procurve 5300.

Лучше сразу брать HP Procurve 9300.

Заодно можно будет стереть наклейку НР, и увидеть лейбл Foundry. :-)))

Susanin · February 19, 2007

После долго ковыряние документов различных вендоров первоначальный вопрос немного трансформировался.

Какие в принципе технологии существуют по разруливанию трафика между VLAN, без привязки к IP-подсети этого VLAN ? Т.е. когда идентификация осуществляться или по VALN ID или по интерфейсу влана.

На сегодняшний момент я знаю только одну - PC роутер (Linux/iptables, FreeBSD/ipfw и все производные от них). Тут идентификация идет как раз по интерфейсу влана.

Имеется в виду технология фильтрации маршрутизируемого потока тегированных VLAN.

А еще есть какие-то технологии ? (вендор, типы и количество интерфейсов, цена пока не учитываются)

cmhungry · February 19, 2007

После долго ковыряние документов различных вендоров первоначальный вопрос немного трансформировался.
Какие в принципе технологии существуют по разруливанию трафика между VLAN, без привязки к IP-подсети этого VLAN ? Т.е. когда идентификация осуществляться или по VALN ID или по интерфейсу влана.

На сегодняшний момент я знаю только одну - PC роутер (Linux/iptables, FreeBSD/ipfw и все производные от них). Тут идентификация идет как раз по интерфейсу влана.

Имеется в виду технология фильтрации маршрутизируемого потока тегированных VLAN.

А еще есть какие-то технологии ? (вендор, типы и количество интерфейсов, цена пока не учитываются)

Эм... идентифицировать трафик по влану и наложить на него определенный фильтр? D-Link 3526 и старше, с packet content mask ACL

Мартен · February 19, 2007

cmhungry, ну вы насоветуете... dlink в ядро :(

SergeiK · February 20, 2007

После долго ковыряние документов различных вендоров первоначальный вопрос немного трансформировался.
Какие в принципе технологии существуют по разруливанию трафика между VLAN, без привязки к IP-подсети этого VLAN ? Т.е. когда идентификация осуществляться или по VALN ID или по интерфейсу влана.

На сегодняшний момент я знаю только одну - PC роутер (Linux/iptables, FreeBSD/ipfw и все производные от них). Тут идентификация идет как раз по интерфейсу влана.

Имеется в виду технология фильтрации маршрутизируемого потока тегированных VLAN.

А еще есть какие-то технологии ? (вендор, типы и количество интерфейсов, цена пока не учитываются)

Еще раз? Хотите фильтровать поток между вланами? Или между портами?

Как PC будет разруливать трафик между вланами "без привязки к IP-подсети этого VLAN"?

В общем, мне видится наличие пробелов в знаниях...

Но если хочется извращений с вланами - это тогда к Allied Telesys-у. Они знают толк в этом...

То port-based vlan, то address-based влан, то protocol-based. Что-то еще у них было...

Susanin · February 20, 2007

Еще раз? Хотите фильтровать поток между вланами? Или между портами?

Между вланами конечно. Какой нам смысл фильтровать поток между портами в центре ? А если на центральном роутере всего два порта ? :)

Как PC будет разруливать трафик между вланами "без привязки к IP-подсети этого VLAN"?

/sbin/iptables -A FORWARD -p ALL -i eth1.100 -o eth1.101 -j ACCEPT

/sbin/iptables -A FORWARD -p ALL -i eth1.101 -o eth1.100 -j ACCEPT

А уж на влановский интерфейсы eth1.100 и eth1.101 я могу навесить какую угодно подсеть. И все будет работать.

В общем, мне видится наличие пробелов в знаниях...

Но если хочется извращений с вланами - это тогда к Allied Telesys-у. Они знают толк в этом...

То port-based vlan, то address-based влан, то protocol-based. Что-то еще у них было...

А мне видиться что не найду я реализации подобной гибкости в железе...

Техсапорты больших вендоров так ничего и не могут предложить...

Nailer · February 20, 2007

Еще раз? Хотите фильтровать поток между вланами? Или между портами?

Между вланами конечно. Какой нам смысл фильтровать поток между портами в центре ? А если на центральном роутере всего два порта ? :)
Как PC будет разруливать трафик между вланами "без привязки к IP-подсети этого VLAN"?
/sbin/iptables -A FORWARD -p ALL -i eth1.100 -o eth1.101 -j ACCEPT
/sbin/iptables -A FORWARD -p ALL -i eth1.101 -o eth1.100 -j ACCEPT

А уж на влановский интерфейсы eth1.100 и eth1.101 я могу навесить какую угодно подсеть. И все будет работать.

В общем, мне видится наличие пробелов в знаниях...

Но если хочется извращений с вланами - это тогда к Allied Telesys-у. Они знают толк в этом...

То port-based vlan, то address-based влан, то protocol-based. Что-то еще у них было...

А мне видиться что не найду я реализации подобной гибкости в железе...

Техсапорты больших вендоров так ничего и не могут предложить...

Ай-яй-яй.

Я же писал выше, как это правильно делается. Давно отработано и проверено.

Sign In

Маршутник ядра сети. Разруливание VLAN

Recommended Posts

Susanin

mav

Nailer

SergeiK

Susanin

user_anonymous

mav

nickD

Nag

Nailer

vIv

mav

Nag

kuru

Nailer

boss

Nag

No_name

Nag

Susanin

cmhungry

Мартен

SergeiK

Susanin

Nailer

Join the conversation