Jump to content

Сегментация по vlan

mav
 Share

Recommended Posts

mav

mav

Posted
Posted

Давно уже думаю как решить следующую задачу: в сети имеется управляемое оборудование с поддержкой 802.1q vlans.

1. Необходимо перевести каждый дом в свой vlan, на один vlan выдается подсеть 172.1.0.0/27. Т.е. получается схема один vlan на группу пользователей.

2. Иметь возможность блокировать абонентов в этих vlan'ах от сети и давать доступ только до сервера с биллингом. Этих пользователей предполагается загнать в отдельный vlan.

Так вот вопрос, чем в центре это правильно разрулить?

cmhungry

cmhungry

Posted
Posted
Давно уже думаю как решить следующую задачу: в сети имеется управляемое оборудование с поддержкой 802.1q vlans.

1. Необходимо перевести каждый дом в свой vlan, на один vlan выдается подсеть 172.1.0.0/27. Т.е. получается схема один vlan на группу пользователей.

2. Иметь возможность блокировать абонентов в этих vlan'ах от сети и давать доступ только до сервера с биллингом. Этих пользователей предполагается загнать в отдельный vlan.

Так вот вопрос, чем в центре это правильно разрулить?

зависит от количества хомячков, способа их переключения и т.п.

наиболее простой и правильный способ - влан с "левой" подсетью - guest vlan, дальше 802.1х авторизация с выдачей правильного ид влана с радиус-сервера

mav

mav

Posted
  • Author
Posted
зависит от количества хомячков, способа их переключения и т.п.

наиболее простой и правильный способ - влан с "левой" подсетью - guest vlan, дальше 802.1х авторизация с выдачей правильного ид влана с радиус-сервера

Пользователей около 1000, vlan'ов - 200-300. Поменять vlan пользователю на коммутаторе - не проблема, с помощью snmp все автоматизировали. Вопрос в том, как разрулить все это в центре
cmhungry

cmhungry

Posted
Posted

зависит от количества хомячков, способа их переключения и т.п.

наиболее простой и правильный способ - влан с "левой" подсетью - guest vlan, дальше 802.1х авторизация с выдачей правильного ид влана с радиус-сервера

Пользователей около 1000, vlan'ов - 200-300. Поменять vlan пользователю на коммутаторе - не проблема, с помощью snmp все автоматизировали. Вопрос в том, как разрулить все это в центре

скриптом. Влан с неавторизовавшимися клиентами терминировать на отдельной машинке, на ней все запросы по 80му порту, кроме запросов на сервер биллинга с возможностью ввести карточку оплаты, редиректить на страничку авторизации, после успешного ввода л-п и положительного баланса - читается БД порт-свитч пользователей, по снмп переключаем влан, а влан с авторизовавшимся клиентом терминируется уже на НАТящем в инет маршрутизаторе.

Нет трафика Н минут - переключаем влан обратно, например. Ну или какой-либо другой способ проверки истечения срока авторизации, например, деньги кончились.

mav

mav

Posted
  • Author
Posted

зависит от количества хомячков, способа их переключения и т.п.

наиболее простой и правильный способ - влан с "левой" подсетью - guest vlan, дальше 802.1х авторизация с выдачей правильного ид влана с радиус-сервера

Пользователей около 1000, vlan'ов - 200-300. Поменять vlan пользователю на коммутаторе - не проблема, с помощью snmp все автоматизировали. Вопрос в том, как разрулить все это в центре

скриптом. Влан с неавторизовавшимися клиентами терминировать на отдельной машинке, на ней все запросы по 80му порту, кроме запросов на сервер биллинга с возможностью ввести карточку оплаты, редиректить на страничку авторизации, после успешного ввода л-п и положительного баланса - читается БД порт-свитч пользователей, по снмп переключаем влан, а влан с авторизовавшимся клиентом терминируется уже на НАТящем в инет маршрутизаторе.

Нет трафика Н минут - переключаем влан обратно, например. Ну или какой-либо другой способ проверки истечения срока авторизации, например, деньги кончились.

это тоже не проблема. Имеется ввиду как терминировать эти vlan'ы. Если PC freebsd, то получается проблема с маршрутами, т.к. 1 подсеть = 1 vlan, то при переводе пользователя в другой vlan, для неактивных пользователей, трафик от этого пользователя будет приходить на другой интерфейс vlan на сервере.
Link_x

Link_x

Posted
Posted

Подскажите чайнику как решить похожую проблему: перед сервером сходятся несколько разных сегментов, сервер - настроен как роутер и билинг.

человек, который не авторизировался на сервере не мог выйти за пределы сегмента

Раньше кидался каждый сегмент в свою сетевуху, сейчас сервак поменяли, сетевух на каждый сегмент не хватает :(

 

как сделать так чтобы сегменты "входили" в Л3 свич, но роут пользователей между сегментами происходил через сервак (после авторизации на серваке)?

cmhungry

cmhungry

Posted
Posted

зависит от количества хомячков, способа их переключения и т.п.

наиболее простой и правильный способ - влан с "левой" подсетью - guest vlan, дальше 802.1х авторизация с выдачей правильного ид влана с радиус-сервера

Пользователей около 1000, vlan'ов - 200-300. Поменять vlan пользователю на коммутаторе - не проблема, с помощью snmp все автоматизировали. Вопрос в том, как разрулить все это в центре

скриптом. Влан с неавторизовавшимися клиентами терминировать на отдельной машинке, на ней все запросы по 80му порту, кроме запросов на сервер биллинга с возможностью ввести карточку оплаты, редиректить на страничку авторизации, после успешного ввода л-п и положительного баланса - читается БД порт-свитч пользователей, по снмп переключаем влан, а влан с авторизовавшимся клиентом терминируется уже на НАТящем в инет маршрутизаторе.

Нет трафика Н минут - переключаем влан обратно, например. Ну или какой-либо другой способ проверки истечения срока авторизации, например, деньги кончились.

это тоже не проблема. Имеется ввиду как терминировать эти vlan'ы. Если PC freebsd, то получается проблема с маршрутами, т.к. 1 подсеть = 1 vlan, то при переводе пользователя в другой vlan, для неактивных пользователей, трафик от этого пользователя будет приходить на другой интерфейс vlan на сервере.

Так я же написал, что терминировать активных и неактивных пользователей на разных маршрутизаторах.
cmhungry

cmhungry

Posted
Posted
Подскажите чайнику как решить похожую проблему: перед сервером сходятся несколько разных сегментов, сервер - настроен как роутер и билинг.

человек, который не авторизировался на сервере не мог выйти за пределы сегмента

Раньше кидался каждый сегмент в свою сетевуху, сейчас сервак поменяли, сетевух на каждый сегмент не хватает :(

 

как сделать так чтобы сегменты "входили" в Л3 свич, но роут пользователей между сегментами происходил через сервак (после авторизации на серваке)?

Так а зачем в л3 свитч, когда можно в Л2, а на роутере поднять пачку вланов?
mav

mav

Posted
  • Author
Posted

Так я же написал, что терминировать активных и неактивных пользователей на разных маршрутизаторах.

разве что так. Хотелось бы на одном...

Link_x

Link_x

Posted
Posted
Так а зачем в л3 свитч, когда можно в Л2, а на роутере поднять пачку вланов?
А поподробнее? :)

А то когда пробовали ставить 2 айпи на сетевухе начинались глюки :)

it

it

Posted
Posted

Так а зачем в л3 свитч, когда можно в Л2, а на роутере поднять пачку вланов?

А поподробнее? :)

А то когда пробовали ставить 2 айпи на сетевухе начинались глюки :)

man ifconfig, далее см. vlan

mav

mav

Posted
  • Author
Posted

насколько правильно прописывать на интерфейс адрес 172.1.0.1 с маской 255.255.255.192, если на другом интерфейсе уже прописан 172.1.255.254 с маской 255.255.0.0?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.