vlan до каждого юзера

[SaBo]

Хочу сделать VLan до каждого юзера.

Есть: сервак с FreeBSD 6.2, коммутаторы D-Link DES-2108.

 

Хочу поднять ВЛан к каждому из юзеров (порту) и назначить им один ИП.

 

Прочитал мануалы:

1ман

2ман

3ман

4ман

 

Между собой у них много противоречий.

 

Понял одно, что надо пересобрать ядро с vlan'ом. Получилось это только таким образом: device vlan (хотя именно такого варианта ни в одном мануале не было)

Сегодня узнал, что в 6.2 вообще в ядро vlan включать не надо...

 

Подскажите, что делать?..

[SaBo]

С tag/untag немного разобрался...

Т.е. мне надо на тот порт, куда пришла магистраль включить тегированный порт, на порт, куда продолжается магистраль тегированый порт, а на порты, которые идут к юзерам нетегированные?..

[SaBo]

Да неужели тут никто ни разу vlan'ы не поднимал???

Или вопрос считается слижком тупым и частозадаваемым?..

[Kaban]

Каждому барану - по vlan-у это не правильный подход. vlan-ы в коммутаторах и соответственно интерфейс на котором они терминируются в роутере ресурсы довольно таки ограниченые.

[SaBo]

Ничего не понимаю...

В соседней ветке предлагают до каждого юзера VLan вести, здесь убрать vlan'ы...

[PereIks]

Для юр. лиц это нормально. Для физ.лиц неудобно.

[SaBo]

Для юр. лиц это нормально. Для физ.лиц неудобно.

Почему?

Тогда что удобно?

Как мне тогда осуществлять контроль над действиями пользователей? Ведь не скажешь же юзеру: "на тебе ИП и его не меняй!"

 

И почему на этом форуме все пишут своё мнение как аксиому и не утруждают себя что-либо растолковать. Ну объясните мне ламеру, что делать? И почему

[Kaban]

Если юзеров меньше чем макс. кол-во Vlan-ов поддерживаемых свичем то можно каждому выделить по vlan-у, а когда юзеров много то использование свичей с ACL решает проблемы со сменой айпишника юзерами.

[nording]

По влану на рыло, оно же CVLAN модель - это офигительно правильно и хороши, и оченно полезно, когда дойдет до раздачи по той же сетке мультикастового видео, ip-телефонии и инета, но у CVLAN-модели есть два минуса

1) масштабируемость - 4094 юзеров во всей сетке без q-in-q (чаще гораздо мешьше в зависимости от типа оборудования и грамотности проектирования. обходится эта напасть железом с поддержкой q-in-q в магистрали, что дороже.

2) большие требования к BRAS-ам, на первом этапе (пока без голоса-видео, только инет) пожно обойтись одним-двумя L3-ми свитчами или писюками с linux/bsd.

 

использование свичей с ACL решает проблемы со сменой айпишника юзерами.

не ходите дети в лес. рано или поздно найдутся упыри, которые мак-адреса менять начнуть, сниффить засирая мак-таблицу свитча, и т.п. - вот тут начинается гемор. страшный гемор, потому что сеть уже запущено и переделать на ходу не так то просто.

так что сразу нужно закладываться либо на CVLAN (по влану на юзера) либо на иерархические порт-бейзед влан (HVLAN, они же hierarshical vlan, они же home vlan)

Edited May 5, 2007 by nording

[Дятел]

проблема номер 1, по моему мнению, надумана: 4000 не всего, а в сегменте на одну терминящую железяку.

[SaBo]

проблема номер 1, по моему мнению, надумана: 4000 не всего, а в сегменте на одну терминящую железяку.

+1 я тоже проблемы в этом не увидел. если не прав - поправьте :)

[SaBo]

либо на иерархические порт-бейзед влан (HVLAN, они же hierarshical vlan, они же home vlan)

А от сюда можно по-подробнее?)

По запросам HVLAN, hierarshical vlan яндекс вообще ничего не нашёл, а по home vlan какую-то фигню

 

Кстати, 1 VLan уже удалось поднять.

Вот только он сейчас работал-работал и вдруг затих.

Опять я его поднял, когда на коммутаторе PVID сначала указал 1, а потом опять вернул 2.

х/з, ща буду ещё наблюдать, не упадёт ли...

 

Теперь далее :)

Как VLan'у разрешить только один ИП?

[ilia_2s]

И помойму щас уже железку сделали, где больше юзверей на сегмент. Или я что-то путаю?

[Дятел]

у нас vlan-per-user, терминация на свичах 3550/3560, в настоящий момент под 1000 на максимально нагруженных.

[SaBo]

Кстати, совсем забыл спросить, для каждого VLan'a нужно указывать свой IP или можно "один на всех"?

[ayamb]

проблема номер 1, по моему мнению, надумана: 4000 не всего, а в сегменте на одну терминящую железяку.

Абсолютно здравая мысль. :) Даже могу немного добавить: Для "неигрушечных" роутеров количество выделенных dot1q каналов по EtherNet, равно 4096 умножить на число Eth интерфейсов (Не путать с портами коммутатора 802.1Q). (Просто учавствующие в дискуссии, в основном, представляют сетку, состоящую из одного единственного "главного" аппарата...)

P.S.(IMHO) По теме:

Принципа VLAN_на_пользователя придерживаться можно,.. но, думаю, "бездумно упираться" в него совсем не обязательно.

[SaBo]

Да, чё-то падает у меня VLan :(

Создавал его вот так:

ifconfig vlan0 create inet 192.168.0.1 netmask 255.255.255.0 vlan 2 vlandev rl0

 

Попытался прописать настройки в /etc/rc.conf

ifconfig_vlan0="inet 192.168.0.1 netmask 255.255.255.0 vlan 2 vlandev rl0"

Не получилось :(

[SaBo]

Получилось поднять vlan через rc.conf

 

cloned_interfaces="rl0 vlan0"

ifconfig_vlan0="inet 192.168.0.1 netmask 255.255.255.0 vlan 2 vlandev rl0"

 

осталось теперь засечь время жизни такого vlan'а

[SaBo]

Блин, опять упал :(

 

Сервер мне пишет:

May 6 16:02:39 server kernel: arp: 192.168.0.3 is on rl0 but got reply from 00:0e:a6:4a:09:3c on vlan0

 

Vlan ещё работал

за тем ещё раз написал:

 

May 6 16:12:32 server kernel: arp: 192.168.0.3 is on rl0 but got reply from 00:0e:a6:4a:09:3c on vlan0

и после этого сообщения VLan пропал.

 

Может это сервак вырубает?

 

 

Кстаи, после этого ещё написал:

May 6 16:13:36 server last message repeated 28 times

 

Что означают все эти надписи???

[Kaban]

По влану на рыло, оно же CVLAN модель - это офигительно правильно и хороши, и оченно полезно, когда дойдет до раздачи по той же сетке мультикастового видео, ip-телефонии и инета, но у CVLAN-модели есть два минуса

1) масштабируемость - 4094 юзеров во всей сетке без q-in-q (чаще гораздо мешьше в зависимости от типа оборудования и грамотности проектирования. обходится эта напасть железом с поддержкой q-in-q в магистрали, что дороже.

2) большие требования к BRAS-ам, на первом этапе (пока без голоса-видео, только инет) пожно обойтись одним-двумя L3-ми свитчами или писюками с linux/bsd.

 

использование свичей с ACL решает проблемы со сменой айпишника юзерами.

не ходите дети в лес. рано или поздно найдутся упыри, которые мак-адреса менять начнуть, сниффить засирая мак-таблицу свитча, и т.п. - вот тут начинается гемор. страшный гемор, потому что сеть уже запущено и переделать на ходу не так то просто.

так что сразу нужно закладываться либо на CVLAN (по влану на юзера) либо на иерархические порт-бейзед влан (HVLAN, они же hierarshical vlan, они же home vlan)

Прибить МАК(и) к порту никогда не представляло проблем в отличии от IP. Тот же DLINK 3526 позволяет прибить связку МАК-IP-VLAN к порту, запретить на порту юзера DHCP ответы, и разрешить принимать с порта только правильные ARP ответы и ограничить количестьво бродкастов/мультикастов. Цена решения не более 12$ за порт. И никакого гимороя с упырями.

[nording]

либо на иерархические порт-бейзед влан (HVLAN, они же hierarshical vlan, они же home vlan)

А от сюда можно по-подробнее?)

Если гуглить, то на тему "protected vlan" - это цисковское название для аналогичной концепции.

А вообще все довольно просто. Предположим:

- Есть 5 портов

- порты 1,2,3 - клиентские

- порты 4 и 5 - не клиенты (маршрутизатор, сервер, что-то еще)

- порты 1,2,3 не видят друг друга, но видят 4 и 5

- порты 4 и 5 видят все, включая друг друга.

вот это и есть HVLAN/PVLAN.

Очень удобно для PPPoE - клиенты не сниффят друг друга, не мешают друг другу, даже если сильно захотят, а обмен траффиком между клиентами все равно идет через BRAS. Поэтому эта схема часто используется в DSLAM-ах.

Но нужно понимать, что ни для классической сетки "на дом", ни для прямых IP c сетками /30 на клиента эта схема не годится.

[nording]

Прибить МАК(и) к порту никогда не представляло проблем в отличии от IP. Тот же DLINK 3526 позволяет прибить связку МАК-IP-VLAN к порту, запретить на порту юзера DHCP ответы, и разрешить принимать с порта только правильные ARP ответы и ограничить количестьво бродкастов/мультикастов. Цена решения не более 12$ за порт. И никакого гимороя с упырями.

верно, это единственный выход, если никак не хочется и(или) не можется откзаться от схемы "сеть/vlan на дом". но все равно много потенциально ручной работы саппорту, в том числе лишней, когда клиент меняет сгоревшую сетевуху, приносит домой ноутбук, и т.п.

[SaBo]

Итак, 1 стабильный VLAN поднять удалось.

cloned_interfaces="rl0 vlan0"

ifconfig_vlan0="inet 192.168.0.1 netmask 255.255.255.0 vlan 2 vlandev rl0"

ifconfig_rl0="up"

Теперь попробовал поднять 2-й.

Сначала попробовал так:

 

cloned_interfaces="rl0 vlan0"

ifconfig_vlan0="inet 192.168.0.1 netmask 255.255.255.0 vlan 2 vlandev rl0"

ifconfig_rl0="up"

 

cloned_interfaces="rl0 vlan1"

ifconfig_vlan1="inet 192.168.0.1 netmask 255.255.255.0 vlan 3 vlandev rl0"

ifconfig_rl0="up"

При этом у меня упал vlan0, но поднялся vlan1

 

Потом попробовал вот так:

 

cloned_interfaces="rl0 vlan0"

ifconfig_vlan0="inet 192.168.0.1 netmask 255.255.255.0 vlan 2 vlandev rl0"

ifconfig_rl0="up"

 

cloned_interfaces="vlan0 vlan1"

ifconfig_vlan1="inet 192.168.0.1 netmask 255.255.255.0 vlan 3 vlandev rl0"

ifconfig_rl0="up"

При этом у меня упал vlan1, но поднялся vlan0

 

Пробовал ещё кучу вариантов, но падал либо vlan0, либо vlan1, либо оба.

 

Как правильно настраивать?

[poweruser]

Пробовал ещё кучу вариантов, но падал либо vlan0, либо vlan1, либо оба.

 

Как правильно настраивать?

прям так с одним ip на всех?

[SaBo]

Пробовал ещё кучу вариантов, но падал либо vlan0, либо vlan1, либо оба.

 

Как правильно настраивать?

прям так с одним ip на всех?

Пробовал с 192.168.0.1 vlan0 и 192.168.0.6 vlan1

 

Мне тут сказали, что ВОЗМОЖНО, что в 6.2 версии не надо для каждого vlan'а настраивать свой ИП. Но я всёравно попробовал поставить разные и всёравно ничего не получилось :(