SergDM Опубликовано 22 апреля, 2008 (изменено) · Жалоба //поправлено 23.04 Прочитал статейку в здешнем вики, но остались вопросы (( Итак допустим есть порт в свиче (1) к которому подключен компьютер [1] , и есть порт (2) с компом [2]. Допустим [1] отпраляет пакет на [2], это понятно - свич смотрит мак таблицу, ставит у себя в матрице ставит порт назначения (2) и пакет уходит. Теперь сделаем на этом свиче два порт-бейзед влана, пусть например 1ый влан включает в себя порты (1) и (24) , а 2ой влан - порты (2) и (24), и к 24 порту ничего не подключим. теперь уже [1] не достутчится до [2] - так как свич не сможет найти порт-получатель. (так?) //со слов следующего оратора выяснилось что не так ) А теперь подрубим в порт номер (24) какой-нибудь совершенно тупой и примитивный свич без вланов и прочей лабуды. [1] снова пытается добраться до [2]... тут мне уже не очень понятно... //SPOILER: дальше идет полная чушь: )) Мне это представляется так - свич попытается найти получателя на порту (24) и пошлет туда арп запрос. Тупой свич получит запрос, поищет мак компа [2] у себя и не найдя его таблице отправит этот запрос на все свои порты... Этот запрос вернется обратно на первый свич в порт (24), так как у 24 порта в друзьях есть и первый и второй порты, то свич поищет у себя в арп записи на принадлежность получателя одному из этих портов... Если не найдет - пошлет в них по запросу и поищет еще раз... Получатеть естественно найдется на порту (2), и наш свич радостно сообщит своему "тупому" соседу, что клиент сидит у него. Тупой свич радуется и начинает гнать информацию по тому-же порту обратно (??? или нет?), где она приходя на 24 порт первого свича уйдет ,наконец, на порт номер (2) в соответствии с записью в арп таблице... Тоесть компы смогут общаться, но через обратку на свиче повыше. Так? Или я уже неправильно понял? ) К чему я это спрашиваю.. пусть у меня есть дерево свичей которые сходятся к одному хорошему свичу, имеющему аплинк на инет. какими путями, свичами и прочими технологиями этот аплинк идет до маршрутизатора неизвестно, известно лишь, что не напрямую. Задача: более-менее изолировать юзеров друг от друга.. идеального влан пер клиент тут не выйдет, так как черт его знает как оно до маршрутизатора дойдет.. Тегированные вланы продернуть до граничного свича не проблема, но работать они не будут, так как от маршрутизатора идет нетегированный траффик, и куда его засунуть на входе свич определить не сможет.. Получается, что если сделать порт-бейзд вланы на всем "дереве" и забить во всех участниках маки статично на порты, то связь будет, но уже более-менее контролируемая, так как будет через один порт на граничном свиче, где еще и ацлоок всяких навешать можно будет... Бредни , конечно , редкостные но... хоть так ) А если еще и попробовать выбить прямой влан на маршрутизатор то вообще красота получится - весь траффик будет идти через маршрутизатор и считаться ) (схема подключения описана вот тута http://forum.nag.ru/forum/index.php?showtopic=42665 ) Так ли это? Или я все неправильно понял? //сам вижу, что неправильно.. плиз прочтите пониже!! Изменено 23 апреля, 2008 пользователем SergDM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 22 апреля, 2008 (изменено) · Жалоба М-дя... читал то ли плохо, то ли не то. ...свич смотрит арп таблицуНет у свича (про L3 разговор не идет) arp-таблиц....теперь уже [1] не достутчится до [2] - так как свич не сможет найти порт-получатель. (так?)Нет.upd: невнимательно прочел, для разных vlan утверждение конечно верно, правда не то чтобы не сможет найти (свитч может быть и c SVL-организацией mac-таблицы), просто передавать не станет. P.S>Далее - полная чушь. RTFM с самого начала. Изменено 23 апреля, 2008 пользователем DRiVen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergDM Опубликовано 23 апреля, 2008 · Жалоба Нет у свича (про L3 разговор не идет) arp-таблиц. Неточно выразился сорри. Не арп а мак таблица. Вобщем неважно название - суть в том что это таблица где пишется мак адрес и с какого порта он получен (что осень напомнило мне арп таблицу, тока без ипов )) Прочитал ртфм сначала.)) Толи я совсем дуболомный толи еще чтото но по поводу: ...теперь уже [1] не достутчится до [2] - так как свич не сможет найти порт-получатель. (так?) Нет. могу сказать только, что единственная строка в которой упоминалось об этом, была о том, что "есть модели свичей" которые отправляют кадры с неизвестным ДА на все порты.. Но я же не знаю, как именно дейтствует мой.. -_- Но ладно , я уже писал что это "мое представление", щас попробую представить по другому ): итак два компа во вланах на аплинк, на аплинке висит свитч, первый комп шлет "привет" второму... пришел пакет на (1) - получателя нет.... свич шлет кадр на все порты по влане (на аплинк тоесть) у высшестояшего свича получателя тоже нет, он шлет кадр на все порты кроме входящего.. там никого.. финита ля комедия )) Есть и другой вариант развития этой драмы: пришел пакет на (1) - получателя нет.... свич шлет кадр на все порты вообще... видит получателя на своем же втором порту, забивает на влан, оптравляет.. внутри себя.. а ответить назад уже фиг ) Ну и еще пришел в голову: пришел пакет на (1) - получателя нет.... свич шлет кадр на все порты вообще...видит получателя на другом влане, скрипит зубами... А в это время в далекой-далекой галактике в которую ушел кард отправленный на аплинк находится чтото вроде лупбека и кадр приходит обратно на аплинк первого свича ) тот моментально находит получателя все счастливы и весь обмен идет через "большую космическую петлю"... **** Я хоть примерно близко? ) Подскажите плиз хоть примерную цепочку мышления свитча! А то чтото я уже совсем теряюсь. -_- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vicus Опубликовано 23 апреля, 2008 · Жалоба Для каждого влана ведется своя таблица мак-адресов и соответственно свитч смотрит только ту таблицу, которой принадлежит кадр. При неизвестном маке, кадр отправляется на все порты-участники данного влана, кроме входящего. Соответственно, если на аплинковом порту будет стоять тупой свитч, он сделает то-же самое, отошлет кадр по всем своим портам, кроме того, на который пришел кадр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 23 апреля, 2008 · Жалоба Для каждого влана ведется своя таблица мак-адресов и соответственно свитч смотрит только ту таблицу, которой принадлежит кадрНе думаю... ;-) Вообще, логика (даже со ссылками на источники и блоксхемы) описывалась в паре обзоров в прошлом году. Или даже в позапрошлом. http://nag.ru/2006/0730/0730.shtml Где-то тут и далее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vicus Опубликовано 23 апреля, 2008 · Жалоба Для каждого влана ведется своя таблица мак-адресов и соответственно свитч смотрит только ту таблицу, которой принадлежит кадрНе думаю... ;-) Ну давай не будем влезать в дебри :) Для понимания работы свитча объяснение выше легко для восприятия. Ты же предлагаешь ему влезть в дебри ASIC-ов, памяти и того, кто как ухитряется резать маки и вланы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 23 апреля, 2008 · Жалоба Ну давай не будем влезать в дебри :) Для понимания работы свитча объяснение выше легко для восприятия.Нельзя неправильно объяснять. ;-)Номер вилана - это (как я понимаю) - параметр обрабатываемый уже асиком... Точнее надо смотреть блоксхемы, 2 года прошло, уже все забыл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergDM Опубликовано 23 апреля, 2008 (изменено) · Жалоба Для каждого влана ведется своя таблица мак-адресов и соответственно свитч смотрит только ту таблицу, которой принадлежит кадр. При неизвестном маке, кадр отправляется на все порты-участники данного влана, кроме входящего. Соответственно, если на аплинковом порту будет стоять тупой свитч, он сделает то-же самое, отошлет кадр по всем своим портам, кроме того, на который пришел кадр. Но так как у "тупого свитча" получатель находится как раз на том порту куда пришел кадр, то шансов найти получателя у него мягко говоря маловато.. Получается что у кадра нет шансов "вернуться в туже калитку" и он пропадет совсем? Изменено 23 апреля, 2008 пользователем SergDM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
prohodimec Опубликовано 23 апреля, 2008 · Жалоба Скажу просто. Если порты 1 и 2 изолированы друг от друга и видят только 24й порт, то тупой неуправляемый свитч и даже умный управляемый свитч, висящий на 24м порту - пакет обратно не вернут. То есть если за 24м портом где-нибудь не будет колечка в сети (что сразу же убьёт всю сеть), то 1 и 2 друг друга видеть не будут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergDM Опубликовано 23 апреля, 2008 · Жалоба Скажу просто.Если порты 1 и 2 изолированы друг от друга и видят только 24й порт, то тупой неуправляемый свитч и даже умный управляемый свитч, висящий на 24м порту - пакет обратно не вернут. То есть если за 24м портом где-нибудь не будет колечка в сети (что сразу же убьёт всю сеть), то 1 и 2 друг друга видеть не будут. О! Спасибо! Маршрутизатор будет таким кольцом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
prohodimec Опубликовано 23 апреля, 2008 · Жалоба Скажу просто.Если порты 1 и 2 изолированы друг от друга и видят только 24й порт, то тупой неуправляемый свитч и даже умный управляемый свитч, висящий на 24м порту - пакет обратно не вернут. То есть если за 24м портом где-нибудь не будет колечка в сети (что сразу же убьёт всю сеть), то 1 и 2 друг друга видеть не будут. О! Спасибо! Маршрутизатор будет таким кольцом? Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик. Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergDM Опубликовано 23 апреля, 2008 (изменено) · Жалоба Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик. Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности. Ох.. Вопрос уже выходит за рамки темы, но всеже... Дело в том, что пользователи имеют белые адреса, и маршрутизатор через который они выходят, насколько я знаю (он чужой и внутрь не пускают), имеет один статичный роут "выплевывая" траффик на маршрутизатор вышестоящего провайдера. Мне бы хотелось чтобы пользователи могли общаться друг с другом - но только через маршрутизатор (чтобы траффик считался). Такое ведь возможно? Изменено 23 апреля, 2008 пользователем SergDM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
prohodimec Опубликовано 23 апреля, 2008 · Жалоба Через маршрутизатор они будут работать только в том случае, если их подсети не пересекаются. То есть, например, если у пользователя на 1м порту: IP - 217.100.100.2 маска 255.255.255.252 шлюз 217.100.100.1 на 2м: IP - 217.100.100.6 маска 255.255.255.252 шлюз 217.100.100.5 и так далее - то они будут общаться друг с другом через маршрутизатор. Если, например, так: IP - 217.100.100.2 маска 255.255.255.0 шлюз 217.100.100.1 IP - 217.100.100.6 маска 255.255.255.0 шлюз 217.100.100.1 то маршрутизатор участвовать в процессе не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergDM Опубликовано 23 апреля, 2008 · Жалоба 2prohodimec: огромное спасибо, теперь все понятно ) Буду тогда думать в другие стороны ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 23 апреля, 2008 · Жалоба разделение в схеме [свитч port-based-vlans]-[тупой свитч]-[всё что угодно] обойти довольно просто - достаточно прописать себе статик arp-запись машины из другого port-based vlan и всё. Трафик будет ходить напрямую из порта источника в порт назначения через тупой свитч. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sirco Опубликовано 23 апреля, 2008 · Жалоба Некоторое уточнения - так сказать начало песни .... Изначально : IP-езернет протокол не знает какой мак адрес у порта с данным IP адресом в связи с этим комп бросает в сеть бродкастовый езернет пакет - ARP запрос этот бродкастовый пакет транслируеться свичем на все разрешенные порты и получив ответ а этим ответным пакетом настраиваеться МАК таблица свича а дальше идет согласно информации уже приведенным письмах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaa Опубликовано 24 апреля, 2008 (изменено) · Жалоба Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик. Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности. Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси" Изменено 24 апреля, 2008 пользователем kaa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_user_ Опубликовано 24 апреля, 2008 · Жалоба Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик. Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности. Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси" Да но тогда они ВСЕ равно будут работать через РОУТЕР, в чем фишка ? В разрастании arp на хосте ? Не зависимо есть arp-proxy нет его, при наличии роутера на привязи, изоляция определяется РОУТЕРОМ ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaa Опубликовано 24 апреля, 2008 (изменено) · Жалоба Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик. Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности. Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси" Да но тогда они ВСЕ равно будут работать через РОУТЕР, в чем фишка ? В разрастании arp на хосте ? Не зависимо есть arp-proxy нет его, при наличии роутера на привязи, изоляция определяется РОУТЕРОМ ;) Фишка в возможности выделения абоненту одного реального адреса. а не четырех.Ответ был на вопрос топикстартера - Дело в том, что пользователи имеют белые адреса, и маршрутизатор через который они выходят, насколько я знаю (он чужой и внутрь не пускают), имеет один статичный роут "выплевывая" траффик на маршрутизатор вышестоящего провайдера. Мне бы хотелось чтобы пользователи могли общаться друг с другом - но только через маршрутизатор (чтобы траффик считался). Такое ведь возможно? ПС. Не понял почему будет "разрастание arp на хосте" ? один IP - один МАК как и без арп-прокси. Изменено 24 апреля, 2008 пользователем kaa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_user_ Опубликовано 24 апреля, 2008 · Жалоба Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик. Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности. Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси" Да но тогда они ВСЕ равно будут работать через РОУТЕР, в чем фишка ? В разрастании arp на хосте ? Не зависимо есть arp-proxy нет его, при наличии роутера на привязи, изоляция определяется РОУТЕРОМ ;) Фишка в возможности выделения абоненту одного реального адреса. а не четырех.Ответ был на вопрос топикстартера - Дело в том, что пользователи имеют белые адреса, и маршрутизатор через который они выходят, насколько я знаю (он чужой и внутрь не пускают), имеет один статичный роут "выплевывая" траффик на маршрутизатор вышестоящего провайдера. Мне бы хотелось чтобы пользователи могли общаться друг с другом - но только через маршрутизатор (чтобы траффик считался). Такое ведь возможно? ПС. Не понял почему будет "разрастание arp на хосте" ? один IP - один МАК как и без арп-прокси. Понимаете я как бы предполагаю что собеседник понимает как работает arp-proxy :) Если это не так, то для это существует документация. Экономия адресации в данном случае не лучший выход! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaa Опубликовано 24 апреля, 2008 · Жалоба Понимаете я как бы предполагаю что собеседник понимает как работает arp-proxy :) Если это не так, то для это существует документация.Ну приблизительно понимает :) Перечитывать документацию лень, поэтому собрал "маленький" стендик и эксплуатирую его не первый год :)Просто не понятен Ваш термин - "разрастание arp на хосте", вот и попросил его разъяснить. Что будет разрастаться - таблица arp на компьютере пользователя, трафик генерируемый arp-протоколом, или еще что то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
prohodimec Опубликовано 25 апреля, 2008 (изменено) · Жалоба Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси"А теперь научимся читать всю тему, а не только понравившиеся кусочки :)Дело в том, что пользователи имеют белые адреса, и маршрутизатор через который они выходят, насколько я знаю (он чужой и внутрь не пускают), имеет один статичный роут "выплевывая" траффик на маршрутизатор вышестоящего провайдера. Изменено 25 апреля, 2008 пользователем prohodimec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaa Опубликовано 26 апреля, 2008 · Жалоба А теперь научимся читать всю тему, а не только понравившиеся кусочки :)Согласен, не внимательно прочел :)Но предложенная Вами схема (каждого пользователя в свою подсеть), тоже требует изменений таблицы маршрутизации на "чужом" рутере. :( Как выход, можно поставить между сетью и "чужим" рутером "свой", и делать на нем все что угодно - хоть айпи-сеть на юзера, хоть арп-прокси поднимай. Можно и тегировать пакеты на нем, и забыть про кривой порт-бейзед влан :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
prohodimec Опубликовано 8 мая, 2008 · Жалоба Согласен, не внимательно прочел :)Но предложенная Вами схема (каждого пользователя в свою подсеть), тоже требует изменений таблицы маршрутизации на "чужом" рутере. :( Как выход, можно поставить между сетью и "чужим" рутером "свой", и делать на нем все что угодно - хоть айпи-сеть на юзера, хоть арп-прокси поднимай. Можно и тегировать пакеты на нем, и забыть про кривой порт-бейзед влан :) Ну, я просто имел в виду, что если провайдер уже раздаёт адреса подсетками до каждого - то проблем не будет.А про свой маршрутизатор в разрыве - тоже мысль интересная :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...