Перейти к содержимому
Калькуляторы

Разъясните, пожалуйста, про логику свичей

//поправлено 23.04

 

Прочитал статейку в здешнем вики, но остались вопросы ((

 

Итак допустим есть порт в свиче (1) к которому подключен компьютер [1] , и есть порт (2) с компом [2].

 

Допустим [1] отпраляет пакет на [2], это понятно - свич смотрит мак таблицу, ставит у себя в матрице ставит порт назначения (2) и пакет уходит.

 

Теперь сделаем на этом свиче два порт-бейзед влана, пусть например 1ый влан включает в себя порты (1) и (24) , а 2ой влан - порты (2) и (24), и к 24 порту ничего не подключим. теперь уже [1] не достутчится до [2] - так как свич не сможет найти порт-получатель. (так?) //со слов следующего оратора выяснилось что не так )

 

А теперь подрубим в порт номер (24) какой-нибудь совершенно тупой и примитивный свич без вланов и прочей лабуды.

 

[1] снова пытается добраться до [2]... тут мне уже не очень понятно...

 

//SPOILER: дальше идет полная чушь: ))

Мне это представляется так - свич попытается найти получателя на порту (24) и пошлет туда арп запрос.

Тупой свич получит запрос, поищет мак компа [2] у себя и не найдя его таблице отправит этот запрос на все свои порты...

Этот запрос вернется обратно на первый свич в порт (24), так как у 24 порта в друзьях есть и первый и второй порты, то свич поищет у себя в арп записи на принадлежность получателя одному из этих портов... Если не найдет - пошлет в них по запросу и поищет еще раз... Получатеть естественно найдется на порту (2), и наш свич радостно сообщит своему "тупому" соседу, что клиент сидит у него.

Тупой свич радуется и начинает гнать информацию по тому-же порту обратно (??? или нет?), где она приходя на 24 порт первого свича уйдет ,наконец, на порт номер (2) в соответствии с записью в арп таблице... Тоесть компы смогут общаться, но через обратку на свиче повыше. Так? Или я уже неправильно понял? )

 

К чему я это спрашиваю.. пусть у меня есть дерево свичей которые сходятся к одному хорошему свичу, имеющему аплинк на инет. какими путями, свичами и прочими технологиями этот аплинк идет до маршрутизатора неизвестно, известно лишь, что не напрямую.

 

Задача: более-менее изолировать юзеров друг от друга.. идеального влан пер клиент тут не выйдет, так как черт его знает как оно до маршрутизатора дойдет..

Тегированные вланы продернуть до граничного свича не проблема, но работать они не будут, так как от маршрутизатора идет нетегированный траффик, и куда его засунуть на входе свич определить не сможет..

 

Получается, что если сделать порт-бейзд вланы на всем "дереве" и забить во всех участниках маки статично на порты, то связь будет, но уже более-менее контролируемая, так как будет через один порт на граничном свиче, где еще и ацлоок всяких навешать можно будет... Бредни , конечно , редкостные но... хоть так ) А если еще и попробовать выбить прямой влан на маршрутизатор то вообще красота получится - весь траффик будет идти через маршрутизатор и считаться ) (схема подключения описана вот тута http://forum.nag.ru/forum/index.php?showtopic=42665 )

 

Так ли это? Или я все неправильно понял? //сам вижу, что неправильно.. плиз прочтите пониже!!

Изменено пользователем SergDM

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

М-дя... читал то ли плохо, то ли не то.

...свич смотрит арп таблицу
Нет у свича (про L3 разговор не идет) arp-таблиц.
...теперь уже [1] не достутчится до [2] - так как свич не сможет найти порт-получатель. (так?)
Нет.

upd: невнимательно прочел, для разных vlan утверждение конечно верно, правда не то чтобы не сможет найти (свитч может быть и c SVL-организацией mac-таблицы), просто передавать не станет.

 

P.S>Далее - полная чушь. RTFM с самого начала.

Изменено пользователем DRiVen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет у свича (про L3 разговор не идет) arp-таблиц.

Неточно выразился сорри. Не арп а мак таблица. Вобщем неважно название - суть в том что это таблица где пишется мак адрес и с какого порта он получен (что осень напомнило мне арп таблицу, тока без ипов ))

 

Прочитал ртфм сначала.)) Толи я совсем дуболомный толи еще чтото но по поводу:

 

...теперь уже [1] не достутчится до [2] - так как свич не сможет найти порт-получатель. (так?)

Нет.

могу сказать только, что единственная строка в которой упоминалось об этом, была о том, что "есть модели свичей" которые отправляют кадры с неизвестным ДА на все порты..

Но я же не знаю, как именно дейтствует мой.. -_- Но ладно , я уже писал что это "мое представление", щас попробую представить по другому ):

 

итак два компа во вланах на аплинк, на аплинке висит свитч, первый комп шлет "привет" второму...

 

пришел пакет на (1) - получателя нет.... свич шлет кадр на все порты по влане (на аплинк тоесть) у высшестояшего свича получателя тоже нет, он шлет кадр на все порты кроме входящего.. там никого.. финита ля комедия ))

 

Есть и другой вариант развития этой драмы:

 

пришел пакет на (1) - получателя нет.... свич шлет кадр на все порты вообще... видит получателя на своем же втором порту, забивает на влан, оптравляет.. внутри себя.. а ответить назад уже фиг )

 

Ну и еще пришел в голову:

 

пришел пакет на (1) - получателя нет.... свич шлет кадр на все порты вообще...видит получателя на другом влане, скрипит зубами... А в это время в далекой-далекой галактике в которую ушел кард отправленный на аплинк находится чтото вроде лупбека и кадр приходит обратно на аплинк первого свича ) тот моментально находит получателя все счастливы и весь обмен идет через "большую космическую петлю"...

 

****

 

 

Я хоть примерно близко? ) Подскажите плиз хоть примерную цепочку мышления свитча! А то чтото я уже совсем теряюсь. -_-

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для каждого влана ведется своя таблица мак-адресов и соответственно свитч смотрит только ту таблицу, которой принадлежит кадр. При неизвестном маке, кадр отправляется на все порты-участники данного влана, кроме входящего. Соответственно, если на аплинковом порту будет стоять тупой свитч, он сделает то-же самое, отошлет кадр по всем своим портам, кроме того, на который пришел кадр.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для каждого влана ведется своя таблица мак-адресов и соответственно свитч смотрит только ту таблицу, которой принадлежит кадр
Не думаю... ;-)

 

Вообще, логика (даже со ссылками на источники и блоксхемы) описывалась в паре обзоров в прошлом году. Или даже в позапрошлом.

http://nag.ru/2006/0730/0730.shtml

Где-то тут и далее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для каждого влана ведется своя таблица мак-адресов и соответственно свитч смотрит только ту таблицу, которой принадлежит кадр
Не думаю... ;-)

Ну давай не будем влезать в дебри :) Для понимания работы свитча объяснение выше легко для восприятия. Ты же предлагаешь ему влезть в дебри ASIC-ов, памяти и того, кто как ухитряется резать маки и вланы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну давай не будем влезать в дебри :) Для понимания работы свитча объяснение выше легко для восприятия.
Нельзя неправильно объяснять. ;-)

Номер вилана - это (как я понимаю) - параметр обрабатываемый уже асиком... Точнее надо смотреть блоксхемы, 2 года прошло, уже все забыл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для каждого влана ведется своя таблица мак-адресов и соответственно свитч смотрит только ту таблицу, которой принадлежит кадр. При неизвестном маке, кадр отправляется на все порты-участники данного влана, кроме входящего. Соответственно, если на аплинковом порту будет стоять тупой свитч, он сделает то-же самое, отошлет кадр по всем своим портам, кроме того, на который пришел кадр.

Но так как у "тупого свитча" получатель находится как раз на том порту куда пришел кадр, то шансов найти получателя у него мягко говоря маловато.. Получается что у кадра нет шансов "вернуться в туже калитку" и он пропадет совсем?

Изменено пользователем SergDM

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скажу просто.

Если порты 1 и 2 изолированы друг от друга и видят только 24й порт, то тупой неуправляемый свитч и даже умный управляемый свитч, висящий на 24м порту - пакет обратно не вернут.

То есть если за 24м портом где-нибудь не будет колечка в сети (что сразу же убьёт всю сеть), то 1 и 2 друг друга видеть не будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скажу просто.

Если порты 1 и 2 изолированы друг от друга и видят только 24й порт, то тупой неуправляемый свитч и даже умный управляемый свитч, висящий на 24м порту - пакет обратно не вернут.

То есть если за 24м портом где-нибудь не будет колечка в сети (что сразу же убьёт всю сеть), то 1 и 2 друг друга видеть не будут.

О! Спасибо!

Маршрутизатор будет таким кольцом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скажу просто.

Если порты 1 и 2 изолированы друг от друга и видят только 24й порт, то тупой неуправляемый свитч и даже умный управляемый свитч, висящий на 24м порту - пакет обратно не вернут.

То есть если за 24м портом где-нибудь не будет колечка в сети (что сразу же убьёт всю сеть), то 1 и 2 друг друга видеть не будут.

О! Спасибо!

Маршрутизатор будет таким кольцом?

Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик.

 

Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик.

 

Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности.

Ох.. Вопрос уже выходит за рамки темы, но всеже...

Дело в том, что пользователи имеют белые адреса, и маршрутизатор через который они выходят, насколько я знаю (он чужой и внутрь не пускают), имеет один статичный роут "выплевывая" траффик на маршрутизатор вышестоящего провайдера.

 

Мне бы хотелось чтобы пользователи могли общаться друг с другом - но только через маршрутизатор (чтобы траффик считался). Такое ведь возможно?

Изменено пользователем SergDM

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Через маршрутизатор они будут работать только в том случае, если их подсети не пересекаются.

 

То есть, например, если у пользователя на 1м порту:

IP - 217.100.100.2

маска 255.255.255.252

шлюз 217.100.100.1

 

на 2м:

IP - 217.100.100.6

маска 255.255.255.252

шлюз 217.100.100.5

 

и так далее - то они будут общаться друг с другом через маршрутизатор.

 

Если, например, так:

 

IP - 217.100.100.2

маска 255.255.255.0

шлюз 217.100.100.1

 

 

IP - 217.100.100.6

маска 255.255.255.0

шлюз 217.100.100.1

 

то маршрутизатор участвовать в процессе не будет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2prohodimec: огромное спасибо, теперь все понятно )

 

Буду тогда думать в другие стороны )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

разделение в схеме [свитч port-based-vlans]-[тупой свитч]-[всё что угодно]

обойти довольно просто - достаточно прописать себе статик arp-запись машины из другого port-based vlan и всё. Трафик будет ходить напрямую из порта источника в порт назначения через тупой свитч.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Некоторое уточнения - так сказать начало песни ....

 

Изначально :

 

IP-езернет протокол не знает какой мак адрес у порта с данным IP адресом

в связи с этим комп бросает в сеть бродкастовый езернет пакет - ARP запрос

 

этот бродкастовый пакет транслируеться свичем на все разрешенные порты

и получив ответ

а этим ответным пакетом настраиваеться МАК таблица свича

 

а дальше идет согласно информации уже приведенным письмах

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик.

 

Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности.

Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси"
Изменено пользователем kaa

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик.

 

Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности.

Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси"

Да но тогда они ВСЕ равно будут работать через РОУТЕР, в чем фишка ? В разрастании arp на хосте ?

Не зависимо есть arp-proxy нет его, при наличии роутера на привязи, изоляция определяется РОУТЕРОМ ;)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик.

 

Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности.

Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси"

Да но тогда они ВСЕ равно будут работать через РОУТЕР, в чем фишка ? В разрастании arp на хосте ?

Не зависимо есть arp-proxy нет его, при наличии роутера на привязи, изоляция определяется РОУТЕРОМ ;)

Фишка в возможности выделения абоненту одного реального адреса. а не четырех.

Ответ был на вопрос топикстартера -

Дело в том, что пользователи имеют белые адреса, и маршрутизатор через который они выходят, насколько я знаю (он чужой и внутрь не пускают), имеет один статичный роут "выплевывая" траффик на маршрутизатор вышестоящего провайдера.

 

Мне бы хотелось чтобы пользователи могли общаться друг с другом - но только через маршрутизатор (чтобы траффик считался). Такое ведь возможно?

ПС. Не понял почему будет "разрастание arp на хосте" ? один IP - один МАК как и без арп-прокси.

Изменено пользователем kaa

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только если пользователи будут в разных подсетях, между которыми маршрутизатор будет маршрутизировать трафик.

 

Потому что если пользователи в одном сегменте (в одной подсети) - они должны обмениваться трафиком напрямую, а когда порты изолированы - они лишаются такой возможности.

Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси"

Да но тогда они ВСЕ равно будут работать через РОУТЕР, в чем фишка ? В разрастании arp на хосте ?

Не зависимо есть arp-proxy нет его, при наличии роутера на привязи, изоляция определяется РОУТЕРОМ ;)

Фишка в возможности выделения абоненту одного реального адреса. а не четырех.

Ответ был на вопрос топикстартера -

Дело в том, что пользователи имеют белые адреса, и маршрутизатор через который они выходят, насколько я знаю (он чужой и внутрь не пускают), имеет один статичный роут "выплевывая" траффик на маршрутизатор вышестоящего провайдера.

 

Мне бы хотелось чтобы пользователи могли общаться друг с другом - но только через маршрутизатор (чтобы траффик считался). Такое ведь возможно?

ПС. Не понял почему будет "разрастание arp на хосте" ? один IP - один МАК как и без арп-прокси.

Понимаете я как бы предполагаю что собеседник понимает как работает arp-proxy :) Если это не так, то для это существует документация.

Экономия адресации в данном случае не лучший выход!

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Понимаете я как бы предполагаю что собеседник понимает как работает arp-proxy :) Если это не так, то для это существует документация.
Ну приблизительно понимает :) Перечитывать документацию лень, поэтому собрал "маленький" стендик и эксплуатирую его не первый год :)

Просто не понятен Ваш термин - "разрастание arp на хосте", вот и попросил его разъяснить. Что будет разрастаться - таблица arp на компьютере пользователя, трафик генерируемый arp-протоколом, или еще что то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если пользователи изолированны друг от друга вланами, то ни чего не мешает поднять на рутере "арп-прокси"
А теперь научимся читать всю тему, а не только понравившиеся кусочки :)
Дело в том, что пользователи имеют белые адреса, и маршрутизатор через который они выходят, насколько я знаю (он чужой и внутрь не пускают), имеет один статичный роут "выплевывая" траффик на маршрутизатор вышестоящего провайдера.
Изменено пользователем prohodimec

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А теперь научимся читать всю тему, а не только понравившиеся кусочки :)
Согласен, не внимательно прочел :)

Но предложенная Вами схема (каждого пользователя в свою подсеть), тоже требует изменений таблицы маршрутизации на "чужом" рутере. :(

Как выход, можно поставить между сетью и "чужим" рутером "свой", и делать на нем все что угодно - хоть айпи-сеть на юзера, хоть арп-прокси поднимай. Можно и тегировать пакеты на нем, и забыть про кривой порт-бейзед влан :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Согласен, не внимательно прочел :)

Но предложенная Вами схема (каждого пользователя в свою подсеть), тоже требует изменений таблицы маршрутизации на "чужом" рутере. :(

Как выход, можно поставить между сетью и "чужим" рутером "свой", и делать на нем все что угодно - хоть айпи-сеть на юзера, хоть арп-прокси поднимай. Можно и тегировать пакеты на нем, и забыть про кривой порт-бейзед влан :)

Ну, я просто имел в виду, что если провайдер уже раздаёт адреса подсетками до каждого - то проблем не будет.

А про свой маршрутизатор в разрыве - тоже мысль интересная :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.