[Sewa]

Такая ситуация, хотим в сети организовывать VLAN на клиента. На дом будем ставить железяку 2 уровня умеющую держать Vlan. Дальше этот вилан тянем на сервер или центральный свитч района. Вот что непонятно как будут между собой маршрутизироватся виланы.? подскажите в какую сторону копать, что почитать. Токма желательно на русском.)

 

я так понял по форуму возможно спокойно поставить в центр циску 6500 и рулить 4000 влан т.е. 4000 пользователей

 

И еще если можно сложности после построения данной схемы в сети сможем ли мы организовать в локалке общение друг с другом компов. просто через центр, но с более низкими скоростями. как в обычной локалке.

[ftech]

Можно создать 4000 VLAN`s это не значит только 4000 пользователей..

 

VLAN (Virtual Local-Area Network) – это одна из функций Fast Ethernet. VLAN позволяет изменять конфигурацию сети, объединять пользователей в отдельные рабочие группы, определять доступные сегменты для отдельно взятого порта. VLAN дает возможность значительно оптимизировать работу локальной сети за счет разгрузки отдельных ее сегментов от "лишнего" трафика. С помощью VLAN можно еще контролировать и эффективно подавлять широковещательные штормы, которые в больших сетях иногда останавливают работу целых сегментов. Несомненным плюсом VLAN является еще и то, что эта функция способна объединять нескольких портов (до 4) в один единый канал (называется транк), скорость работы которого увеличивается пропорционально количеству объединенных портов. С помощью технологии VLAN обычно создаются рабочие группы. Пользователи одной рабочей группы не могут получить доступ к данным другой группы, потому что каждая VLAN – это закрытая и логически определенная группа. Так что VLAN – это еще и безопасность.

Что подразумевалось под словом "общение"?

И еще если можно сложности после построения данной схемы в сети сможем ли мы организовать в локалке общение друг с другом компов

[Sewa]

Общение значит просто как обычно пользователь один создает игру скажем

другой к ней коннектит и оба играют. Просто что бы они не скажем 10/100 мб

использовали внутри а только 1-2. Или просто один пользователь другому через

чат скинул фильм. Тот же комфорт передает файлы между собой по адресам компутеров

сможет ли он тогда передать файл?

 

[ftech]

))))

Ставь кошку и заним ставь фряху...

Фряха для того чтоб резать канал, как ты говоришь.

Хотя и на самой "железке" можешь это организовать...

 

Учти то что, если клиенты лежат не в одном VLAN, они окажутся изолированными друг от друга.. Так что потребуется МАРШРУТИЗАЦИЯ!

 

NortelBPS-450 + FreeBSD ))) простой совет!.

[Sewa]

Вот я и спрашиваю. Какая железяка может разрулить Vlan. Надо правильно организовать Vlan на клиента. А как это правильно сделать не в курсе. Прошу совета.

 

Основная цель

-есть пользователи которым нужен только инет

-есть пользователи которые берут инет и локалку

-есть пользователи которые берут локалку

-есть пользователи которые берут каналы

 

хотим все это реализовать с помощью маршрутизации виланов, но как точно это сделать никто еще не сказал

[Heggi]

Подобная проблема...

Пока один из вариантов прорабатываю: роутер под линухой, VLAN'ы локальщиков объединить в мост, одна подсеть, vlanы остальных - собственные подсети.

[maxiq]

вилан на клиента.

L2 коммутатор на дом.

4948/6524 на узел - развиланивать клиентов.

 

Разве бывает по другому?

[Heggi]

это все хорошо... суть-то в том, что надо, чтобы клиенты разных VLANов были в одной подсети, как будто они просто воткнуты в обычный хаб!

[vIv]

это все хорошо... суть-то в том, что надо, чтобы клиенты разных VLANов были в одной подсети, как будто они просто воткнуты в обычный хаб!

Это противоречит изначальной идее.

 

Для маршрутизации между VLAN на большинстве L3 коммутаторов нужно или не запрещать, или просто разрешить маршрутизацию между ними.

[Heggi]

Почему противоречит? VLAN посути это виртуальный канал, который терминируется на роутере/L3 свитче. А я хочу эти виртуальные провода некоторых клиентов воткнуть в виртуальный свитч с фильтрацией, чтобы клиенты могли видеть друг друга по определенным протоколам, но не имели возможности перехватывать друг у друга трафик или перепродавать инет внутри сети. А остальных клиентов (которым локалка не нужна) не включать в этот виртуальный свитч.

[Nafanya]

Почему противоречит? VLAN посути это виртуальный канал, который терминируется на роутере/L3 свитче. А я хочу эти виртуальные провода некоторых клиентов воткнуть в виртуальный свитч с фильтрацией, чтобы клиенты могли видеть друг друга по определенным протоколам, но не имели возможности перехватывать друг у друга трафик или перепродавать инет внутри сети. А остальных клиентов (которым локалка не нужна) не включать в этот виртуальный свитч.

ну тогда тех, кому нужна локалка пихайте в один вилан всех, остальным по 1 вилану.

[azazello]

Почему противоречит? VLAN посути это виртуальный канал, который терминируется на роутере/L3 свитче.

Вы хотели сказать маршрутизируется на роутере/L3 свитче

А я хочу эти виртуальные провода некоторых клиентов воткнуть в виртуальный свитч с фильтрацией, чтобы клиенты могли видеть друг друга по определенным протоколам, но не имели возможности перехватывать друг у друга трафик или перепродавать инет внутри сети. А остальных клиентов (которым локалка не нужна) не включать в этот виртуальный свитч.

Что то странное вы придумали. Если уж вы даёте клиентам L2 порт то зачем каждому вилан? Детишки не смогут гамать в некоторые игрушки. Рубите с помощью ACL всё что хотите порубить прям на порту у клиента. Весь мусор там отсеивайте. Прибейте к порту IP-MAC и не будут воровать трафик. А перепродавать инет вы врятли сможете запретить, разве что все входящие порты запретите :)

Локальщиков в одну подсеть засуньте и будут они играться без проблем. Остальных в другую подсеть или уже им по вилану.

[ftech]

Почему противоречит? VLAN посути это виртуальный канал, который терминируется на роутере/L3 свитче. А я хочу эти виртуальные провода некоторых клиентов воткнуть в виртуальный свитч с фильтрацией, чтобы клиенты могли видеть друг друга по определенным протоколам, но не имели возможности перехватывать друг у друга трафик или перепродавать инет внутри сети. А остальных клиентов (которым локалка не нужна) не включать в этот виртуальный свитч.

=) тебе нужно только создать 2 VLAN и на одну сделать одну подсетку 192.168.0/24 откудов рашрешен и интернет и локалка на другую 192.168.1/24, и на второй подсетке запрети NetBios, будет тебе счастье!..

Полюбому тебе не обойтись без стенки.

[Andrеw]

Такая ситуация, хотим в сети организовывать VLAN на клиента. На дом будем ставить железяку 2 уровня умеющую держать Vlan. Дальше этот вилан тянем на сервер или центральный свитч района. Вот что непонятно как будут между собой маршрутизироватся виланы.? подскажите в какую сторону копать, что почитать. Токма желательно на русском.)

 

я так понял по форуму возможно спокойно поставить в центр циску 6500 и рулить 4000 влан т.е. 4000 пользователей

Можно поставить по одному 3560 на агрегацию и на нем поднять до 1000 VLAN, на один район его хватит. Ограничить доступ к локалке для тех, кому она не нужна с помощью ACL. В таком случае в центре можно будет обойтись простым L2 свитчем.

Изменено 22 июля, 2008 пользователем Andrеw

[Sewa]

а есть схема реализации vlan на клиента с полным управлением, особенно скажем со скоростью доступа к сети. что бы ограничивать можно было пользователей. Не просто не пускать или пускать

[Andrеw]

а есть схема реализации vlan на клиента с полным управлением, особенно скажем со скоростью доступа к сети. что бы ограничивать можно было пользователей. Не просто не пускать или пускать

что значит с "полным управлением" ?

не вижу смысла ограничивать скорость доступа к локалке. скорость доступа к интернету нужно ограничивать совсем в другом месте, на вышестоящем маршрутизаторе.

 

[user_anonymous]

Общение значит просто как обычно пользователь один создает игру скажем

другой к ней коннектит и оба играют.

Пользователи в разных виланах смогут видеть друг-друга только по L3. тоесть если один пользователь создал у себя игру, то второй, чтобы к ней подключиться, должен будет выполнить коннект на его ИП-адрес. Функция автоматического поиска серверов в локалке работать скорее всего не будет. И тут возникает ряд проблем:

1. Не все пользователи знают, что такое IP-адрес. Потребуется ликбез в этом направлении.

2. Не все игры имеют возможность коннекта на определенный IP (например CounterStrike такую возможность имеет, а FreeLancer - нет (что впрочем неудивительно, если вспомнить, кто его делал))

 

Просто что бы они не скажем 10/100 мб

использовали внутри а только 1-2.

А вот это - бред. Зачем ограничивать скорость локала? Для прокорма конкурентов? Виланы надо терминировать на L3 свичах, а хороший L3 свич прожует 100 мегабит и не подавится.

 

Или просто один пользователь другому через

чат скинул фильм. Тот же комфорт передает файлы между собой по адресам компутеров

сможет ли он тогда передать файл?

Не знаю насчет чата (имхо кидать через них фильмы - бред), но вот между ФТП - серверами обмениваться можно будет на ура. Надо просто научить своих юзверей ими пользоваться и выложить в общий доступ какой-либо более-менее приличный виндовый ФТП с подробнейшей инструкцией для настройки.

 

Вообще, если посмотреть на сеть такого типа, то можно выделить следующие отличительные особенности:

+ клиенты очень надежно изолированы друг от друга, что затрудняет вредоносное воздействие одних клиентов на других, значительно снижает вирусную активность и повышает устойчивость сети к разного рода оказиям типа бродкастовых чатов и вирусных эпидемий.

+ клиенты очень надежно привязаны к своим сетям, что делает невозможным подмену адресов и облегчает вычисление нарушителей

+ терминирование виланов и маршрутизация между ними имеют очень малые накладные расходы. Для предоставления анлимных каналов достаточно иметь настроенный шэйпер на внутреннем интерфейсе роутера. Мало того, подобная схема позволяет легко организовать сеть с QoS и отличной утилизацией полосы.

+ клиенту не требуется ничего у себя настраивать, решительно и бесповоротно решается проблема утери и кражи логинов/паролей и отсутствия мозгов у отдельных клиентов.

 

- клиенты очень надежно изолированы друг от друга, что затрудняет взаимодействие между ними, особенно при использовании криво написанного ПО.

- для добавления/удаления/включения/отключения клиентов могут потребоваться дополнительные телодвижения, связанные с перенастройкой оборудования. Сеть такого типа мало подходит для перенастроек.

- при разбивке адресного пространства значительное количество IP - адресов теряется впустую. Тоесть желательно иметь сеть на серых адресах.

- сеть такого типа малопригодна для динамического назначения IP - адресов из пула, тоесть вам потребуется либо НАТ, либо очень много белых ИП (по числу клиентов).

[Sewa]

ага спасибо

можно немного уточнений

 

-вообще возомжно ли будет резать скорость пользователям скажем на узоловом l3, нам этот вопрос важен

-обмен файлами скажем через торренты возможен будет в такой сети? или дс?

[Andrеw]

-вообще возомжно ли будет резать скорость пользователям скажем на узоловом l3, нам этот вопрос важен

Нет.

Если так хочется резать локалку, то это можно делать на клиентском порту

 

-обмен файлами скажем через торренты возможен будет в такой сети? или дс?

возможны и торренты и DC

[Sewa]

итак небольшой подытог того что я все таки тут навичитывал в форуме

 

-на дом ставим л2 свитч, любой с поддрежкой 802.1q

-объединяем это все л2 железякой, пробрасываем вилан до узла, любой свитч держащий данное количество виланов

-на узел ставим железяку подороже что то по аналогии с 6500 сериий

 

и что надо подключить к 6500 как было написано на наге, что бы получить шейпер или еще какую резалку

скоростей пользователя, в вилане. те на доступ к локалке ...

 

 

возможно ли реализовать схему?

делаем вилан на клиента по порту, привязываем порт к маку, выдаем клиенту серый адрес

на выходе из дома снимаем все теги, остаются адреса пользователей (на отдельный дом подсеть)

дальше это все собираем л2 свитчем в отдельный вилан на дом и пробрасываем до узла. дальше уже

маршрутизирум с помощью адресов и вилано, этим мы уменьшим виланы которые надо будет пробросить до узла и вроде бы как изолируем пользователей между собой...

 

если я не прав поправьте, я в этих делах еще не очень понимаю )

Изменено 23 июля, 2008 пользователем Sewa

[Nallien]

уфффффффф......... как все не просто....

 

едва понимаю что вы хотите сделать, хотите сэкономить количество виланов доходящее до ядра (ака 6500) ? ну если не в даваться в крайности типа двойных виланов - то вам нужно не одно ядра а два например ) тоесть два 6500 OSPF и.... собственно все... но раз уж вы решили пойти отнюдь не дешевым путем и давать вилан на клиента (надеюсь это не какой-нить пластиковый длинк???? типа dir-100 со свитчевой прошивкой????) то тогда - ну ладно хотите обрезать скорость внутри сети - пожалуйста.... но надо понимать что виланы - это не виртуальные каналы - это виртуальные сети! тоесть как ни крути а бродкастовый трафик (который отвечает за работу некоторых чатов, и игр и без которого, соответственно они работать не будут) между подсетями не маршрутизируется. возможно и есть способы, вот только сети бъют на сегменты как раз в том числе и для того что бы от бродкаста избавиться...

 

-на дом ставим л2 свитч, любой с поддрежкой 802.1q

-объединяем это все л2 железякой, пробрасываем вилан до узла, любой свитч держащий данное количество виланов

-на узел ставим железяку подороже что то по аналогии с 6500 сериий

 

а вот тут нет... объединить (сиречь агрегировать!!!) виланы л2 не умеет разумными путями. если вы хотите транковы (тегированые) порты подать на л2 аксессом (нетегировано) а дальше их запихнуть в другой вилан............. уфффффф чур меня - чур....

 

короче говоря - для сети на 4000 человеков вам надо любое железо л2 (умеющее вилан, и желательно ацл - но это совсем не обязательно) на уровне доступа и хорошее железо л3 в центре (умеющее шефпить и АЦЛить по виланам).

 

хотите 8000 абонентов? ну добавьте еще одно л3 в центр и настройте маршрутизацию\агрегацию с соседним л3 - оспф тому как раз и надо, к примеру.

 

хотите больше ? - да просто добавляйте л3. это самый простой способ (хотя и потенциально не корректный).

Изменено 23 июля, 2008 пользователем Nallien

[azazello]

делаем вилан на клиента по порту, привязываем порт к маку, выдаем клиенту серый адрес

Зачем каждому вилан?

на выходе из дома снимаем все теги, остаются адреса пользователей (на отдельный дом подсеть)

Без тегов вам нужен Л3. В этом случае собирайте дом (пару домов) по виланам (на каждого) на Л3 свитч, такие Л3 железки завязывайте по OSPF между собой.

дальше это все собираем л2 свитчем в отдельный вилан на дом и пробрасываем до узла. дальше уже

маршрутизирум с помощью адресов и вилано, этим мы уменьшим виланы которые надо будет пробросить до узла и вроде бы как изолируем пользователей между собой...

безсмысслица.

Вам же уже подсказали как минимум 2 варианта.

 

Сделайте проще. Побейте сеть на подсети класса С. Забиндите всем мак-ип на порту. Кому локалка не нужна ограничивайте скорость сразу на порту. Там же и мусор с помощью ACL прибейте. Кому нужна локалка ограничивайте выход в инет на центральном маршрутизаторе (linux - cbq например) там же и НАТ организовать можно.

Не городите сложных схем, потом будет тяжело это обслуживать.

[Sewa]

уфффффффф......... как все не просто....

да есть такая темка ) но оченно надо шейпить или рейтметить пользователя по его vilan id.

пробрасывать вилан будем до узла, там и обрабатывать ...

вот чем подскажите еще? из железа можно это сделать ? (помимо 6500 я так думаю )

[user_anonymous]

Привязка МАК-Порт нафиг не нужна в схеме вилан на клиента. Забудьте про нее как про страшный сон. Клиент привязывается к своей сети. Попробует сменить ИП и хрен уйдет дальше ближайшего Л3 :)

 

По хорошему в свиче желательно иметь еще ACL, дабы резать на порту вирусню.

 

Без ОСФП и т.п. в центре можно прекрасно обойтись, если к каждой из железяк давать сети из своего поддиапазона. Тогда достаточно иметь на одной из железок статический маршрут до другой (1 штуку). Например за первой железкой сидят люди из 172.16.бла.бла, а за второй - из 172.17.бла.бла, и .т.п.

 

Выкиньте идею ограничивать локальный трафик из головы - это бред, если у вас сеть не на радио конечно :) В крайнем случае, выставьте на порту у клиента 10 мегабит.

Изменено 23 июля, 2008 пользователем user_anonymous

[Nafanya]

Без ОСФП и т.п. в центре можно прекрасно обойтись, если к каждой из железяк давать сети из своего поддиапазона. Тогда достаточно иметь на одной из железок статический маршрут до другой (1 штуку). Например за первой железкой сидят люди из 172.16.бла.бла, а за второй - из 172.17.бла.бла, и .т.п.

это серые адреса удобно, а если белые за отдельную плату? уже сложнее..