2bit Posted September 19, 2008 Posted September 19, 2008 Решили построить новый сигмент по новой схеме. Выделить VLAN на пользователя. Все VLAN маршрутизировать на L3, чтобы видели друг друга. На L3 поднять DHCP чтобы выдовал конкетному VLAN свой IP. Решено было давать полную подсеть /24 на VLAN тоесть на пользователя. Вот вопрос какой красоты выдавать пользователями IP, какую маску ставить, какой шлюз? Вот подумывали так: Маску: /24 IP: 10.8.4.1 у другого пользователя 10.8.5.1 и т.д. Шлюз: 10.8.4.254 у другого пользователя 10.8.5.254 и т.д. Как покрасивее зделать? Вставить ник Quote
mschedrin Posted September 19, 2008 Posted September 19, 2008 А зачем пользователям по /24 сети? Вставить ник Quote
2bit Posted September 19, 2008 Author Posted September 19, 2008 А чтобы самим не запутаться. А есть другие варианты,чтобы по красоте было? Вставить ник Quote
UglyAdmin Posted September 19, 2008 Posted September 19, 2008 Есть, по IPшнику в вилан. Правда, не всякий L3-свитч это умеет... Вставить ник Quote
edgars Posted September 19, 2008 Posted September 19, 2008 /24 na juzera?????? Tovarish u vas tam neskoljko /8 setok imejetsa? na homnikov /30 ili jescho ludshe /32 tojestj pppoe zavesti, menjshe problem budet s domashnimi hax0r4m1 Вставить ник Quote
Sergey Shubin Posted September 20, 2008 Posted September 20, 2008 А в чем прикол "красоты"??? ;) Думаю лучше выдавать IP по options82 и обьединять на агрегации все пользовательские VLAN в Supervlan через arp-proxy. Многие L3 железки это умеют. Вставить ник Quote
Andrеw Posted September 20, 2008 Posted September 20, 2008 Многие L3 железки это умеют. Это какие например? Вставить ник Quote
edgars Posted September 20, 2008 Posted September 20, 2008 Многие L3 железки это умеют.Это какие например? D-Link ;) Вставить ник Quote
rapsody Posted September 20, 2008 Posted September 20, 2008 А в чем прикол "красоты"??? ;)Думаю лучше выдавать IP по options82 и обьединять на агрегации все пользовательские VLAN в Supervlan через arp-proxy. Многие L3 железки это умеют. Не все коммутаторы умеют options82. У нас вот стоит много nortel 450. Хорошие коммутаторы, еще бы умели opt82 - так цены бы не было ;) И вот никак понять не могу зачем на L3 объединять пользовательские vlanы в еще один ? У меня наоборот vlan терминируются и с L3 уходят в ядро безо всяких вланов. Вставить ник Quote
2bit Posted September 21, 2008 Author Posted September 21, 2008 Думаю лучше выдавать IP по options82 А если пользователь поставит свой IP какой ему вздумается, как защетиться от этого? Вставить ник Quote
SmokerMan Posted September 21, 2008 Posted September 21, 2008 Думаю лучше выдавать IP по options82А если пользователь поставит свой IP какой ему вздумается, как защетиться от этого? У ДЛинка есть на это dhcp_snooping, коммутатор подслушивает какой адрес выдан, и создает acl запрещающую пользоваться на этот порте другими адресами. Вставить ник Quote
Sergey Shubin Posted September 21, 2008 Posted September 21, 2008 А в чем прикол "красоты"??? ;)Думаю лучше выдавать IP по options82 и обьединять на агрегации все пользовательские VLAN в Supervlan через arp-proxy. Многие L3 железки это умеют. Не все коммутаторы умеют options82. У нас вот стоит много nortel 450. Хорошие коммутаторы, еще бы умели opt82 - так цены бы не было ;) И вот никак понять не могу зачем на L3 объединять пользовательские vlanы в еще один ? У меня наоборот vlan терминируются и с L3 уходят в ядро безо всяких вланов. Для того, чтобы экономить IP интерфейсы на L3 агрегаторе- их как правило не хватает :) Думаю лучше выдавать IP по options82А если пользователь поставит свой IP какой ему вздумается, как защетиться от этого? Нормальные свичи доступа ДОЛЖНЫ уметь DHCP_relay+snooping+op82+IP_source_guard. Иначе нахрен вообще ставить управляемое железо на доступ?... Вставить ник Quote
Дятел Posted September 21, 2008 Posted September 21, 2008 Когда VLAN на юзера, то пофигу, что умеют свичи, так как выдача по op82 осуществляется по VLAN, а не по порту. Железка, которая потянет терминацию до 1000 VLAN - циска 3550. Всё, что дешевле - нахлебаетесь. Вставить ник Quote
2bit Posted September 21, 2008 Author Posted September 21, 2008 Хз есть ли на ZyXEL L2 snooping? там даже ACL вроде нет. А посеть /24 на пользователя не жалко ибо у нас далеко не наберётся 254 коммутатора (такое кол-во весь город наш покроет). Один L3 будет терменировать максимум 240VLAN. И хотим сразу инет пустить, чтобы через шлюз шел. Типа пользователь воткнул кабель и ВСЁ. А то что такая большая подсеть на клиента, то это пригодится, может подключить до 250 устройств в доме. Вставить ник Quote
edgars Posted September 21, 2008 Posted September 21, 2008 Хз есть ли на ZyXEL L2 snooping? там даже ACL вроде нет. А посеть /24 на пользователя не жалко ибо у нас далеко не наберётся 254 коммутатора (такое кол-во весь город наш покроет). Один L3 будет терменировать максимум 240VLAN. И хотим сразу инет пустить, чтобы через шлюз шел. Типа пользователь воткнул кабель и ВСЁ. А то что такая большая подсеть на клиента, то это пригодится, может подключить до 250 устройств в доме. /24 na klienta eto bred!! Za iskljuchenijem jesli eto zhirnij jurik s boljshim hozjaistvom. A skoljko u vas tam v domah kvartir? Вставить ник Quote
2bit Posted September 21, 2008 Author Posted September 21, 2008 /24 na klienta eto bred!! Za iskljuchenijem jesli eto zhirnij jurik s boljshim hozjaistvom. A skoljko u vas tam v domah kvartir?Ну почему бред? Дома всякие бывают (в среднем девятиэтажка с 3мя подъездами).Ну какие минусы при выдачи по /24? Вставить ник Quote
SmokerMan Posted September 21, 2008 Posted September 21, 2008 Кто в лес, кто по дрова... Сначала /24 пользователю, потом /24 на дом... Вставить ник Quote
Sergey Shubin Posted September 21, 2008 Posted September 21, 2008 Когда VLAN на юзера, то пофигу, что умеют свичи, так как выдача по op82 осуществляется по VLAN, а не по порту.Железка, которая потянет терминацию до 1000 VLAN - циска 3550. Всё, что дешевле - нахлебаетесь. Ну если про мультикаст и VOIP забыть навсегда, то может быть и пофигу что умеют свичи на доступе... Вставить ник Quote
edgars Posted September 21, 2008 Posted September 21, 2008 /24 na klienta eto bred!! Za iskljuchenijem jesli eto zhirnij jurik s boljshim hozjaistvom. A skoljko u vas tam v domah kvartir?Ну почему бред? Дома всякие бывают (в среднем девятиэтажка с 3мя подъездами).Ну какие минусы при выдачи по /24? schitaite kvartiri a ne podjezdi, mozhet vsjotaki /25 hvatit ? a to kakto ne verju shto vse kvartiri budut juzatj vash net. A jescho ludshe podlkjuchajem po pppoe. Вставить ник Quote
2bit Posted September 21, 2008 Author Posted September 21, 2008 (edited) Дык на доме мы не расчитываем что будет больше 24 клиентов на дом. Сейчас PPPoE, но сервер не проворачивает внутри сетеой трафик. Edited September 21, 2008 by 2bit Вставить ник Quote
edgars Posted September 21, 2008 Posted September 21, 2008 ... но сервер не проворачивает внутри сетеой трафик. v smisle ne provorachivajet? Вставить ник Quote
user_anonymous Posted September 22, 2008 Posted September 22, 2008 ИМХО 24 на пользователя - это уж слишком. Реально нужно выдавать сетку /30 или, что на мой взгляд лучше, /29 При таком раскладе у вас на дом вцелом будет уходить сетка /24 - тут уж трудно запутаться :) Вставить ник Quote
2bit Posted September 22, 2008 Author Posted September 22, 2008 Дык если подсеть делить, то тогда получается что её максимум можно разбить на 8частей. Или я не прав? Вставить ник Quote
edgars Posted September 22, 2008 Posted September 22, 2008 Дык если подсеть делить, то тогда получается что её максимум можно разбить на 8частей. Или я не прав? neprav. 64 setki jesli po /30 Вставить ник Quote
2bit Posted September 22, 2008 Author Posted September 22, 2008 neprav. 64 setki jesli po /30 А поподробней можно? Пример приведите 4х человек. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.