nessat Posted October 30, 2008 Posted October 30, 2008 Конструирую схему "ВЛАН-на-юзера", на доступе простенькие свичики, умеющие VLAN. От каждого из них выходят все ВЛАНы (ну, видимо тегированные) того дома. И идут в район, да. В районе думаю поставить L3, в который все эти штук 20 "домовых" втыкаются (в каждом штук по 10 ВЛАНов с дома). Соответственно он должен уметь ну штук 255 ВЛАНов. Так вот, чтобы юзер мог использовать только "свой" IP, на L3 необходимо обрезать на каждом ВЛАНе "чужие" (не его) IPшники. То есть что-то типа ACL или тому подобное. Не так давно тов. IvanI высказался так: п.с. на des-3526 прибивается юзер к порту так:разрешить на порту арп запрс/ответ от мака и ип юзера к ип пространству сегмента разрешить дхцп запрос от мака юзера и ипа 0.0.0.0 запретить траф на вирусные порты разрешить траф от ип и мака юзера запретить все Теперь вопрос. Rapier 24i: он что-то такое может или нет? (повторюсь, на ВЛАНах, а не на портах) Нарыл всякие от него доки - про hardware и прочие. А вот про software - нету. Всякие release notes про software есть, а самого нету. Один знакомый сказал, что для Rapier48i есть какие-то команды FIREWALL POLICY, FIREWALL INTERFACE... и т.п. Видимо и для 24i тоже самое. Вот тока может ли он фаерволить на ВЛАНе - не знает. Подскажите, кто в курсе. Или может какой другой свичик, из недорогих. Вставить ник Quote
nessat Posted October 30, 2008 Author Posted October 30, 2008 (edited) Подскажите, кто в курсе. Или может какой другой свичик, из недорогих.Извиняюсь, но в названии темы несколько "ошибся", а как отредактировать - не знаю. Смысл в том, что не обязательно AT, можно бы и другие - нужен минимальный функционал (разрешать только "свой/свои" IPшники на каждый ВЛАН), без особых "наворотов", чтоб за минимальные бабки. Хотел бы узнать кто чем пользуется. Edited October 30, 2008 by nessat Вставить ник Quote
Telesis Posted October 30, 2008 Posted October 30, 2008 Теперь вопрос. Rapier 24i: Может только 32ip -interface. Вставить ник Quote
Stak Posted October 30, 2008 Posted October 30, 2008 Теперь вопрос. Rapier 24i: Может только 32ip -interface. А что сможет много ip -interface за небольшие деньги (кроме цисок)? И с SFP портами ? И стабильно работающее? И хорошо бы ещё чтоб аналог ip unnumbered on SVI был, дабы /32 выдавать на юзера... Вставить ник Quote
nessat Posted October 31, 2008 Author Posted October 31, 2008 (edited) Теперь вопрос. Rapier 24i:Может только 32ip -interface. Не просветите ли, что из этого следует практически? Обязательно понадобиться по одному ip-interface в каждый VLAN? Edited November 2, 2008 by nessat Вставить ник Quote
Stak Posted October 31, 2008 Posted October 31, 2008 Не в курсе как на телесине сделано, но в общем, для того чтобы пакет из определённого влан маршрутизировался в другой в этом влане должен быть ип-интерфейс. И адрес этого интерфейса должен быть шлюзом для клиента. Т.е. для схемы влан на юзера вам интерфейсов не хватит. А тот пример что вы привели относится скорее к обеспечению фильтрации пакетов. Вставить ник Quote
UglyAdmin Posted October 31, 2008 Posted October 31, 2008 Т.е. для схемы влан на юзера вам интерфейсов не хватит. Некоторые производители изгаляются - вводят всякие супер виланы и прочие агрегирующие возможности. В этом случае IP-интерфейсов много не надо... Вставить ник Quote
nessat Posted October 31, 2008 Author Posted October 31, 2008 ...для того чтобы пакет из определённого влан маршрутизировался в другой в этом влане должен быть ип-интерфейс. И адрес этого интерфейса должен быть шлюзом для клиента....А тот пример что вы привели относится скорее к обеспечению фильтрации пакетов. Спасибо, усёк, теперь всё сошлось. Некоторые производители изгаляются - вводят всякие супер виланы и прочие агрегирующие возможности. В этом случае IP-интерфейсов много не надо...Поясняющий примерчик не подкинете? Вставить ник Quote
UglyAdmin Posted October 31, 2008 Posted October 31, 2008 Да хоть private vlan у циски, только настоящий, у 4500/6500. Каждый юзер в своём вилане, а IP-интерфейс один на довольно много. Встречал подобное и у Extreme и уже не помню у кого... Вставить ник Quote
Stak Posted October 31, 2008 Posted October 31, 2008 Т.е. при использовании этой фичи на циске например юзеры в разных private-vlan не смогут между собой обшаться до тех пор пока proxy-arp не включишь на SVI-интерфейсе, я правильно понимаю? Вставить ник Quote
nessat Posted October 31, 2008 Author Posted October 31, 2008 (edited) Возвращаясь к теме, какая железка умеет больше 32-х ip интерфейсов? АТ-8848? Где-то тут встречал упоминание, что у cisco 3550 может быть до 1000 svi (вроде как - тех самых). Так чо, только циски такое могут? Edited November 2, 2008 by nessat Вставить ник Quote
Telesis Posted October 31, 2008 Posted October 31, 2008 9812T - 64ip 9924,x900 - 4Kip Вставить ник Quote
Stak Posted October 31, 2008 Posted October 31, 2008 9812T - 64ip9924,x900 - 4Kip ip unnumbered на них нету, так что придётся выдавать /30 на пользователя... По поводу x900 этим вопросом интнресовался у телесина - ответили мол не планируем. Вставить ник Quote
ingress Posted October 31, 2008 Posted October 31, 2008 9812T - 64ip9924,x900 - 4Kip ip unnumbered на них нету, так что придётся выдавать /30 на пользователя... По поводу x900 этим вопросом интнресовался у телесина - ответили мол не планируем. этого только не хватает :( Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.