[Megas]

Заметил на графиках, пользователи нашли дырку, подозревал что есть, но проверить не было возможности.

 

Свичи, каждый в своём vlan, все vlan сходятся на сервере, все vlan интерфейсы сходятся в один br0, используется одно общее адрессное пространство.

На свичах включен traffic segmentation, но судя по графику видно что один из пользователей качал с другого через разные свичи, тем самым юзая что все vlan в бридже.

 

Вопрос простой:

как можно запретить им общаться между собой, но дать доступ в интернет?

 

bridge name     bridge id               STP enabled     interfaces
br0             8000.001b21afe56d       no              eth1.1029
                                                       eth1.1028
                                                       eth1.1027
                                                       eth1.1026
                                                       eth1.1025
                                                       eth1.1024
                                                       eth1.1023
                                                       eth1.1022
                                                       eth1.1021
#

Изменено 23 ноября, 2011 пользователем Megas

[vitalyb]

ebtables -A FORWARD --logical-in br0 --logical-out br0 -j DROP

[Ivan_83]

Запретить на порту коммутатора воткнутого в сервер=мост прохождение всех маков, кроме мака сервера в строну клиентов.

[Abram]

Не сунуть все vlan в один bridge. Нахрена они тогда вообще нужны?

[apm]

Не сунуть все vlan в один bridge. Нахрена они тогда вообще нужны?

да, очень интересно. цель?

 

мы сделали бридж, помогите как сделать так как будто бриджа нет.

[Megas]

Не сунуть все vlan в один bridge. Нахрена они тогда вообще нужны?

 

ну суть наверное в том чтобы использовать одно адресное пространство для большой сети.

свичи 10 портовые, смысл для них нарезать сетки по /28, когда можно просто, первый порт первого свича 1.11, 8-й порт, 1.18, на втором свиче 1.21.

[SiXeD]

делаю также но с районов

bridge name     bridge id               STP enabled     interfaces
sw1             8000.001122334455       yes             eth2
                                                       eth3
                                                       eth4
                                                       eth5
                                                       eth6
                                                       eth7
                                                       eth8
                                                       eth9

режу их

shaper ~ # ebtables -L
Bridge chain: FORWARD, entries: 3, policy: ACCEPT
-o eth5 -j ACCEPT
-i eth5 -j ACCEPT
-j DROP

[NiTr0]

ну суть наверное в том чтобы использовать одно адресное пространство для большой сети.

У вас сеть не влазит целиком в 10.0.0.0/8 + прочие серые подсети?

Кстати, накой ограничивать общение пользователей между собой, объясните? Контроллировать - да, блокировать должников - да, резать для всех - бред ИМХО. Мы наоборот стараемся по возможности закольцевать траффик внутри сети.

[Megas]

резать для всех - бред ИМХО

Разные свичи, петя берет пакет в 4 мегабита, вася берет в 20мегабит.

так как они находятся в одном мосту и шейпер стоит не между ними, а за ними, то они могут спокойно общаться между собой вплоть до скорости внутренних каналов.

что мешает васе взять пакет в 80 мегабит и через тонель отдать 60мегабит пете?

 

жаль сейчас стенд собрать не на чем чтобы откатать все варианты.

Изменено 24 ноября, 2011 пользователем Megas

[st_re]

Что мешает Васе кинуть к Пете витухи и свести задачу к

что мешает васе взять пакет в 80 мегабит и через тонель отдать 60мегабит пете?

 

?

 

Тореншик Вася скачал сериал "моя страшная уборщица" и раздает его. И юзер Гриша будет снова лить все это фуфло с интернета ?

[NiTr0]

так как они находятся в одном мосту

Накой мост, помойку организовывать?

 

что мешает васе взять пакет в 80 мегабит и через тонель отдать 60мегабит пете?

Грамотная тарифная политика и прямые руки админа. Как минимум - Пете должно быть невыгодно брать инет (падучий, с тормозами из-за торрентоводов и т.п.) у Васи и + платить вам за мин. пакет. Вторично уже - обнаружение факта перепродажи, борьба с предприимчивыми юзерами "силовыми" методами (что кстати не рекомендую) и т.п.

 

Иначе - как уже говорили, протянут свои кабели и организуют колхоз, не спрашивая вас.

Изменено 25 ноября, 2011 пользователем NiTr0

[Alex/AT]

А зачем мост? IP на loopback не вариант?

Изменено 26 ноября, 2011 пользователем Alex/AT

[Megas]

Вариант, и он расматривался с самого начала, но когда дошло до того а как потом прописать роут на целый пучок из 8-и портов чтобы не делать 1000 записей по /32 пришли к тому что пока проще гонять через bridge, а по мере роста и изучения отдельных моментов менять архитектуру.

Все равно сейчас все кроме pppoe сервера вращается через один шлюз на centos. Как наберем абон базу более 300чел примерно, то будем докупать пару железок на i7 и уже там молотить и делать все что надо.

[GFORGX]

Вариант, и он расматривался с самого начала, но когда дошло до того а как потом прописать роут на целый пучок из 8-и портов чтобы не делать 1000 записей по /32 пришли к тому что пока проще гонять через bridge, а по мере роста и изучения отдельных моментов менять архитектуру.

Чем проще? У меня до 9к таких /32 между роутерами на линуксе в ядре бегает - никаких проблем, а вы про тысячу какую-то. Плюс можете организовать на линуксе аналог dhcp static routes а-ля Cisco, в принципе, я думаю, минимальными костылями.