Jump to content

Изолирование абонентов на l2 уровне

stormbird
 Share

Recommended Posts

stormbird

stormbird

Posted
Posted

Посоветуйте опытные люди решение для изолирования абонентов друг от друга на уровне l2.

Схема следующая

 

a94e03f5fb3a.jpg

 

DHCP relay стоит на свичах агрегации. Абоненты каждого свича агрегации находятся в одном бродкаст домене. Нужно оптимальное решение для изоляции абонентов на втором уровне.

заранее благодарен

stormbird

stormbird

Posted
  • Author
Posted (edited)

Функция изоляции по портам, очевидно.

Если вы имеете ввиду аналог циски port protect то он действует локально т е абоненты в одном влане на одном свиче будут изолированы но на разных свичах нет.

Edited by stormbird
Andy_999

Andy_999

Posted
Posted

Самый надежный способ, на мой взгляд, qinq - влан на пользователя. Схема простая, влан на пользователя, 1 внешний влан на дом. Протестировано на длинках, des-3200 серия на доступе, dgs-3120 на дистрибьюции.

stormbird

stormbird

Posted
  • Author
Posted

Самый надежный способ, на мой взгляд, qinq - влан на пользователя. Схема простая, влан на пользователя, 1 внешний влан на дом. Протестировано на длинках, des-3200 серия на доступе, dgs-3120 на дистрибьюции.

а почему именно на дом, нельзя ли влан на пользователя и 1 вшешний влан на свич агрегации ?

mukca

mukca

Posted
Posted
Самый надежный способ, на мой взгляд, qinq - влан на пользователя.

я бы дополнил и самый геморройный если у вас зоопарк из разновендорного железа и кучи моделей и разных версий прошивок...

 

а почему именно на дом, нельзя ли влан на пользователя и 1 вшешний влан на свич агрегации ?

эээ влан в влане.. то есть в одном влане получиться 4094 вланов (всего 16760836 если не ошибаюсь) как хошь так и распределяй..

Ivan Rostovikov

Ivan Rostovikov

Posted
Posted

>Если вы имеете ввиду аналог циски port protect то он действует локально т е абоненты в одном влане на одном свиче будут изолированы но на разных свичах нет.

 

Вовсе нет.

Если сегментировать аккуратно все порты на всех свичах до самого верха - то все будет сегментировано. У меня так и сделано.

Но есть одна засада. IPv6 broadcast. Не на всех свичах он поддается сегментации/фильтрации.

h1vs2

h1vs2

Posted
Posted

>Если вы имеете ввиду аналог циски port protect то он действует локально т е абоненты в одном влане на одном свиче будут изолированы но на разных свичах нет.

 

Вовсе нет.

Если сегментировать аккуратно все порты на всех свичах до самого верха - то все будет сегментировано. У меня так и сделано.

Но есть одна засада. IPv6 broadcast. Не на всех свичах он поддается сегментации/фильтрации.

На Длинках, точно на 3528, возможно и на других, просто не проявляется, igmp не поддается сегментации.

StSphinx

StSphinx

Posted
Posted

VLAN на свич + traffic segmentation ?

это как получается для каждого свича доступа создавать l3 интерфейс на свиче агрегации + dhcp pool ?

 

В первом приближении - да. Ну а дальше, все зависит от возможностей вашего железа.

Andy_999

Andy_999

Posted
Posted

а почему именно на дом, нельзя ли влан на пользователя и 1 вшешний влан на свич агрегации ?

Можно, но тогда на свитчи доступа будет уникальный конфиг и придется отслеживать чтобы вланы на свитчах не повторялись. В моем случае конфиг будет стандартный, залил и все, напутать сложно...

kf72

kf72

Posted
Posted
эээ влан в влане.. то есть в одном влане получиться 4094 вланов (всего 16760836 если не ошибаюсь) как хошь так и распределяй..

на каком монстре собираетесь терминировать столько вланов ?

если 65хх умеет 4096 вланов - q-q позволит доставить N вланов через 1 промежуточный влан.

но никак не сделает вам 16 мильЁнов int vlan.

 

из пункта А в пункт Б отправляем 100 вланов через 9 влан на агрегации

 

A. vlan 100-200 ->сворачиваем коммутаторы где есть только vlan9 -> Б. разворачиваем vlan 100-200

на каждого абонента отдельным вланом не сильно то и напасешься.

 

если вы на доме включаете traffic-segm и на каждый дом у вас приходят разные вланы -изоляция гарантирована.

на 3550 есть swi protected . на 65хх такой команды нет - либо портбазед влан, либо полноценные разные вланы на каждом порту в сторону доступа.

 

слышал про схему - в разные порты выдаются одинаковые наборы вланов - но разные подсети . при том что суп2 не умеет АЦЛ на порт схема не кажется надежной.

it

it

Posted
Posted

>Если вы имеете ввиду аналог циски port protect то он действует локально т е абоненты в одном влане на одном свиче будут изолированы но на разных свичах нет.

 

Вовсе нет.

Если сегментировать аккуратно все порты на всех свичах до самого верха - то все будет сегментировано. У меня так и сделано.

На исходной схеме кольцо, поэтому только сегментацией не обойтись.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.