stormbird Опубликовано 15 февраля, 2012 · Жалоба Посоветуйте опытные люди решение для изолирования абонентов друг от друга на уровне l2. Схема следующая DHCP relay стоит на свичах агрегации. Абоненты каждого свича агрегации находятся в одном бродкаст домене. Нужно оптимальное решение для изоляции абонентов на втором уровне. заранее благодарен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tester-str Опубликовано 15 февраля, 2012 · Жалоба Функция изоляции по портам, очевидно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 15 февраля, 2012 · Жалоба traffic segmentation, или дробить на вланы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stormbird Опубликовано 15 февраля, 2012 (изменено) · Жалоба Функция изоляции по портам, очевидно. Если вы имеете ввиду аналог циски port protect то он действует локально т е абоненты в одном влане на одном свиче будут изолированы но на разных свичах нет. Изменено 15 февраля, 2012 пользователем stormbird Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 15 февраля, 2012 · Жалоба VLAN на свич + traffic segmentation ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stormbird Опубликовано 15 февраля, 2012 · Жалоба traffic segmentation, или дробить на вланы по подробней пожалуйста Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andy_999 Опубликовано 15 февраля, 2012 · Жалоба Самый надежный способ, на мой взгляд, qinq - влан на пользователя. Схема простая, влан на пользователя, 1 внешний влан на дом. Протестировано на длинках, des-3200 серия на доступе, dgs-3120 на дистрибьюции. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stormbird Опубликовано 15 февраля, 2012 · Жалоба VLAN на свич + traffic segmentation ? это как получается для каждого свича доступа создавать l3 интерфейс на свиче агрегации + dhcp pool ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stormbird Опубликовано 15 февраля, 2012 · Жалоба Самый надежный способ, на мой взгляд, qinq - влан на пользователя. Схема простая, влан на пользователя, 1 внешний влан на дом. Протестировано на длинках, des-3200 серия на доступе, dgs-3120 на дистрибьюции. а почему именно на дом, нельзя ли влан на пользователя и 1 вшешний влан на свич агрегации ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 15 февраля, 2012 · Жалоба все будет зависеть только от вас, вендора ваших железок и их возможностей. направление в котором копать, вам указали. лопату в руки... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 15 февраля, 2012 · Жалоба Самый надежный способ, на мой взгляд, qinq - влан на пользователя. я бы дополнил и самый геморройный если у вас зоопарк из разновендорного железа и кучи моделей и разных версий прошивок... а почему именно на дом, нельзя ли влан на пользователя и 1 вшешний влан на свич агрегации ? эээ влан в влане.. то есть в одном влане получиться 4094 вланов (всего 16760836 если не ошибаюсь) как хошь так и распределяй.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 15 февраля, 2012 · Жалоба >Если вы имеете ввиду аналог циски port protect то он действует локально т е абоненты в одном влане на одном свиче будут изолированы но на разных свичах нет. Вовсе нет. Если сегментировать аккуратно все порты на всех свичах до самого верха - то все будет сегментировано. У меня так и сделано. Но есть одна засада. IPv6 broadcast. Не на всех свичах он поддается сегментации/фильтрации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 15 февраля, 2012 · Жалоба >Если вы имеете ввиду аналог циски port protect то он действует локально т е абоненты в одном влане на одном свиче будут изолированы но на разных свичах нет. Вовсе нет. Если сегментировать аккуратно все порты на всех свичах до самого верха - то все будет сегментировано. У меня так и сделано. Но есть одна засада. IPv6 broadcast. Не на всех свичах он поддается сегментации/фильтрации. На Длинках, точно на 3528, возможно и на других, просто не проявляется, igmp не поддается сегментации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 15 февраля, 2012 · Жалоба VLAN на свич + traffic segmentation ? это как получается для каждого свича доступа создавать l3 интерфейс на свиче агрегации + dhcp pool ? В первом приближении - да. Ну а дальше, все зависит от возможностей вашего железа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andy_999 Опубликовано 15 февраля, 2012 · Жалоба а почему именно на дом, нельзя ли влан на пользователя и 1 вшешний влан на свич агрегации ? Можно, но тогда на свитчи доступа будет уникальный конфиг и придется отслеживать чтобы вланы на свитчах не повторялись. В моем случае конфиг будет стандартный, залил и все, напутать сложно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 16 февраля, 2012 · Жалоба эээ влан в влане.. то есть в одном влане получиться 4094 вланов (всего 16760836 если не ошибаюсь) как хошь так и распределяй.. на каком монстре собираетесь терминировать столько вланов ? если 65хх умеет 4096 вланов - q-q позволит доставить N вланов через 1 промежуточный влан. но никак не сделает вам 16 мильЁнов int vlan. из пункта А в пункт Б отправляем 100 вланов через 9 влан на агрегации A. vlan 100-200 ->сворачиваем коммутаторы где есть только vlan9 -> Б. разворачиваем vlan 100-200 на каждого абонента отдельным вланом не сильно то и напасешься. если вы на доме включаете traffic-segm и на каждый дом у вас приходят разные вланы -изоляция гарантирована. на 3550 есть swi protected . на 65хх такой команды нет - либо портбазед влан, либо полноценные разные вланы на каждом порту в сторону доступа. слышал про схему - в разные порты выдаются одинаковые наборы вланов - но разные подсети . при том что суп2 не умеет АЦЛ на порт схема не кажется надежной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svenk Опубликовано 17 февраля, 2012 · Жалоба VLAN + ACL Оптимальный вариант Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
it Опубликовано 17 февраля, 2012 · Жалоба >Если вы имеете ввиду аналог циски port protect то он действует локально т е абоненты в одном влане на одном свиче будут изолированы но на разных свичах нет. Вовсе нет. Если сегментировать аккуратно все порты на всех свичах до самого верха - то все будет сегментировано. У меня так и сделано. На исходной схеме кольцо, поэтому только сегментацией не обойтись. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...