kf72 Опубликовано 29 марта, 2012 (изменено) · Жалоба Здравствуйте! на доступе коммутаторы умеют только влан. влан на абонента понравился, 4к вланов не хватает. взлетит ли такая схема..? пример на 2 дома терминирую вланы на 6509 суп2 на циске прописываю на интерфейс влан 3 или более адреса (второй и так далее secondary) маска /30 например vlan 101 10.20.0.1 10.20.1.1 sec 10.20.2.1 sec vlan 102 10.20.0.5 10.20.1.5 10.20.2.5 и т.д. на dhcp сервере (там же) указываю подсети и дефаульт роуты - отрабатывает корректно. доступ настраиваю так : все коммутаторы узла одинаково с 1 по 24 порт вланы 101 - 124 на узле (длинк 3028, 3200 ) делаю ацл на порт в сторону доступа1 - разрешаю сеть 10.20.0.х /24 в сторону доступа2 -> 10.20.1.0 /24 и т.д. собрал на столе - если прописываю статикой - работает, но по dhcp адрес клиент не получает. добавил в permit адрес dhcp сервера - не помогло. ацл делал как написано тут http://www.dlink.ru/ru/faq/62/236.html жизнеспособна ли схема? что делаю не так? насколько АЦЛ будут грузить агрегацию? из плюсов - экономия влан и однотипность настроек доступа вокруг одного узла. заранее благодарю за конструктивные советы Изменено 29 марта, 2012 пользователем kf72 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 29 марта, 2012 · Жалоба Очень странная какая-то схема. Не проще ли сделать на циске ip unumbered + vlan на дом. А на глинках traffic segmentation. Преимущества : 1. На циске однотипная конфигурация вланов. 2. Вланов хватит на долго. 2. На доступе однотипная конфигурация коммутаторов 3. Абонент изолирован до ядра, как и в случае с vlan per user. Минусы: Что бы абоненты в пределах одного дома могли друг к другу обращаться надо включать local proxy arp. Хотя и в это нет ничего страшного Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 29 марта, 2012 · Жалоба Влан на дом + если свичи достаточно умные - ip source guard. Если глупые - рулить ACLями доступ с портов. Либо влан на юзера + на агрегации в qinq вланы вгонять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 29 марта, 2012 · Жалоба самый главный плюс ipoe&влан_на_абонента - чего бы абонент не воткнул - ип получит какой надо - не надо городить никакой авторизации. это даже называют "сразу интернет" - абоненты от этого пищат. доступ умеет только влан. ацл не умеет. трафик сегментэйшн включен. какая разница ип уннумберед или адреса на SVI ? если qinq - ядро должно уметь более 4к вланов - а это уже другой ценник. ip sourse guard основывается на мак адресах. оно мне надо ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 29 марта, 2012 · Жалоба на узле (длинк 3028, 3200 ) это прискорбно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 29 марта, 2012 · Жалоба самый главный плюс ipoe&влан_на_абонента - чего бы абонент не воткнул - ип получит какой надо - не надо городить никакой авторизации. это даже называют "сразу интернет" - абоненты от этого пищат. Причем тут влан на абонента? Это называется option82 = выдача Ip согласно порту абонента. А уж делть там влан на абонента или нет - не важно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 29 марта, 2012 · Жалоба Это называется option82 = выдача Ip согласно порту абонента. А уж делть там влан на абонента или нет - не важно. Если сделать vlan на абонента, становится ненужной поддержка option82. Достаточно просто дотянуть vlan до dhcp-сервера. насколько АЦЛ будут грузить агрегацию? Несильно. В 3028/3200 их обрабатывает ASIC. В 3026 они есть в последних прошивках, но обрабатываются процессором, поэтому практического смысла не имеют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 29 марта, 2012 · Жалоба Всуньте рядом с 65-м еще 4948, они последнее время всплывают бушные за какие-то смешные деньги, типа 50к. Будет вам еще 4к вланов в размере 1U. Если надо срочно - быстренько берете 3550 и делаете еще 900-1000, потом меняете на посерьезнее. Если деньги не из своего кармана - заказывайте 76х и qinq готовьте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 31 марта, 2012 · Жалоба какая разница ип уннумберед или адреса на SVI ? В первом случае - абону выдается /24 подсеть (или какая там), с proxy arp на стороне л3 железки. Во втором - нарезается на /30 подсети, лишний расход адресов, лишние SVI. ИМХО - лишнее усложнение. + невозможность выдавать сразу белые адреса (ибо 4 адреса на абона - слишком уж жирно). если qinq - ядро должно уметь более 4к вланов - а это уже другой ценник. 2 (3, 4, 5) железок значит в ядро... Или тазики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 23 мая, 2012 · Жалоба 2 (3, 4, 5) железок значит в ядро... Или тазики. научите пожалуйста как правильно "соединять" L3. к имеющейся 6509 добавляю 3550 прописал управляющий влан, добавил влан абонентский - абоненты из 3550 существуют "автономно". видят только влан прописанный тегом на обеих цисках. маршрут на 3550 прописал на ip абонентского влана 6509. чего им не хватает ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 23 мая, 2012 · Жалоба Вланы/подсети по железкам раскидать, настроить маршрутизацию (статическую или динамическую, последняя с т.з. простоты масштабируемости и управления предпочтительнее) как с 6509 на 3550, так и обратно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 23 мая, 2012 · Жалоба Вланы/подсети по железкам раскидать, настроить маршрутизацию (статическую или динамическую, последняя с т.з. простоты масштабируемости и управления предпочтительнее) как с 6509 на 3550, так и обратно... если можно - поподробнее надо ли включать еще какие-нибудь протоколы ? например OSPF ? или все решается добавлением маршрутов ? хочу чтобы 3550 держала свою пачку вланов 2-800, независимых от вланов на 6509. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 23 мая, 2012 · Жалоба Куд а уж подробнее... На одной железке на клиентов поднята подсеть, скажем 192.168.1.1/24, на второй - 192.168.2.1/24. Адрес первой железки в служебном влане - 192.168.100.1б второй - 192.168.100.2. На первой - вбить маршрут на 192.168.2.0/24 через 192.168.100.2, на второй - наоборот, маршрут на 192.168.1.0/24 через 192.168.100.1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 23 мая, 2012 (изменено) · Жалоба Куд а уж подробнее... На одной железке на клиентов поднята подсеть, скажем 192.168.1.1/24, на второй - 192.168.2.1/24. Адрес первой железки в служебном влане - 192.168.100.1б второй - 192.168.100.2. На первой - вбить маршрут на 192.168.2.0/24 через 192.168.100.2, на второй - наоборот, маршрут на 192.168.1.0/24 через 192.168.100.1. спасибо. получилось. Изменено 23 мая, 2012 пользователем kf72 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...