[zerropull]

Всем доброго дня.

 

Столкнулся с проблемой. Надо сделать следующую схему на свитче из сабжа.

 

В схеме есть две комнаты, свитч и интернет. Обе комнаты должны иметь доступ в инет, но не должны иметь доступ друг к другу. Я хочу решить эту проблему с использованием ассиметричных ВЛАНнов. Также надо заметить, что компьютеры из каждой комнаты подключены непосредственно в свитч, т.е. все порты ВЛАНов - антаггеты. Каким образом это сделать или, возможно, есть другие варианты? Желательно, сделать это на layer-2.

 

Заранее благодарю.

[DruGoe_DeLo]

на один порт один VLAN на другой порт другой VLAN

На роутере обозначаем:

1. Эти два vlan каждому даём по IP (это будет основной шлюз для компьютеров в этих vlan)

2. Так же пишем правило запрета прохождения трафика из одного vlan в другой vlan

3. Если стоит нат и у вас cisco, пишем nat inside на этих vlan и вуаля.

Edited May 27, 2013 by DruGoe_DeLo

[snark]

есть две комнаты, свитч и интернет. Обе комнаты должны иметь доступ в инет, но не должны иметь доступ друг к другу

 

Ключево слово - Traffic Segmentation.

[DruGoe_DeLo]

что-то я погорячился с написание ответа выше.

А если не секрет что за свитч стоит производитель/модель

Edited May 27, 2013 by DruGoe_DeLo

[zerropull]

Все, разобрался. Private VLAN меня спас, как мне кажется. По крайней мере, компьютеры, вставленные в Isolated-порты одного и того же ВЛАНа друг-друга не пинговали, находясь в одной сети. Зато видели инет.

Статья, которая меня спасла: http://habrahabr.ru/post/114646/

 

Сразу предупреждаю, я вообще не понял, что автор хотел сказать здесь:

Существует 2 типа вланов в данной технологии, primary, основной влан который берется за основу и представляется не private vlans, как обычный не показывающий id внутридоменных вланов, которые и относятся у второму типу вланов secondary.

Но в принципе, все понятно из строчек ниже. Наслаждайтесь.

[DruGoe_DeLo]

Все, разобрался. Private VLAN меня спас, как мне кажется. По крайней мере, компьютеры, вставленные в Isolated-порты одного и того же ВЛАНа друг-друга не пинговали, находясь в одной сети. Зато видели инет.

Статья, которая меня спасла: http://habrahabr.ru/post/114646/

 

Сразу предупреждаю, я вообще не понял, что автор хотел сказать здесь:

Существует 2 типа вланов в данной технологии, primary, основной влан который берется за основу и представляется не private vlans, как обычный не показывающий id внутридоменных вланов, которые и относятся у второму типу вланов secondary.

Но в принципе, все понятно из строчек ниже. Наслаждайтесь.

И так если все в пределах одного vlan

то на adge core есть такая штука как

pvlan

trafic segmentation

(в разных моделях по разному называются но суть работы одна и таже)

на rubytech это называется

isolation port

на cisco

называется либо

switchport protected

либо (не помню как точно)

 

В общем суть какая да в пределах одного свитча никто никого не увидет. Но если этот свитч подключен к другому свитчу и если у тебя везде один vlan (например на двух свитчах есть одинаковые вланы то хоть заизалируйся пользователи одного свитча спокаойно увидят пользователей другого свитча. Если не изолировать порт через который эти свитчи подключены) то они увидят друг друга через тот свитч. Поэтому traffic segmentation (private vlan) нужно вести до самого маршрутизатора (и на нём ещё запретить обмен трафика между 2 IP). Мы так пользователей ограничиваем. То есть они видят сразу только интернет. Локалку при всём желании они не сбацают.

Edited May 27, 2013 by DruGoe_DeLo

[snark]

Прочитайте, пожалуйста, мой пост выше.

С вероятностью в 99% в D-Link Вам дадут тот же самый совет ;)

[zerropull]

Это крайнее сообщение на сегодняшний день, т.к. третье))

 

Да, я учел эту особенность технологии, при взаимодействии ее со свитчами, подключенными последовательно. Тут меня все устраивает. Блокировать доступ друг к другу по IP не проблема. Задача состояла в том, чтобы изолировать компы друг от друга, в пределах одного свитча, но при условии, чтобы они не имели доступа друг к другу и все это по второму уровню. Были варианты с использованием ACL, но я не любитель использовать такие вещи для задачи, требующей решения в области маршрутизации или примерно в том направлении. В общем, спасибо за то, что откликнулись. Спасибо за список, где и как называется эта возможность у других производителей. Надеюсь, это поможет не только мне.

[snark]

Задача состояла в том, чтобы изолировать компы друг от друга, в пределах одного свитча, но при условии, чтобы они не имели доступа друг к другу и все это по второму уровню.

 

Сегментация трафика действует на 2-м уровне. Если указано, что порт А не должен "видеть" порт Б, то коммутации пакетов не происходит.

Это самая простая и удобная фича D-Link для ограничения хождения трафика в рамках одного свича, т.к. она вообще не влияет на остальные фичи, ряд из которых не будет работать при ассиметричных вланах и т.п.