Jump to content
Калькуляторы

Изоляция пользовательского трафика

День добрый!

 

Хочется сделать изоляцию пользовательского трафика, идущего в одном ВЛАНе. Таким образом, чтобы обмен трафика между пользователями был запрещен, но разрешен обмен с роутером. Теоретически такое было бы сделать возможно с помощью PVLAN, но тут несколько моментов.

Во-первых сеть разнородная. В ядре 6509, далее dlink 3120. На доступе 1210.

Во-вторых порты идущие от коммутаторов предполагаются транковые и там кроме VLAN100 много других VLAN (на схеме как пример VLAN200). Как я понимаю 6509 не поддерживает функцию PVLAN внтури транкового интерфейса (в отличии от 4500).

 

Еще есть вариант использовать switchport protected, но опять же он не подходит ввиду наличия других VLAN, прохождение которых должно быть разрешено.

 

Трансляция VLAN тоже не подходит, ввиду того, что применяется на группу портов.

 

Сейчас пока этот вопрос решается с помощью ACL на портах DGS3120. 3120, в отличии от 6509, может вешать acl на egress трафике. ACL только на ingress тут не обойдешься, потому что есть широковещательные запросы, и их надо пропускать в центр. Но хочется уйти от схемы с коммутаторами 3120 и ACL.

 

Есть еще вариант вешать отдельные пользовательские ВЛАН на каждую группу коммутаторов, подключаемых к порту 6509, но в этом варианте мы усложняем обслужвиание сети. Сейчас, чтобы поставить/заменить коммутатор заливается типовой конфиг и ставится на место. Это может сделать даже техник.

 

Какие варианты еще есть? Или может из вышеописанных можно что-то как-то использовать и я чего не доглядел?

 

Схема изоляции трафика пользователей.png

Share this post


Link to post
Share on other sites

Ну как же, есть еще классический ip unnumbered on SVI. Вы можете создать каждому пользователю отдельный влан, но использовать общую подсеть на все пользовательские вланы. Если не включать proxy-arp межпользовательский обмен будет невозможен.

Share this post


Link to post
Share on other sites

изоляцию пользовательского трафика, идущего в одном ВЛАНе.

в Dlink это называется traffic segmentation

Share this post


Link to post
Share on other sites

Ну как же, есть еще классический ip unnumbered on SVI. Вы можете создать каждому пользователю отдельный влан, но использовать общую подсеть на все пользовательские вланы. Если не включать proxy-arp межпользовательский обмен будет невозможен.

Так я там пишу про этот способ. Но для этого требуется индивидуальные настройки каждого коммутатора в сети, что резко усложняет ее обслуживание.

 

изоляцию пользовательского трафика, идущего в одном ВЛАНе.

в Dlink это называется traffic segmentation

Да, на нижнем уровне он и работает. Хотя тоже по нему ворпосы есть - если требуется в одном ВЛАНе пропустить, а в другом разрешить обмен, то этот способ не подходит. Короче traffic_seg работает для портов, а не для VLAN. Но это ладно, речь не об нижнем уровне, а об уровне ядра. Traffic_segmentation там никак не получится использовать, смотрите схему. Да опять же, я писал об этом способе, что он не подходит.

Share this post


Link to post
Share on other sites

Так я там пишу про этот способ. Но для этого требуется индивидуальные настройки каждого коммутатора в сети, что резко усложняет ее обслуживание.

 

 

Да вы там про ip unnumbered ни разу не написали. Только PVLAN да всякий traffic segmentation.

 

Ну усложняет, да. Сети вообще дело так-то не простое. Если вы в л2 что-то запрещаете, вам на л3 надо чем-то адекватно ответить.

Я вам могу предложить разве что еще только super-vlan, но это мало у кого реализовано. Да и зачем, это опять усложнит все.

Не хотите сложностей оставьте все как есть, какие проблемы-то?

Share this post


Link to post
Share on other sites

Да вы там про ip unnumbered ни разу не написали. Только PVLAN да всякий traffic segmentation.

Вот:

Есть еще вариант вешать отдельные пользовательские ВЛАН на каждую группу коммутаторов, подключаемых к порту 6509, но в этом варианте мы усложняем обслужвиание сети. Сейчас, чтобы поставить/заменить коммутатор заливается типовой конфиг и ставится на место. Это может сделать даже техник.

 

Не хотите сложностей оставьте все как есть, какие проблемы-то?

Проблема не в сложностях как таковых. А в трудозатратах на обслуживание.

 

Ну усложняет, да. Сети вообще дело так-то не простое. Если вы в л2 что-то запрещаете, вам на л3 надо чем-то адекватно ответить.

Ну например тот же PVLAN, switchport protected - это запрет на L2, при этом L3 остается как есть. Но данные способы, как описано выше, к сожалению нам не подходят.

Share this post


Link to post
Share on other sites

Ну например тот же PVLAN, switchport protected - это запрет на L2, при этом L3 остается как есть. Но данные способы, как описано выше, к сожалению нам не подходят.

 

 

Ну ок, не правильно выразился. Когда вы что-то отламываете на л2 вы себе всегда усложняете процессы. Это нормальная ситуация.

 

Есть еще вариант вешать отдельные пользовательские ВЛАН на каждую группу коммутаторов, подключаемых к порту 6509, но в этом варианте мы усложняем обслужвиание сети. Сейчас, чтобы поставить/заменить коммутатор заливается типовой конфиг и ставится на место. Это может сделать даже техник.

И? Не вижу проблем в том чтобы саппорт/техники/админы настроили свитч как надо. Не умеют - научите.

 

Проблема не в сложностях как таковых. А в трудозатратах на обслуживание.

 

 

Если бы телеком был прост как подметание улиц, взяли бы вы школьников-узбеков, например? Трудозатраты возрастают, немного. Но вы на это идете же осознанно, не так ли?

Вы взяли идею "улучшить" простой л2, за это надо чем-то платить. Можно конечно автоматику изобрести, можно купить вундервафлю вместо древней 65ой, а можно людей обучить. Выбор за вами.

Ну например тот же PVLAN, switchport protected - это запрет на L2, при этом L3 остается как есть. Но данные способы, как описано выше, к сожалению нам не подходят.

 

Я еще не видел ни одного примера удачного в коммерческом плане оператора, использующего PVLAN или сегментацию массово. Т.е. я не говорю что их нет, но это глубоко несчастные люди.

Рано или поздно vlan-per-user будет маячить у вас на пороге, никуда вы от этого не денетесь, когда (если) вырастите.

 

ACL на доступе чем плохи? Тем что их тоже вписывать надо, или чем?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this