lumenok Posted November 21, 2014 · Report post Имеем сеть около 2000 абонов, есть свой блок белых адресов - маска 20, нат не используем, пока вся большая сеть поделена на 15 виланов по количеству сетей 24. Хотим сегментировать еще больше дабы уменьшить бродкаст домены. Коммутаторов доступа около 300. В принципе есть агрегации на которых хотел заворачивать все во второй вилан (q-in-q) или думаю порезать разными ацл на агрегации общение в одном домене. Так вот хочется услышать мнения кто и как строит, какие ацл или port-isolation применить, чтобы порезать траффик в одном вилане. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Negator Posted November 21, 2014 · Report post А плохо работает? Тут у каждого свое мнение будет.. По мне так port-isolation достаточно в такой сети Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 21, 2014 · Report post По мне так port-isolation достаточно в такой сети Только если там чистая звезда. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lumenok Posted November 21, 2014 · Report post ну не совсем чистая звезда, волокно в дом, максимум три коммутатора на доме и таких мало. Интересно кто как отсекает хождение в одном вилане, я думаю вообще на доступе (или на агрегации) разрешить только арп пакеты к маку шлюза (ацл только по арпам), весь другой арп порезать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zelfix Posted November 21, 2014 · Report post У меня в сети более 2000 абонентов, абонентам выдаю серые адреса. Сегментирую по /26 на коммутатор, по /16 на микрорайон. Плюс traffic segmentation на абонентских портах. Но это серые адреса, можно не экономить. Если бы у меня изначально была /20 белая сеть, я бы думал о vlan-per-user Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted November 21, 2014 · Report post По мне так port-isolation достаточно в такой сети Только если там чистая звезда. в самом деле port-isolation имеет недостатки: - не спасает от спуфинга мака gw/bras со стороны одного клиента - на многих дешевых свитчах через port-isolation просачивается небольшое количество различного мусора, поэтому port-isolate на агрегации может привести к тому, что на доступе появляются маки с аплинка(и чем больше сегмент, тем больше маков будет) ИМХО влан-на-агрегатор с port-isolation это недостаточная сегментация. Если сделать vlan на пользователя сложно/нельзя, то тогда влан-на-свитч, а внутри свитча port-isolate, при всяких спуфингах и т.п. будут страдать абоненты только одного свитча Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lumenok Posted November 21, 2014 · Report post s.lobanov я вот и думаю как эффективней сделать, дробить сети на более мелкие не могу (используем только белые), можно сделать через q-in-q, но там также нужно сделать ацл на агрегации запретить хождение из любого арпа и ethernet в направление соседних портов, кроме аплинка. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted November 21, 2014 · Report post если у вас белые, то вам придется искать что-то, умеющее терминировать сеть в нескольких вланах, иначе скорее всего не хватит вам ip-адресов Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lumenok Posted November 21, 2014 · Report post В нескольких вилан это супер вилан (или как он циски называется), это нагрузка на проц, все же думаю написать пачку ацл на агрегацию) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted November 21, 2014 · Report post ну удачи Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diman_xxxx Posted November 21, 2014 · Report post ну удачи а иначе ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zelfix Posted November 21, 2014 · Report post ну удачи а иначе ? В соседней теме http://forum.nag.ru/forum/index.php?showtopic=99042 все уже сказали. А ацл на порт для арп - это дорого в обслуживании, и, имхо, колхозно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted November 21, 2014 · Report post Vlan на дом, traffic segmentation, управление в отдельном Vlan. Работает нормально, но хочется больше, будем переходить на qinq и Vlan-per-user Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 21, 2014 · Report post Vlan на дом, traffic segmentation, управление в отдельном Vlan. Работает нормально, но хочется больше, будем переходить на qinq и Vlan-per-user Завидую вам. У нас есть ещё любители влан на агрегацию без сегментации и зачастую с мыльницами на доступе. И самое главное, что работает нормально. Только вот "больше" никому не хочется. Ибо работает, и ладно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted November 21, 2014 · Report post Diamont все же от масштабов зависит. если у вас 1к абонентов, то и низкий уровень сегментации прокатит, а проблемы будут вылезать ну допустим раз в год из-за этого, а если скажем 50к кастомеров, то проблемы будут преследовать вас каждую неделю при таком же уровне сегментации и это начнет вас напрягать, если конечно они не будут дропаться на линии ТП(ибо при 50к почти у всех есть деление по линиям саппорта) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted November 21, 2014 · Report post В моём примере речь примерно о 10К абонентах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted November 22, 2014 · Report post Без сегментации вообще работать тяжело, постоянные левые дхсп несколько раз в месяц, подмены маков абонентами и другие прелести. Про тупые свитч вообще молчу, диагностика только методом тыка. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DVM-Avgoor Posted November 23, 2014 · Report post Если каждый абонент в отдельном порту - VLAN per user достойный вариант. А подешевле оттерминировать 2к вланов можно на 65+sup32 (даже линейных карт не надо, сфп портов на супе хватит). Или 2х4948-10G. Это вообще, считайте, даром. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Барагоз Posted November 23, 2014 · Report post постоянные левые дхсп несколько раз в месяц несколько раз в месяц - это за счастье, у меня на ~850 договоров в среднем 3 левых дхцп в сутки! ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted November 23, 2014 · Report post Барагоз, сеть засегментировали и все как рукой сняло) раньше получалось отключать такие роутеры. через виндовый сервер, на котором все вланы выведены, соответственно, достаточно было удаленно зайти в настройки такого роутера, отключить дхцп, поменять пароль на WiFi и ждать, когда абонент сам позвоните и оставит заявку на насройку роутера)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Барагоз Posted November 23, 2014 (edited) · Report post EShirokiy, у нас основная масса левых дхцп, судя по логам, включаются на 20-60 секунд. Накуролесил абонент что-то, пропал интернет, он лезет перетыкать провода в горячке, тыкает в lan порты - опа, не появилось, тыкает в wan - опа, появилось. Но бывают и настырные, которым не лень несколько раз сбросить настройки кнопочкой и снова ткнуть в лан порт. Я некоторых из них честно ломаю - rm -rf /* А вообще сегментируем потихонечку, конечно. Edited November 23, 2014 by Барагоз Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BETEPAH Posted November 23, 2014 · Report post Запрет бродкаста на свитче + релей на свой дхцп сервер = profit! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zlolotus Posted November 23, 2014 · Report post 2000 / 15 = 133 Вполне себе нормально. Циска рекомендует использовать не более /24 в одном виллане. Можете еще, чуток порубить. Крайне не рекомендую, вот этот порт isolation или traffic segmentation. Настройте маршрутизацию между l3. И вперед. Вообще рекомендую, на каждые 500-600 пользователей отдельный L3. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lumenok Posted November 23, 2014 · Report post zlolotus да у меня уже л3 между абонентами, на одну белую /24 сеть свой вилан. Я думаю какими еще способами все это дело засегментировать, порезать бродкасты, арпы и прочий шлак. dhcp relay работает, фильтр левых dhcp серверов настроен, там всякие порт секуьюрити тоже. Думаю вообще разрешить исходящий ethernet и арп только на мак шлюза (на абонентских портах), надо поснифать траффик и посмотреть что от клиента летит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lumenok Posted November 23, 2014 · Report post А кто что думает про ip unnumbered? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...