Jump to content
Калькуляторы

Сегментирование сети абоненты советы Сегментирование абоненты советы

Имеем сеть около 2000 абонов, есть свой блок белых адресов - маска 20, нат не используем, пока вся большая сеть поделена на 15 виланов по количеству сетей 24. Хотим сегментировать еще больше дабы уменьшить бродкаст домены. Коммутаторов доступа около 300. В принципе есть агрегации на которых хотел заворачивать все во второй вилан (q-in-q) или думаю порезать разными ацл на агрегации общение в одном домене. Так вот хочется услышать мнения кто и как строит, какие ацл или port-isolation применить, чтобы порезать траффик в одном вилане.

Share this post


Link to post
Share on other sites

ну не совсем чистая звезда, волокно в дом, максимум три коммутатора на доме и таких мало.

Интересно кто как отсекает хождение в одном вилане, я думаю вообще на доступе (или на агрегации) разрешить только арп пакеты к маку шлюза (ацл только по арпам), весь другой арп порезать.

Share this post


Link to post
Share on other sites

У меня в сети более 2000 абонентов, абонентам выдаю серые адреса. Сегментирую по /26 на коммутатор, по /16 на микрорайон. Плюс traffic segmentation на абонентских портах.

Но это серые адреса, можно не экономить.

Если бы у меня изначально была /20 белая сеть, я бы думал о vlan-per-user

Share this post


Link to post
Share on other sites

По мне так port-isolation достаточно в такой сети

Только если там чистая звезда.

 

в самом деле port-isolation имеет недостатки:

- не спасает от спуфинга мака gw/bras со стороны одного клиента

- на многих дешевых свитчах через port-isolation просачивается небольшое количество различного мусора, поэтому port-isolate на агрегации может привести к тому, что на доступе появляются маки с аплинка(и чем больше сегмент, тем больше маков будет)

 

ИМХО влан-на-агрегатор с port-isolation это недостаточная сегментация. Если сделать vlan на пользователя сложно/нельзя, то тогда влан-на-свитч, а внутри свитча port-isolate, при всяких спуфингах и т.п. будут страдать абоненты только одного свитча

Share this post


Link to post
Share on other sites

s.lobanov я вот и думаю как эффективней сделать, дробить сети на более мелкие не могу (используем только белые), можно сделать через q-in-q, но там также нужно сделать ацл на агрегации запретить хождение из любого арпа и ethernet в направление соседних портов, кроме аплинка.

Share this post


Link to post
Share on other sites

если у вас белые, то вам придется искать что-то, умеющее терминировать сеть в нескольких вланах, иначе скорее всего не хватит вам ip-адресов

Share this post


Link to post
Share on other sites

В нескольких вилан это супер вилан (или как он циски называется), это нагрузка на проц, все же думаю написать пачку ацл на агрегацию)

Share this post


Link to post
Share on other sites

ну удачи

а иначе ?

В соседней теме http://forum.nag.ru/forum/index.php?showtopic=99042 все уже сказали.

А ацл на порт для арп - это дорого в обслуживании, и, имхо, колхозно.

Share this post


Link to post
Share on other sites

Vlan на дом, traffic segmentation, управление в отдельном Vlan. Работает нормально, но хочется больше, будем переходить на qinq и Vlan-per-user

Share this post


Link to post
Share on other sites

Vlan на дом, traffic segmentation, управление в отдельном Vlan. Работает нормально, но хочется больше, будем переходить на qinq и Vlan-per-user

Завидую вам. У нас есть ещё любители влан на агрегацию без сегментации и зачастую с мыльницами на доступе. И самое главное, что работает нормально.

Только вот "больше" никому не хочется. Ибо работает, и ладно.

Share this post


Link to post
Share on other sites

Diamont

все же от масштабов зависит. если у вас 1к абонентов, то и низкий уровень сегментации прокатит, а проблемы будут вылезать ну допустим раз в год из-за этого, а если скажем 50к кастомеров, то проблемы будут преследовать вас каждую неделю при таком же уровне сегментации и это начнет вас напрягать, если конечно они не будут дропаться на линии ТП(ибо при 50к почти у всех есть деление по линиям саппорта)

Share this post


Link to post
Share on other sites

Без сегментации вообще работать тяжело, постоянные левые дхсп несколько раз в месяц, подмены маков абонентами и другие прелести. Про тупые свитч вообще молчу, диагностика только методом тыка.

Share this post


Link to post
Share on other sites

Если каждый абонент в отдельном порту - VLAN per user достойный вариант. А подешевле оттерминировать 2к вланов можно на 65+sup32 (даже линейных карт не надо, сфп портов на супе хватит).

Или 2х4948-10G. Это вообще, считайте, даром.

Share this post


Link to post
Share on other sites

постоянные левые дхсп несколько раз в месяц

несколько раз в месяц - это за счастье, у меня на ~850 договоров в среднем 3 левых дхцп в сутки! )

Share this post


Link to post
Share on other sites

Барагоз, сеть засегментировали и все как рукой сняло) раньше получалось отключать такие роутеры. через виндовый сервер, на котором все вланы выведены, соответственно, достаточно было удаленно зайти в настройки такого роутера, отключить дхцп, поменять пароль на WiFi и ждать, когда абонент сам позвоните и оставит заявку на насройку роутера))

Share this post


Link to post
Share on other sites

EShirokiy, у нас основная масса левых дхцп, судя по логам, включаются на 20-60 секунд. Накуролесил абонент что-то, пропал интернет, он лезет перетыкать провода в горячке, тыкает в lan порты - опа, не появилось, тыкает в wan - опа, появилось.

Но бывают и настырные, которым не лень несколько раз сбросить настройки кнопочкой и снова ткнуть в лан порт. Я некоторых из них честно ломаю - rm -rf /*

А вообще сегментируем потихонечку, конечно.

Edited by Барагоз

Share this post


Link to post
Share on other sites

2000 / 15 = 133 Вполне себе нормально. Циска рекомендует использовать не более /24 в одном виллане. Можете еще, чуток порубить.

 

Крайне не рекомендую, вот этот порт isolation или traffic segmentation. Настройте маршрутизацию между l3. И вперед. Вообще рекомендую, на каждые 500-600 пользователей отдельный L3.

Share this post


Link to post
Share on other sites

zlolotus да у меня уже л3 между абонентами, на одну белую /24 сеть свой вилан. Я думаю какими еще способами все это дело засегментировать, порезать бродкасты, арпы и прочий шлак. dhcp relay работает, фильтр левых dhcp серверов настроен, там всякие порт секуьюрити тоже. Думаю вообще разрешить исходящий ethernet и арп только на мак шлюза (на абонентских портах), надо поснифать траффик и посмотреть что от клиента летит.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.