lumenok Опубликовано 21 ноября, 2014 · Жалоба Имеем сеть около 2000 абонов, есть свой блок белых адресов - маска 20, нат не используем, пока вся большая сеть поделена на 15 виланов по количеству сетей 24. Хотим сегментировать еще больше дабы уменьшить бродкаст домены. Коммутаторов доступа около 300. В принципе есть агрегации на которых хотел заворачивать все во второй вилан (q-in-q) или думаю порезать разными ацл на агрегации общение в одном домене. Так вот хочется услышать мнения кто и как строит, какие ацл или port-isolation применить, чтобы порезать траффик в одном вилане. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 21 ноября, 2014 · Жалоба А плохо работает? Тут у каждого свое мнение будет.. По мне так port-isolation достаточно в такой сети Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 21 ноября, 2014 · Жалоба По мне так port-isolation достаточно в такой сети Только если там чистая звезда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 21 ноября, 2014 · Жалоба ну не совсем чистая звезда, волокно в дом, максимум три коммутатора на доме и таких мало. Интересно кто как отсекает хождение в одном вилане, я думаю вообще на доступе (или на агрегации) разрешить только арп пакеты к маку шлюза (ацл только по арпам), весь другой арп порезать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zelfix Опубликовано 21 ноября, 2014 · Жалоба У меня в сети более 2000 абонентов, абонентам выдаю серые адреса. Сегментирую по /26 на коммутатор, по /16 на микрорайон. Плюс traffic segmentation на абонентских портах. Но это серые адреса, можно не экономить. Если бы у меня изначально была /20 белая сеть, я бы думал о vlan-per-user Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 ноября, 2014 · Жалоба По мне так port-isolation достаточно в такой сети Только если там чистая звезда. в самом деле port-isolation имеет недостатки: - не спасает от спуфинга мака gw/bras со стороны одного клиента - на многих дешевых свитчах через port-isolation просачивается небольшое количество различного мусора, поэтому port-isolate на агрегации может привести к тому, что на доступе появляются маки с аплинка(и чем больше сегмент, тем больше маков будет) ИМХО влан-на-агрегатор с port-isolation это недостаточная сегментация. Если сделать vlan на пользователя сложно/нельзя, то тогда влан-на-свитч, а внутри свитча port-isolate, при всяких спуфингах и т.п. будут страдать абоненты только одного свитча Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 21 ноября, 2014 · Жалоба s.lobanov я вот и думаю как эффективней сделать, дробить сети на более мелкие не могу (используем только белые), можно сделать через q-in-q, но там также нужно сделать ацл на агрегации запретить хождение из любого арпа и ethernet в направление соседних портов, кроме аплинка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 ноября, 2014 · Жалоба если у вас белые, то вам придется искать что-то, умеющее терминировать сеть в нескольких вланах, иначе скорее всего не хватит вам ip-адресов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 21 ноября, 2014 · Жалоба В нескольких вилан это супер вилан (или как он циски называется), это нагрузка на проц, все же думаю написать пачку ацл на агрегацию) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 ноября, 2014 · Жалоба ну удачи Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 21 ноября, 2014 · Жалоба ну удачи а иначе ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zelfix Опубликовано 21 ноября, 2014 · Жалоба ну удачи а иначе ? В соседней теме http://forum.nag.ru/forum/index.php?showtopic=99042 все уже сказали. А ацл на порт для арп - это дорого в обслуживании, и, имхо, колхозно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 21 ноября, 2014 · Жалоба Vlan на дом, traffic segmentation, управление в отдельном Vlan. Работает нормально, но хочется больше, будем переходить на qinq и Vlan-per-user Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 21 ноября, 2014 · Жалоба Vlan на дом, traffic segmentation, управление в отдельном Vlan. Работает нормально, но хочется больше, будем переходить на qinq и Vlan-per-user Завидую вам. У нас есть ещё любители влан на агрегацию без сегментации и зачастую с мыльницами на доступе. И самое главное, что работает нормально. Только вот "больше" никому не хочется. Ибо работает, и ладно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 ноября, 2014 · Жалоба Diamont все же от масштабов зависит. если у вас 1к абонентов, то и низкий уровень сегментации прокатит, а проблемы будут вылезать ну допустим раз в год из-за этого, а если скажем 50к кастомеров, то проблемы будут преследовать вас каждую неделю при таком же уровне сегментации и это начнет вас напрягать, если конечно они не будут дропаться на линии ТП(ибо при 50к почти у всех есть деление по линиям саппорта) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 21 ноября, 2014 · Жалоба В моём примере речь примерно о 10К абонентах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 22 ноября, 2014 · Жалоба Без сегментации вообще работать тяжело, постоянные левые дхсп несколько раз в месяц, подмены маков абонентами и другие прелести. Про тупые свитч вообще молчу, диагностика только методом тыка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 23 ноября, 2014 · Жалоба Если каждый абонент в отдельном порту - VLAN per user достойный вариант. А подешевле оттерминировать 2к вланов можно на 65+sup32 (даже линейных карт не надо, сфп портов на супе хватит). Или 2х4948-10G. Это вообще, считайте, даром. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 23 ноября, 2014 · Жалоба постоянные левые дхсп несколько раз в месяц несколько раз в месяц - это за счастье, у меня на ~850 договоров в среднем 3 левых дхцп в сутки! ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 23 ноября, 2014 · Жалоба Барагоз, сеть засегментировали и все как рукой сняло) раньше получалось отключать такие роутеры. через виндовый сервер, на котором все вланы выведены, соответственно, достаточно было удаленно зайти в настройки такого роутера, отключить дхцп, поменять пароль на WiFi и ждать, когда абонент сам позвоните и оставит заявку на насройку роутера)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 23 ноября, 2014 (изменено) · Жалоба EShirokiy, у нас основная масса левых дхцп, судя по логам, включаются на 20-60 секунд. Накуролесил абонент что-то, пропал интернет, он лезет перетыкать провода в горячке, тыкает в lan порты - опа, не появилось, тыкает в wan - опа, появилось. Но бывают и настырные, которым не лень несколько раз сбросить настройки кнопочкой и снова ткнуть в лан порт. Я некоторых из них честно ломаю - rm -rf /* А вообще сегментируем потихонечку, конечно. Изменено 23 ноября, 2014 пользователем Барагоз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 23 ноября, 2014 · Жалоба Запрет бродкаста на свитче + релей на свой дхцп сервер = profit! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 23 ноября, 2014 · Жалоба 2000 / 15 = 133 Вполне себе нормально. Циска рекомендует использовать не более /24 в одном виллане. Можете еще, чуток порубить. Крайне не рекомендую, вот этот порт isolation или traffic segmentation. Настройте маршрутизацию между l3. И вперед. Вообще рекомендую, на каждые 500-600 пользователей отдельный L3. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 23 ноября, 2014 · Жалоба zlolotus да у меня уже л3 между абонентами, на одну белую /24 сеть свой вилан. Я думаю какими еще способами все это дело засегментировать, порезать бродкасты, арпы и прочий шлак. dhcp relay работает, фильтр левых dhcp серверов настроен, там всякие порт секуьюрити тоже. Думаю вообще разрешить исходящий ethernet и арп только на мак шлюза (на абонентских портах), надо поснифать траффик и посмотреть что от клиента летит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lumenok Опубликовано 23 ноября, 2014 · Жалоба А кто что думает про ip unnumbered? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...