[lumenok]

Имеем сеть около 2000 абонов, есть свой блок белых адресов - маска 20, нат не используем, пока вся большая сеть поделена на 15 виланов по количеству сетей 24. Хотим сегментировать еще больше дабы уменьшить бродкаст домены. Коммутаторов доступа около 300. В принципе есть агрегации на которых хотел заворачивать все во второй вилан (q-in-q) или думаю порезать разными ацл на агрегации общение в одном домене. Так вот хочется услышать мнения кто и как строит, какие ацл или port-isolation применить, чтобы порезать траффик в одном вилане.

[Negator]

А плохо работает? Тут у каждого свое мнение будет..

По мне так port-isolation достаточно в такой сети

[Diamont]

По мне так port-isolation достаточно в такой сети

Только если там чистая звезда.

[lumenok]

ну не совсем чистая звезда, волокно в дом, максимум три коммутатора на доме и таких мало.

Интересно кто как отсекает хождение в одном вилане, я думаю вообще на доступе (или на агрегации) разрешить только арп пакеты к маку шлюза (ацл только по арпам), весь другой арп порезать.

[zelfix]

У меня в сети более 2000 абонентов, абонентам выдаю серые адреса. Сегментирую по /26 на коммутатор, по /16 на микрорайон. Плюс traffic segmentation на абонентских портах.

Но это серые адреса, можно не экономить.

Если бы у меня изначально была /20 белая сеть, я бы думал о vlan-per-user

[s.lobanov]

По мне так port-isolation достаточно в такой сети

Только если там чистая звезда.

 

в самом деле port-isolation имеет недостатки:

- не спасает от спуфинга мака gw/bras со стороны одного клиента

- на многих дешевых свитчах через port-isolation просачивается небольшое количество различного мусора, поэтому port-isolate на агрегации может привести к тому, что на доступе появляются маки с аплинка(и чем больше сегмент, тем больше маков будет)

 

ИМХО влан-на-агрегатор с port-isolation это недостаточная сегментация. Если сделать vlan на пользователя сложно/нельзя, то тогда влан-на-свитч, а внутри свитча port-isolate, при всяких спуфингах и т.п. будут страдать абоненты только одного свитча

[lumenok]

s.lobanov я вот и думаю как эффективней сделать, дробить сети на более мелкие не могу (используем только белые), можно сделать через q-in-q, но там также нужно сделать ацл на агрегации запретить хождение из любого арпа и ethernet в направление соседних портов, кроме аплинка.

[s.lobanov]

если у вас белые, то вам придется искать что-то, умеющее терминировать сеть в нескольких вланах, иначе скорее всего не хватит вам ip-адресов

[lumenok]

В нескольких вилан это супер вилан (или как он циски называется), это нагрузка на проц, все же думаю написать пачку ацл на агрегацию)

[s.lobanov]

ну удачи

[Diman_xxxx]

ну удачи

а иначе ?

[zelfix]

ну удачи

а иначе ?

В соседней теме http://forum.nag.ru/forum/index.php?showtopic=99042 все уже сказали.

А ацл на порт для арп - это дорого в обслуживании, и, имхо, колхозно.

[EShirokiy]

Vlan на дом, traffic segmentation, управление в отдельном Vlan. Работает нормально, но хочется больше, будем переходить на qinq и Vlan-per-user

[Diamont]

Vlan на дом, traffic segmentation, управление в отдельном Vlan. Работает нормально, но хочется больше, будем переходить на qinq и Vlan-per-user

Завидую вам. У нас есть ещё любители влан на агрегацию без сегментации и зачастую с мыльницами на доступе. И самое главное, что работает нормально.

Только вот "больше" никому не хочется. Ибо работает, и ладно.

[s.lobanov]

Diamont

все же от масштабов зависит. если у вас 1к абонентов, то и низкий уровень сегментации прокатит, а проблемы будут вылезать ну допустим раз в год из-за этого, а если скажем 50к кастомеров, то проблемы будут преследовать вас каждую неделю при таком же уровне сегментации и это начнет вас напрягать, если конечно они не будут дропаться на линии ТП(ибо при 50к почти у всех есть деление по линиям саппорта)

[Diamont]

В моём примере речь примерно о 10К абонентах.

[EShirokiy]

Без сегментации вообще работать тяжело, постоянные левые дхсп несколько раз в месяц, подмены маков абонентами и другие прелести. Про тупые свитч вообще молчу, диагностика только методом тыка.

[DVM-Avgoor]

Если каждый абонент в отдельном порту - VLAN per user достойный вариант. А подешевле оттерминировать 2к вланов можно на 65+sup32 (даже линейных карт не надо, сфп портов на супе хватит).

Или 2х4948-10G. Это вообще, считайте, даром.

[Барагоз]

постоянные левые дхсп несколько раз в месяц

несколько раз в месяц - это за счастье, у меня на ~850 договоров в среднем 3 левых дхцп в сутки! )

[EShirokiy]

Барагоз, сеть засегментировали и все как рукой сняло) раньше получалось отключать такие роутеры. через виндовый сервер, на котором все вланы выведены, соответственно, достаточно было удаленно зайти в настройки такого роутера, отключить дхцп, поменять пароль на WiFi и ждать, когда абонент сам позвоните и оставит заявку на насройку роутера))

[Барагоз]

EShirokiy, у нас основная масса левых дхцп, судя по логам, включаются на 20-60 секунд. Накуролесил абонент что-то, пропал интернет, он лезет перетыкать провода в горячке, тыкает в lan порты - опа, не появилось, тыкает в wan - опа, появилось.

Но бывают и настырные, которым не лень несколько раз сбросить настройки кнопочкой и снова ткнуть в лан порт. Я некоторых из них честно ломаю - rm -rf /*

А вообще сегментируем потихонечку, конечно.

Изменено 23 ноября, 2014 пользователем Барагоз

[BETEPAH]

Запрет бродкаста на свитче + релей на свой дхцп сервер = profit!

[zlolotus]

2000 / 15 = 133 Вполне себе нормально. Циска рекомендует использовать не более /24 в одном виллане. Можете еще, чуток порубить.

 

Крайне не рекомендую, вот этот порт isolation или traffic segmentation. Настройте маршрутизацию между l3. И вперед. Вообще рекомендую, на каждые 500-600 пользователей отдельный L3.

[lumenok]

zlolotus да у меня уже л3 между абонентами, на одну белую /24 сеть свой вилан. Я думаю какими еще способами все это дело засегментировать, порезать бродкасты, арпы и прочий шлак. dhcp relay работает, фильтр левых dhcp серверов настроен, там всякие порт секуьюрити тоже. Думаю вообще разрешить исходящий ethernet и арп только на мак шлюза (на абонентских портах), надо поснифать траффик и посмотреть что от клиента летит.

[lumenok]

А кто что думает про ip unnumbered?