Jump to content

vlan-per-user или vlan-per-switch


Recommended Posts

4 часа назад, Туйон сказав:

Влан это устаревшая технлогия, я таким не пользуюсь.

Просто делаю сегментацию и всё вери гуд найс!

Это как?

Link to post
Share on other sites
  • Replies 81
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Какой-то фантастический дроч о_О

если задача не решается одним микротиком, то надо поставить больше микротиков

У меня тоже статические серые ай-пи вбиты у абонов, так повелось ещё 15 лет назад и работает до сих пор, но у 95% абонов роутеры и при настройке издавна завёл за правило включать удаленный доступ к ад

10 часов назад, Dimkers сказал:

Сарказм? Если нет, то расскажи как /32 работает на микроте :)

А в чем концептуальная разница между 31 и 32? Вот по сути

Link to post
Share on other sites
В 30.10.2020 в 19:43, Туйон сказал:

Влан это устаревшая технлогия, я таким не пользуюсь.

и вообще надо переходить на L3 access ))) 

а если вам понадобится сделать транспорт л2, то ставим еще парочку микротиков для упаковки л2 поверх л3 :)

  • Like 1
Link to post
Share on other sites
10 минут назад, 911 сказал:

и вообще надо переходить на L3 access ))) 

а если вам понадобится сделать транспорт л2, то ставим еще парочку микротиков для упаковки л2 поверх л3 :)

Ну вот, сразу видно умного человека)) микротик - в каждый дом!

  • Like 1
Link to post
Share on other sites

Вот если бы микротик в каждый дом - то проблем не было бы вообще, а всё потому, что он зэбэст в сегменте сохо

Link to post
Share on other sites
1 час назад, Kiano сказал:

а всё потому, что он зэбэст в сегменте сохо

ну не считая того что сохо вайфай редкое гуано у них, с убогими антеннами... не, ессно по софту всяко получше туполинков всяких с асусями если искаропки, но если не искаропки софт юзать, и если внимательно подбирать железки под требования - тут, увы, некротик пролетает. пушо на нем ни принт-сервер без костылей не поднять, ни нас для бекапов/торрента, ни нормально покрыть дом и двор без 100500 репитеров, одним только роутером со стоковыми антеннками (ну как у меня сейчас newifi3 трудится - что характерно, без какого-либо выбора места расположения с т.з. лучшего покрытия вайфая)...

Link to post
Share on other sites

Вот такой вопрос, в ядре, где «разбираются» q-in-q vlan-и там будет 1000 или 2000 вланов, самому коммутатору не будет плохо от такого количества?

Link to post
Share on other sites
Только что, DenimMark сказал:

Вот такой вопрос, в ядре, где «разбираются» q-in-q vlan-и там будет 1000 или 2000 вланов, самому коммутатору не будет плохо от такого количества?

Ваще пофиг ему, влан это всего лишь несколько байт в заголовке

Link to post
Share on other sites
В 28.10.2020 в 7:34 AM, Kiano сказав:

И то, и другое можно

Если можете q in q, то vpu поднимите

Если абонов оч много, а qinq никак - по влану на свитч

В случає влан на свитч что можна плохого получит? Кроме loop и dhcp от клиєнта ?

Link to post
Share on other sites
14 минут назад, DenimMark сказал:

В случає влан на свитч что можна плохого получит? Кроме loop и dhcp от клиєнта ?

По сути ничего. Dhcp snooping и loop detect в помощь

Link to post
Share on other sites

Какой то флуд от клиєнта или на клиента, это наверное все равно, будет на него влан или будет несколко их на один влан. Не охота этих вланов городить кучу.

Edited by DenimMark
Link to post
Share on other sites
4 минуты назад, DenimMark сказал:

Какой то флуд от клиєнта или на клиента, это наверное все равно, будет на него влан или будет несколко их на один влан. Не охота этих вланов городить кучу.

Пострадают абоны из того же влана

Link to post
Share on other sites
1 час назад, DenimMark сказал:

Какой то флуд от клиєнта или на клиента, это наверное все равно, будет на него влан или будет несколко их на один влан. Не охота этих вланов городить кучу.

Кроме банального мак-флуда или колечек клиент может выдавать соседям еще массу интересного. ARP шторм, dhcp, подмена IP/mac на соседский или еще лучше - шлюза. И что б всему этому говну противостоять, нужен супер-умный(а значит дорогой) доступ, и умение его настроить.

А при влане на пользователя такой проблемы просто нет, все безопасно by design. От свича требуется что б вланы умел.

Edited by KaYot
  • Like 2
Link to post
Share on other sites

а разве изоляция портов не поможет от 

Цитата

банального мак-флуда или колечек клиент может выдавать соседям еще массу интересного. ARP шторм, dhcp, подмена IP/mac на соседский или еще лучше - шлюза

и еще может ткнете в тренд где почитать как в isc-dhcp разбирать qinq ? 

Link to post
Share on other sites
37 минут назад, kid79 сказал:

а разве изоляция портов не поможет

А вот не всегда она помогает, зависит от реализации этой функции на конкретном свиче.

И по факту возникают тупиковые ситуации, сегментация включена, а подгоревший роутер весь район ложит.

Link to post
Share on other sites

Изоляция работает тоже по разному. По сути, дст мак совпадает с маком на соседнем порту - дроп. Ото и всё

Link to post
Share on other sites
4 hours ago, kid79 said:

и еще может ткнете в тренд где почитать как в isc-dhcp разбирать qinq ? 

 

Зачем ему разбирать qinq? Это не его дело.

Link to post
Share on other sites
  • 3 months later...
В 03.11.2020 в 17:39, KaYot сказал:

Кроме банального мак-флуда или колечек клиент может выдавать соседям еще массу интересного. ARP шторм, dhcp, подмена IP/mac на соседский или еще лучше - шлюза. И что б всему этому говну противостоять, нужен супер-умный(а значит дорогой) доступ, и умение его настроить.

А при влане на пользователя такой проблемы просто нет, все безопасно by design. От свича требуется что б вланы умел.

 

Вот еще интересно как на это все перестроить, есть у меня такой сегмент сети в частном секторе, да еще и статикой айпишки прибиваются потомука опшн82 не пошло в свое время,  и железо разное, и глюки когда опору собъют и не туда что-то переварят..... исторически сложилось что пара сотен абонов висят в одном влане.

Ну есть дхзп снупинг, ну сегментейшн там, ну бывает иногда кто-то циферкой ошибется - ну сразу у того чью цифру поставили инет заглючит, ловим дубликат, поясняем. А так бы хотелось до ума этот кусок довести..

Link to post
Share on other sites
7 часов назад, Туйон сказал:

А в чем проблема то? PON, vlan на юзера. 

Не пон, ethernet еще, которому лет 10. Хотелось бы понять как перевести, чтобы не потухли клиенты, разве что по одному вручную ... адреса статикой прописывают клиенты.

Edited by pr0lan
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Baneff
      Доброго всем дня. А остались ли тут специалисты по FreeBSD? Или все уже перешли на сторону Темнейшего?
      Вопрос вот возник. Изучаю возможность внедрения технологии vlan-per-user и понадобилось вот создать на машинке под FreeBSD несколько тысяч пользовательских виланов. Как кошернее это делать? Сгенерировать конфиг скриптом и просто добавить в rc.conf ? Не трогать rc.conf и генерить всю эту байду стартовым скриптом? Сколько времени займёт тогда процесс генерации например 4000 виланов? И вообще, как сама FreeBSD среагирует на такое издевательство, не вылезет ли какая нехватка буферов, дескрипторов и тому подобное. Возможно под такой случай требуется какой-то тюнинг фри? Поделитесь опытом, плиз. Спасибо.
    • By needhelp
      підкажіть стосовно настройки комутаторів d-link. В мережі в основному використовуються d-link 1210-28/me. схема ВЛАН на абона. 
      на даний момент в комутаторах настроєні лише ВЛАНи та loopback detect. 
      Які ще функції можна задіяти для максимального захисту мережі?
    • By alexk80
      Здравствуйте!
      Помогите разобраться с ситуацией:
      Есть  олт Р3310В и  онт Р1004. Необходимо абону предоставить инет и телефон по ip,
      причем каждая услуга в своем влане, уникальном для каждого абонента. Т.е. до абона нужно кинуть два влана транком,
      а у абона подключаем роутер и voip шлюз к онт в режиме access к нужным портам.
      Можно ли реализовать такую схему?
      Делал примерно так(инет влан 488, телефон 2100):
      1. Сделал шаблон
       1       epon onu port 1 ctc vlan mode 488  2       epon onu port 1 ctc vlan mode 2100 2. привязал к llid 1 (пока одна онт) int E0/1 epon pre-conf test binded-onu-llid 1 3. Прописал 488 и 2100 вланы на G0/1 и E0/1 4. Выполняю show vlan  Вижу, что онт видна только в первом влане. Скажите, как правильно сделать. И вообще выполнимо ли это? Спасибо!  
    • By mih
      Куплю готовий конфіг vlan-per-user BDCOM P3310 + пару годин телефонних консультацій.
      Із нюансів - прив’язка Vlan до mac ONU.
      Банально не має часу розбиратись з їхнім cli.
      Можна бартер на DELL PowerEdge 2800.
      Бажано за вихідні закрити це питання.
       
      Пропозиції в ЛС.
    • By Ромка
      Собственно не ясно, реально ли как-то автоматизировать процесс авторегистрации ONU?
      Например, если появилась первая ONU на первом EPON порту (EPON0/1:1) чтоб ей значился vlan например 101, на вторую ONU - 102, и т. д... Или нужно каждую ONU при подключении прописывать вручную в конфиге OLTa? Я так понимаю что шаблоны в такой схеме не прокатят, или создавать 256 шаблонов?
      Сорри если где-то уже обсуждалось, но за день по локалу так ничего и не нашел, реально уже много по PON-у на локале написано) 

×
×
  • Create New...