Перейти до

Рекомендованные сообщения

Была у нас сетка на тупых свичах, сейчас все на Л2. Хотим сделать vlan-per-user.

 

Какая разница между vlan на юзера(802.1q),port-based и Traffic Segmentation(Dlink). Также private vlan. Везде по разному пишут, у всех вендоров свои названия, ппц..

 

При port-based 802.1q недоступен, тоесть я не смогу прокинуть влан(802.q) через свич в котором используется port-based?

 

При vlan-per-user (802.1q) минимум выделяется сеть /30 для юзера, не пойму почему, почему не /32 т.е. 1 айпишник. Так же нужно создать на свиче агрегации эти вланы и в ядре, что не требуется от port-based or Traffic Segmentation?

 

Задача - изолировать юзеров один от одного.

 

 

И еще когда будет vlan-per-user(или порт бейсед),юзеры изолированы. Я так понял, никто ни с кем не сможет напрямую обмениватся файлами, в игры игать и т.д. Возможно ли запустить впн сервер к которому будут конектится желающие видеть один одного, т.е. какбы общая впн минисеть.

 

На подобных сайтах был, читал, гуглил :)

http://ru.wikipedia.org/wiki/VLAN

http://xgu.ru/wiki/VLAN

 

Извините за столь глупые вопросы. Спасибо

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 80
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

А что тут рассказывать то? Есть всего 2 варианта предоставления услуг. 1. все в одном вилане. а дальше варианты: 1.1) изоляция между клиентами отсутствует полностью, обычно для доступа к инету испол

Без знаков препинания крайне неудобно читать...   А может просто помочь человеку разобраться с проблемой? А не сразу посылать в лес? Или нечего сказать?

Я думаю в вашем случае будет проще и главное эффективнее нанять по месту работы знающего человека, учитывая, что у вас 1000 абонентов. Не обеднеете.

Posted Images

а не влом ли вам более подробно прочитать про структуру сетей принцип сегментирования ? Я думаю ваш выбор будет ясен когда поймёте что для зверей предлагайте какие сервисы и скоростя также методы устранения использования логином чужими людьми.

# Регистрация: Сегодня, 20:44

Пилите Шура пилите всё только начинается :)

Ссылка на сообщение
Поделиться на других сайтах

Без знаков препинания крайне неудобно читать...

 

А может просто помочь человеку разобраться с проблемой? А не сразу посылать в лес? Или нечего сказать?

Ссылка на сообщение
Поделиться на других сайтах

в лес не посылаю, без аббераций :) . Придерживая стандарт. Прежде чем покупать любое устройство/прибор/машину/инструмент надо читать что ? = Правильно инструкцию. Так-же и тут. Правда инструкция чуток больше. Ето и придаст ему знаний и не только.

Всё что надо было написал чуток выше. Повторять не вижу смысла.

пс. Если влом читать- писать - думать -писать-думать..., нечему тут помогать.

Ссылка на сообщение
Поделиться на других сайтах

Может человеку не влом писать, читать, думать. Может тяжело разобраться?

Вы же сами знаете как это бывает... Тем более он говорит что перерыл инфы. Но знаю сам что такой инфы вагон. Может Вы все же ссылкой кинете? Вот, я думаю, будет настоящая помощь.

 

З.Ы. И сам бы помог, да это не мой конек.

Ссылка на сообщение
Поделиться на других сайтах

1. непонятно что раздаёт

2. куда раздаёт

3 строение сети

4. метод авторизаций

5. сервисы в сети... мне еше пречислять.

Лично не хочу да и не буду такое обьяснять да и тратить время. Ето не сложно и инфы просто терабайты.. читайте. Всё словами на форуме просто не обьяснить. Недаром же советую читать и вы мне противоречьте.

Ссылка на сообщение
Поделиться на других сайтах

а не влом ли вам более подробно прочитать про структуру сетей принцип сегментирования ? Я думаю ваш выбор будет ясен когда поймёте что для зверей предлагайте какие сервисы и скоростя также методы устранения использования логином чужими людьми.

Не влом, читал и читаю, задаю вопросы.

 

Делайте vlan на дом + DHCP Optn82 А клиент смогут видеть друг друга в приделах одного дома или же через шлюз.(при помощи маршрутизации)

А если клиенты в доме - это часники и госструктуры(которым необходима полная изоляция). Хотелось бы влан на юзера.

 

1. непонятно что раздаёт

2. куда раздаёт

3 строение сети

4. метод авторизаций

5. сервисы в сети... мне еше пречислять.

Лично не хочу да и не буду такое обьяснять да и тратить время. Ето не сложно и инфы просто терабайты.. читайте. Всё словами на форуме просто не обьяснить. Недаром же советую читать и вы мне противоречьте.

 

~1000 юзеров, Freebsd 8, stg+ipnat+ipfw+arp+dhcp, топология - оптическая звезда(волокно на дом). Авторизация ip-mac (+авторизатор для желающих). Из сервисов только интернет, на будущее IPTV,VoIP. Скоростя от 1 до 10мбит(через несколько месяцев тарифы 10-100мбит), вырастет нагрузка.

Вот именно что инфы терабайты, надеялся что мне на форуме немного их разжуют))

Ссылка на сообщение
Поделиться на других сайтах

Я звичайно не профі в тому, але як на мене то найпростіше буде поставити на доступ обладнання з порт бейсед влан, ну і влан на будинок в додатку)

Якщо таке не буде працювати, то поясніть коротко чому)

Ссылка на сообщение
Поделиться на других сайтах

Я думаю в вашем случае будет проще и главное эффективнее нанять по месту работы знающего человека, учитывая, что у вас 1000 абонентов. Не обеднеете.

Ссылка на сообщение
Поделиться на других сайтах

А если клиенты в доме - это часники и госструктуры(которым необходима полная изоляция). Хотелось бы влан на юзера.

?

А что мешает на частников один влан, на госструктуры другой?

Странно у меня никто никому не мешает.

Ссылка на сообщение
Поделиться на других сайтах

Коллеги. Я же не прошу Вас сделать всю работу за меня, покажите мне на пальцах азы включая мои вопросы, дальше я сам.

Спасибо

Ссылка на сообщение
Поделиться на других сайтах

А что тут рассказывать то? Есть всего 2 варианта предоставления услуг.

1. все в одном вилане. а дальше варианты:

1.1) изоляция между клиентами отсутствует полностью, обычно для доступа к инету используются тоннели. С этого все начинают, а некотрые этим и заканчивают)

1.2) изоляция с помощью умного доступа - acl, ip-mac-port binding, ip source guard, dhcp snoop и т.п. костыли. Можно давать ipoe, клиенты более-менее независимы. Схема работает, многие на ней и живут, но мне она не нравится категорически. Дорогой доступ, привязка к конкретным моделям железа, изоляция клиентов друг от друга весьма условная.

1.3) изоляция с помощью traffic segmentation или port based vlan(один фиг, разные названия). Клиенты полностью изолированы, фактически самый простой способ задешево сделать умную сеть. Общение клиентов между собой в общем случае невозможно, можно организовать через костыли(proxy arp) и это даже как-то работает. На весь вилан выдается блок адресов, клиенты получаются адреса из общего блока скажем /20 практически без перерасхода.

2. каждому отдельный влан. В любом варианте клиенты полностью изолированы, видят друг друга только по L3 и только по нашему желанию.

2.1) красивый вариант - виланы терминируются на железке с ip unnumbered, на всех юзеров выделен единый блок адресов и каждый получает адрес /32, перерасхода адресов нет вообще, все довольный, все хорошо. Не хорошо разве что с ценой терминирующих железок :)

2.2) виланы терминируются на L3 свичах попроще - на каждый вилан нужна минимальная адресная сетка, это /30(адрес свича, адрес клиента, начало сети, броадкаст). А значит или 4ех кратный перерасход реальных ip, или вынужденное использование серых где подобная проблема не стоит. Плюс - дешевое железо, и на доступе и в ядре.

Ссылка на сообщение
Поделиться на других сайтах

2.1 - Свич с ip unnumbered нужен на доступ или на агрегации линков?

на аггрегации конечно, или вообще в ядре - фактически в том месте, где виланы сойдутся и смаршрутизируются в один и уйдут на биллинг или прямо в интернет через бордер. Можно с каждого района получать 1 влан уже стерминированный, можно всё тащить в ядро и уже там терминировать на чем-то монстрообразном.. Все упирается в фантазию и количество денег.

Ссылка на сообщение
Поделиться на других сайтах

Более-менее разобрался во всем. Скажите пожалуйста, при схеме vlan-per-user+Option82+DHCP обязательно ли нужна Option82 на свичах доступа?

И при включенном проксиАрп кудой будет ходить трафик между юзерами?

Спасибо

Ссылка на сообщение
Поделиться на других сайтах

Более-менее разобрался во всем. Скажите пожалуйста, при схеме vlan-per-user+Option82+DHCP обязательно ли нужна Option82 на свичах доступа?

И при включенном проксиАрп кудой будет ходить трафик между юзерами?

Спасибо

При схеме customer vlan (vlan per user) на доступе option 82 не нужна, option 82 нужна только в точке терминирования вланов (агрегация или ядро)

При включении Proxy ARP трафик между клиентами будет идти через л3 свич.

Ссылка на сообщение
Поделиться на других сайтах
  • 6 months later...

суть в том, что есть локальная сеть на 90 пользователей ( пионеры так скажем)

все было на неуправляемых свичах. решили поставить все на TP-Link TL-SL2428WEB ( сможет ли эта железка сделать

1 изоляция каждого порта ( клиента)

2 группировать порты

ядро сети cisco l2

сервер убунту

кто сможет помочь в настройке сети ? (не бесплатно )

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...