Spartacus 0 Опубликовано: 2011-02-15 19:05:22 Share Опубликовано: 2011-02-15 19:05:22 Была у нас сетка на тупых свичах, сейчас все на Л2. Хотим сделать vlan-per-user. Какая разница между vlan на юзера(802.1q),port-based и Traffic Segmentation(Dlink). Также private vlan. Везде по разному пишут, у всех вендоров свои названия, ппц.. При port-based 802.1q недоступен, тоесть я не смогу прокинуть влан(802.q) через свич в котором используется port-based? При vlan-per-user (802.1q) минимум выделяется сеть /30 для юзера, не пойму почему, почему не /32 т.е. 1 айпишник. Так же нужно создать на свиче агрегации эти вланы и в ядре, что не требуется от port-based or Traffic Segmentation? Задача - изолировать юзеров один от одного. И еще когда будет vlan-per-user(или порт бейсед),юзеры изолированы. Я так понял, никто ни с кем не сможет напрямую обмениватся файлами, в игры игать и т.д. Возможно ли запустить впн сервер к которому будут конектится желающие видеть один одного, т.е. какбы общая впн минисеть. На подобных сайтах был, читал, гуглил http://ru.wikipedia.org/wiki/VLAN http://xgu.ru/wiki/VLAN Извините за столь глупые вопросы. Спасибо Ссылка на сообщение Поделиться на других сайтах
Kto To 602 Опубліковано: 2011-02-15 19:07:29 Share Опубліковано: 2011-02-15 19:07:29 как юзера получают инет? нужна ли локалка между юзерами? Ссылка на сообщение Поделиться на других сайтах
Spartacus 0 Опубліковано: 2011-02-15 19:08:59 Автор Share Опубліковано: 2011-02-15 19:08:59 stg+ipnat+ipfw+arp+dhcp Локалка нужна, для "желающих" Ссылка на сообщение Поделиться на других сайтах
icecybe 35 Опубліковано: 2011-02-15 20:04:23 Share Опубліковано: 2011-02-15 20:04:23 а не влом ли вам более подробно прочитать про структуру сетей принцип сегментирования ? Я думаю ваш выбор будет ясен когда поймёте что для зверей предлагайте какие сервисы и скоростя также методы устранения использования логином чужими людьми. # Регистрация: Сегодня, 20:44 Пилите Шура пилите всё только начинается Ссылка на сообщение Поделиться на других сайтах
_WesT_ 1 016 Опубліковано: 2011-02-15 20:08:57 Share Опубліковано: 2011-02-15 20:08:57 Без знаков препинания крайне неудобно читать... А может просто помочь человеку разобраться с проблемой? А не сразу посылать в лес? Или нечего сказать? Ссылка на сообщение Поделиться на других сайтах
icecybe 35 Опубліковано: 2011-02-15 20:25:38 Share Опубліковано: 2011-02-15 20:25:38 в лес не посылаю, без аббераций . Придерживая стандарт. Прежде чем покупать любое устройство/прибор/машину/инструмент надо читать что ? = Правильно инструкцию. Так-же и тут. Правда инструкция чуток больше. Ето и придаст ему знаний и не только. Всё что надо было написал чуток выше. Повторять не вижу смысла. пс. Если влом читать- писать - думать -писать-думать..., нечему тут помогать. Ссылка на сообщение Поделиться на других сайтах
_WesT_ 1 016 Опубліковано: 2011-02-15 20:29:29 Share Опубліковано: 2011-02-15 20:29:29 Может человеку не влом писать, читать, думать. Может тяжело разобраться? Вы же сами знаете как это бывает... Тем более он говорит что перерыл инфы. Но знаю сам что такой инфы вагон. Может Вы все же ссылкой кинете? Вот, я думаю, будет настоящая помощь. З.Ы. И сам бы помог, да это не мой конек. Ссылка на сообщение Поделиться на других сайтах
icecybe 35 Опубліковано: 2011-02-15 20:39:41 Share Опубліковано: 2011-02-15 20:39:41 1. непонятно что раздаёт 2. куда раздаёт 3 строение сети 4. метод авторизаций 5. сервисы в сети... мне еше пречислять. Лично не хочу да и не буду такое обьяснять да и тратить время. Ето не сложно и инфы просто терабайты.. читайте. Всё словами на форуме просто не обьяснить. Недаром же советую читать и вы мне противоречьте. Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2011-02-15 20:53:39 Share Опубліковано: 2011-02-15 20:53:39 Делайте vlan на дом + DHCP Optn82 А клиент смогут видеть друг друга в приделах одного дома или же через шлюз.(при помощи маршрутизации) Ссылка на сообщение Поделиться на других сайтах
Spartacus 0 Опубліковано: 2011-02-15 21:09:58 Автор Share Опубліковано: 2011-02-15 21:09:58 а не влом ли вам более подробно прочитать про структуру сетей принцип сегментирования ? Я думаю ваш выбор будет ясен когда поймёте что для зверей предлагайте какие сервисы и скоростя также методы устранения использования логином чужими людьми. Не влом, читал и читаю, задаю вопросы. Делайте vlan на дом + DHCP Optn82 А клиент смогут видеть друг друга в приделах одного дома или же через шлюз.(при помощи маршрутизации) А если клиенты в доме - это часники и госструктуры(которым необходима полная изоляция). Хотелось бы влан на юзера. 1. непонятно что раздаёт 2. куда раздаёт 3 строение сети 4. метод авторизаций 5. сервисы в сети... мне еше пречислять. Лично не хочу да и не буду такое обьяснять да и тратить время. Ето не сложно и инфы просто терабайты.. читайте. Всё словами на форуме просто не обьяснить. Недаром же советую читать и вы мне противоречьте. ~1000 юзеров, Freebsd 8, stg+ipnat+ipfw+arp+dhcp, топология - оптическая звезда(волокно на дом). Авторизация ip-mac (+авторизатор для желающих). Из сервисов только интернет, на будущее IPTV,VoIP. Скоростя от 1 до 10мбит(через несколько месяцев тарифы 10-100мбит), вырастет нагрузка. Вот именно что инфы терабайты, надеялся что мне на форуме немного их разжуют)) Ссылка на сообщение Поделиться на других сайтах
nevidomuj 33 Опубліковано: 2011-02-15 21:28:04 Share Опубліковано: 2011-02-15 21:28:04 Я звичайно не профі в тому, але як на мене то найпростіше буде поставити на доступ обладнання з порт бейсед влан, ну і влан на будинок в додатку) Якщо таке не буде працювати, то поясніть коротко чому) Ссылка на сообщение Поделиться на других сайтах
Дмитро 320 Опубліковано: 2011-02-15 21:35:43 Share Опубліковано: 2011-02-15 21:35:43 Я думаю в вашем случае будет проще и главное эффективнее нанять по месту работы знающего человека, учитывая, что у вас 1000 абонентов. Не обеднеете. Ссылка на сообщение Поделиться на других сайтах
horror 23 Опубліковано: 2011-02-15 22:57:56 Share Опубліковано: 2011-02-15 22:57:56 А если клиенты в доме - это часники и госструктуры(которым необходима полная изоляция). Хотелось бы влан на юзера. ? А что мешает на частников один влан, на госструктуры другой? Странно у меня никто никому не мешает. Ссылка на сообщение Поделиться на других сайтах
nightfly 1 239 Опубліковано: 2011-02-15 23:21:16 Share Опубліковано: 2011-02-15 23:21:16 Какбы соглашаюсь с Vinto - его совет для вас на данном этапе еволюции будет наиболее действенным. Ссылка на сообщение Поделиться на других сайтах
Spartacus 0 Опубліковано: 2011-02-16 08:55:52 Автор Share Опубліковано: 2011-02-16 08:55:52 Коллеги. Я же не прошу Вас сделать всю работу за меня, покажите мне на пальцах азы включая мои вопросы, дальше я сам. Спасибо Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-02-16 09:19:42 Share Опубліковано: 2011-02-16 09:19:42 А что тут рассказывать то? Есть всего 2 варианта предоставления услуг. 1. все в одном вилане. а дальше варианты: 1.1) изоляция между клиентами отсутствует полностью, обычно для доступа к инету используются тоннели. С этого все начинают, а некотрые этим и заканчивают) 1.2) изоляция с помощью умного доступа - acl, ip-mac-port binding, ip source guard, dhcp snoop и т.п. костыли. Можно давать ipoe, клиенты более-менее независимы. Схема работает, многие на ней и живут, но мне она не нравится категорически. Дорогой доступ, привязка к конкретным моделям железа, изоляция клиентов друг от друга весьма условная. 1.3) изоляция с помощью traffic segmentation или port based vlan(один фиг, разные названия). Клиенты полностью изолированы, фактически самый простой способ задешево сделать умную сеть. Общение клиентов между собой в общем случае невозможно, можно организовать через костыли(proxy arp) и это даже как-то работает. На весь вилан выдается блок адресов, клиенты получаются адреса из общего блока скажем /20 практически без перерасхода. 2. каждому отдельный влан. В любом варианте клиенты полностью изолированы, видят друг друга только по L3 и только по нашему желанию. 2.1) красивый вариант - виланы терминируются на железке с ip unnumbered, на всех юзеров выделен единый блок адресов и каждый получает адрес /32, перерасхода адресов нет вообще, все довольный, все хорошо. Не хорошо разве что с ценой терминирующих железок 2.2) виланы терминируются на L3 свичах попроще - на каждый вилан нужна минимальная адресная сетка, это /30(адрес свича, адрес клиента, начало сети, броадкаст). А значит или 4ех кратный перерасход реальных ip, или вынужденное использование серых где подобная проблема не стоит. Плюс - дешевое железо, и на доступе и в ядре. Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2011-02-16 09:51:55 Share Опубліковано: 2011-02-16 09:51:55 Вариант 2.1 самый оптимальный. Тогда сможете вообще отказаться от туннелей и выдавать белые адреса сразу из блока. Ссылка на сообщение Поделиться на других сайтах
Spartacus 0 Опубліковано: 2011-02-16 09:55:26 Автор Share Опубліковано: 2011-02-16 09:55:26 2.1 - Свич с ip unnumbered нужен на доступ или на агрегации линков? Ссылка на сообщение Поделиться на других сайтах
KaYot 3 708 Опубліковано: 2011-02-16 19:05:37 Share Опубліковано: 2011-02-16 19:05:37 2.1 - Свич с ip unnumbered нужен на доступ или на агрегации линков? на аггрегации конечно, или вообще в ядре - фактически в том месте, где виланы сойдутся и смаршрутизируются в один и уйдут на биллинг или прямо в интернет через бордер. Можно с каждого района получать 1 влан уже стерминированный, можно всё тащить в ядро и уже там терминировать на чем-то монстрообразном.. Все упирается в фантазию и количество денег. Ссылка на сообщение Поделиться на других сайтах
Spartacus 0 Опубліковано: 2011-02-22 15:24:29 Автор Share Опубліковано: 2011-02-22 15:24:29 Более-менее разобрался во всем. Скажите пожалуйста, при схеме vlan-per-user+Option82+DHCP обязательно ли нужна Option82 на свичах доступа? И при включенном проксиАрп кудой будет ходить трафик между юзерами? Спасибо Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2011-02-22 17:53:21 Share Опубліковано: 2011-02-22 17:53:21 Более-менее разобрался во всем. Скажите пожалуйста, при схеме vlan-per-user+Option82+DHCP обязательно ли нужна Option82 на свичах доступа? И при включенном проксиАрп кудой будет ходить трафик между юзерами? Спасибо При схеме customer vlan (vlan per user) на доступе option 82 не нужна, option 82 нужна только в точке терминирования вланов (агрегация или ядро) При включении Proxy ARP трафик между клиентами будет идти через л3 свич. Ссылка на сообщение Поделиться на других сайтах
Spartacus 0 Опубліковано: 2011-02-22 18:32:45 Автор Share Опубліковано: 2011-02-22 18:32:45 Спасибо большое в участии в моем прозреньи Ссылка на сообщение Поделиться на других сайтах
Земеля 728 Опубліковано: 2011-08-24 20:31:47 Share Опубліковано: 2011-08-24 20:31:47 кто-то работал с TP-Link TL-SL2428WEB возможно ли на них настроить реальную работу Vlan ? Ссылка на сообщение Поделиться на других сайтах
route 69 Опубліковано: 2011-08-24 20:45:11 Share Опубліковано: 2011-08-24 20:45:11 Простите, а "реальную" это как? В смысле, чЕткую? Ссылка на сообщение Поделиться на других сайтах
Земеля 728 Опубліковано: 2011-08-24 20:54:52 Share Опубліковано: 2011-08-24 20:54:52 суть в том, что есть локальная сеть на 90 пользователей ( пионеры так скажем) все было на неуправляемых свичах. решили поставить все на TP-Link TL-SL2428WEB ( сможет ли эта железка сделать 1 изоляция каждого порта ( клиента) 2 группировать порты ядро сети cisco l2 сервер убунту кто сможет помочь в настройке сети ? (не бесплатно ) Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас