Перейти к содержимому

VLAN'ы

Spartacus

Автор: Spartacus
в Для самых маленьких

 Share

Рекомендованные сообщения

Spartacus Пролетал Мимо

Spartacus

Опубликовано:
Опубликовано:

Была у нас сетка на тупых свичах, сейчас все на Л2. Хотим сделать vlan-per-user.

 

Какая разница между vlan на юзера(802.1q),port-based и Traffic Segmentation(Dlink). Также private vlan. Везде по разному пишут, у всех вендоров свои названия, ппц..

 

При port-based 802.1q недоступен, тоесть я не смогу прокинуть влан(802.q) через свич в котором используется port-based?

 

При vlan-per-user (802.1q) минимум выделяется сеть /30 для юзера, не пойму почему, почему не /32 т.е. 1 айпишник. Так же нужно создать на свиче агрегации эти вланы и в ядре, что не требуется от port-based or Traffic Segmentation?

 

Задача - изолировать юзеров один от одного.

 

 

И еще когда будет vlan-per-user(или порт бейсед),юзеры изолированы. Я так понял, никто ни с кем не сможет напрямую обмениватся файлами, в игры игать и т.д. Возможно ли запустить впн сервер к которому будут конектится желающие видеть один одного, т.е. какбы общая впн минисеть.

 

На подобных сайтах был, читал, гуглил :)

http://ru.wikipedia.org/wiki/VLAN

http://xgu.ru/wiki/VLAN

 

Извините за столь глупые вопросы. Спасибо

  • Ответы 80
  • Created
  • Последний ответ

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

KaYot
KaYot

А что тут рассказывать то? Есть всего 2 варианта предоставления услуг. 1. все в одном вилане. а дальше варианты: 1.1) изоляция между клиентами отсутствует полностью, обычно для доступа к инету испол

_WesT_
_WesT_

Без знаков препинания крайне неудобно читать...   А может просто помочь человеку разобраться с проблемой? А не сразу посылать в лес? Или нечего сказать?

Дмитро
Дмитро

Я думаю в вашем случае будет проще и главное эффективнее нанять по месту работы знающего человека, учитывая, что у вас 1000 абонентов. Не обеднеете.

Posted Images

icecybe Вампир

icecybe

Опубликовано:
Опубликовано:

а не влом ли вам более подробно прочитать про структуру сетей принцип сегментирования ? Я думаю ваш выбор будет ясен когда поймёте что для зверей предлагайте какие сервисы и скоростя также методы устранения использования логином чужими людьми.

# Регистрация: Сегодня, 20:44

Пилите Шура пилите всё только начинается :)

_WesT_ Бог

_WesT_

Опубликовано:
Опубликовано:

Без знаков препинания крайне неудобно читать...

 

А может просто помочь человеку разобраться с проблемой? А не сразу посылать в лес? Или нечего сказать?

icecybe Вампир

icecybe

Опубликовано:
Опубликовано:

в лес не посылаю, без аббераций :) . Придерживая стандарт. Прежде чем покупать любое устройство/прибор/машину/инструмент надо читать что ? = Правильно инструкцию. Так-же и тут. Правда инструкция чуток больше. Ето и придаст ему знаний и не только.

Всё что надо было написал чуток выше. Повторять не вижу смысла.

пс. Если влом читать- писать - думать -писать-думать..., нечему тут помогать.

_WesT_ Бог

_WesT_

Опубликовано:
Опубликовано:

Может человеку не влом писать, читать, думать. Может тяжело разобраться?

Вы же сами знаете как это бывает... Тем более он говорит что перерыл инфы. Но знаю сам что такой инфы вагон. Может Вы все же ссылкой кинете? Вот, я думаю, будет настоящая помощь.

 

З.Ы. И сам бы помог, да это не мой конек.

icecybe Вампир

icecybe

Опубликовано:
Опубликовано:

1. непонятно что раздаёт

2. куда раздаёт

3 строение сети

4. метод авторизаций

5. сервисы в сети... мне еше пречислять.

Лично не хочу да и не буду такое обьяснять да и тратить время. Ето не сложно и инфы просто терабайты.. читайте. Всё словами на форуме просто не обьяснить. Недаром же советую читать и вы мне противоречьте.

Mobil Вампир

Mobil

Опубликовано:
Опубликовано:

Делайте vlan на дом + DHCP Optn82 А клиент смогут видеть друг друга в приделах одного дома или же через шлюз.(при помощи маршрутизации)

Spartacus Пролетал Мимо

Spartacus

Опубликовано:
  • Автор
Опубликовано:

а не влом ли вам более подробно прочитать про структуру сетей принцип сегментирования ? Я думаю ваш выбор будет ясен когда поймёте что для зверей предлагайте какие сервисы и скоростя также методы устранения использования логином чужими людьми.

Не влом, читал и читаю, задаю вопросы.

 

Делайте vlan на дом + DHCP Optn82 А клиент смогут видеть друг друга в приделах одного дома или же через шлюз.(при помощи маршрутизации)

А если клиенты в доме - это часники и госструктуры(которым необходима полная изоляция). Хотелось бы влан на юзера.

 

1. непонятно что раздаёт

2. куда раздаёт

3 строение сети

4. метод авторизаций

5. сервисы в сети... мне еше пречислять.

Лично не хочу да и не буду такое обьяснять да и тратить время. Ето не сложно и инфы просто терабайты.. читайте. Всё словами на форуме просто не обьяснить. Недаром же советую читать и вы мне противоречьте.

 

~1000 юзеров, Freebsd 8, stg+ipnat+ipfw+arp+dhcp, топология - оптическая звезда(волокно на дом). Авторизация ip-mac (+авторизатор для желающих). Из сервисов только интернет, на будущее IPTV,VoIP. Скоростя от 1 до 10мбит(через несколько месяцев тарифы 10-100мбит), вырастет нагрузка.

Вот именно что инфы терабайты, надеялся что мне на форуме немного их разжуют))

nevidomuj Вампиреныш

nevidomuj

Опубликовано:
Опубликовано:

Я звичайно не профі в тому, але як на мене то найпростіше буде поставити на доступ обладнання з порт бейсед влан, ну і влан на будинок в додатку)

Якщо таке не буде працювати, то поясніть коротко чому)

Дмитро Вампир

Дмитро

Опубликовано:
Опубликовано:

Я думаю в вашем случае будет проще и главное эффективнее нанять по месту работы знающего человека, учитывая, что у вас 1000 абонентов. Не обеднеете.

horror Вампиреныш

horror

Опубликовано:
Опубликовано:

А если клиенты в доме - это часники и госструктуры(которым необходима полная изоляция). Хотелось бы влан на юзера.

?

А что мешает на частников один влан, на госструктуры другой?

Странно у меня никто никому не мешает.

Spartacus Пролетал Мимо

Spartacus

Опубликовано:
  • Автор
Опубликовано:

Коллеги. Я же не прошу Вас сделать всю работу за меня, покажите мне на пальцах азы включая мои вопросы, дальше я сам.

Спасибо

KaYot Бог

KaYot

Опубликовано:
Опубликовано:

А что тут рассказывать то? Есть всего 2 варианта предоставления услуг.

1. все в одном вилане. а дальше варианты:

1.1) изоляция между клиентами отсутствует полностью, обычно для доступа к инету используются тоннели. С этого все начинают, а некотрые этим и заканчивают)

1.2) изоляция с помощью умного доступа - acl, ip-mac-port binding, ip source guard, dhcp snoop и т.п. костыли. Можно давать ipoe, клиенты более-менее независимы. Схема работает, многие на ней и живут, но мне она не нравится категорически. Дорогой доступ, привязка к конкретным моделям железа, изоляция клиентов друг от друга весьма условная.

1.3) изоляция с помощью traffic segmentation или port based vlan(один фиг, разные названия). Клиенты полностью изолированы, фактически самый простой способ задешево сделать умную сеть. Общение клиентов между собой в общем случае невозможно, можно организовать через костыли(proxy arp) и это даже как-то работает. На весь вилан выдается блок адресов, клиенты получаются адреса из общего блока скажем /20 практически без перерасхода.

2. каждому отдельный влан. В любом варианте клиенты полностью изолированы, видят друг друга только по L3 и только по нашему желанию.

2.1) красивый вариант - виланы терминируются на железке с ip unnumbered, на всех юзеров выделен единый блок адресов и каждый получает адрес /32, перерасхода адресов нет вообще, все довольный, все хорошо. Не хорошо разве что с ценой терминирующих железок :)

2.2) виланы терминируются на L3 свичах попроще - на каждый вилан нужна минимальная адресная сетка, это /30(адрес свича, адрес клиента, начало сети, броадкаст). А значит или 4ех кратный перерасход реальных ip, или вынужденное использование серых где подобная проблема не стоит. Плюс - дешевое железо, и на доступе и в ядре.

KaYot Бог

KaYot

Опубликовано:
Опубликовано:

2.1 - Свич с ip unnumbered нужен на доступ или на агрегации линков?

на аггрегации конечно, или вообще в ядре - фактически в том месте, где виланы сойдутся и смаршрутизируются в один и уйдут на биллинг или прямо в интернет через бордер. Можно с каждого района получать 1 влан уже стерминированный, можно всё тащить в ядро и уже там терминировать на чем-то монстрообразном.. Все упирается в фантазию и количество денег.

Spartacus Пролетал Мимо

Spartacus

Опубликовано:
  • Автор
Опубликовано:

Более-менее разобрался во всем. Скажите пожалуйста, при схеме vlan-per-user+Option82+DHCP обязательно ли нужна Option82 на свичах доступа?

И при включенном проксиАрп кудой будет ходить трафик между юзерами?

Спасибо

911 Дракон

911

Опубликовано:
Опубликовано:

Более-менее разобрался во всем. Скажите пожалуйста, при схеме vlan-per-user+Option82+DHCP обязательно ли нужна Option82 на свичах доступа?

И при включенном проксиАрп кудой будет ходить трафик между юзерами?

Спасибо

При схеме customer vlan (vlan per user) на доступе option 82 не нужна, option 82 нужна только в точке терминирования вланов (агрегация или ядро)

При включении Proxy ARP трафик между клиентами будет идти через л3 свич.

  • 6 months later...
Земеля Дьявол

Земеля

Опубликовано:
Опубликовано:

суть в том, что есть локальная сеть на 90 пользователей ( пионеры так скажем)

все было на неуправляемых свичах. решили поставить все на TP-Link TL-SL2428WEB ( сможет ли эта железка сделать

1 изоляция каждого порта ( клиента)

2 группировать порты

ядро сети cisco l2

сервер убунту

кто сможет помочь в настройке сети ? (не бесплатно )

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Перейти к списку тем

  • Сейчас на странице   0 пользователей

    • Нет пользователей, просматривающих эту страницу.
×
×
  • Создать...