Jump to content

VLAN'ы

Spartacus

By Spartacus,
in For newbies

 Share Followers 6

Recommended Posts

Spartacus

Spartacus 0

Posted
Posted

Была у нас сетка на тупых свичах, сейчас все на Л2. Хотим сделать vlan-per-user.

 

Какая разница между vlan на юзера(802.1q),port-based и Traffic Segmentation(Dlink). Также private vlan. Везде по разному пишут, у всех вендоров свои названия, ппц..

 

При port-based 802.1q недоступен, тоесть я не смогу прокинуть влан(802.q) через свич в котором используется port-based?

 

При vlan-per-user (802.1q) минимум выделяется сеть /30 для юзера, не пойму почему, почему не /32 т.е. 1 айпишник. Так же нужно создать на свиче агрегации эти вланы и в ядре, что не требуется от port-based or Traffic Segmentation?

 

Задача - изолировать юзеров один от одного.

 

 

И еще когда будет vlan-per-user(или порт бейсед),юзеры изолированы. Я так понял, никто ни с кем не сможет напрямую обмениватся файлами, в игры игать и т.д. Возможно ли запустить впн сервер к которому будут конектится желающие видеть один одного, т.е. какбы общая впн минисеть.

 

На подобных сайтах был, читал, гуглил :)

http://ru.wikipedia.org/wiki/VLAN

http://xgu.ru/wiki/VLAN

 

Извините за столь глупые вопросы. Спасибо

Link to post
Share on other sites
  • Replies 80
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

KaYot

А что тут рассказывать то? Есть всего 2 варианта предоставления услуг. 1. все в одном вилане. а дальше варианты: 1.1) изоляция между клиентами отсутствует полностью, обычно для доступа к инету испол

_WesT_

Без знаков препинания крайне неудобно читать...   А может просто помочь человеку разобраться с проблемой? А не сразу посылать в лес? Или нечего сказать?

Дмитро

Я думаю в вашем случае будет проще и главное эффективнее нанять по месту работы знающего человека, учитывая, что у вас 1000 абонентов. Не обеднеете.

Posted Images

icecybe

icecybe 35

Posted
Posted

а не влом ли вам более подробно прочитать про структуру сетей принцип сегментирования ? Я думаю ваш выбор будет ясен когда поймёте что для зверей предлагайте какие сервисы и скоростя также методы устранения использования логином чужими людьми.

# Регистрация: Сегодня, 20:44

Пилите Шура пилите всё только начинается :)

Link to post
Share on other sites
_WesT_

_WesT_ 1,016

Posted
Posted

Без знаков препинания крайне неудобно читать...

 

А может просто помочь человеку разобраться с проблемой? А не сразу посылать в лес? Или нечего сказать?

Link to post
Share on other sites
icecybe

icecybe 35

Posted
Posted

в лес не посылаю, без аббераций :) . Придерживая стандарт. Прежде чем покупать любое устройство/прибор/машину/инструмент надо читать что ? = Правильно инструкцию. Так-же и тут. Правда инструкция чуток больше. Ето и придаст ему знаний и не только.

Всё что надо было написал чуток выше. Повторять не вижу смысла.

пс. Если влом читать- писать - думать -писать-думать..., нечему тут помогать.

Link to post
Share on other sites
_WesT_

_WesT_ 1,016

Posted
Posted

Может человеку не влом писать, читать, думать. Может тяжело разобраться?

Вы же сами знаете как это бывает... Тем более он говорит что перерыл инфы. Но знаю сам что такой инфы вагон. Может Вы все же ссылкой кинете? Вот, я думаю, будет настоящая помощь.

 

З.Ы. И сам бы помог, да это не мой конек.

Link to post
Share on other sites
icecybe

icecybe 35

Posted
Posted

1. непонятно что раздаёт

2. куда раздаёт

3 строение сети

4. метод авторизаций

5. сервисы в сети... мне еше пречислять.

Лично не хочу да и не буду такое обьяснять да и тратить время. Ето не сложно и инфы просто терабайты.. читайте. Всё словами на форуме просто не обьяснить. Недаром же советую читать и вы мне противоречьте.

Link to post
Share on other sites
Mobil

Mobil 68

Posted
Posted

Делайте vlan на дом + DHCP Optn82 А клиент смогут видеть друг друга в приделах одного дома или же через шлюз.(при помощи маршрутизации)

Link to post
Share on other sites
Spartacus

Spartacus 0

Posted
  • Author
Posted

а не влом ли вам более подробно прочитать про структуру сетей принцип сегментирования ? Я думаю ваш выбор будет ясен когда поймёте что для зверей предлагайте какие сервисы и скоростя также методы устранения использования логином чужими людьми.

Не влом, читал и читаю, задаю вопросы.

 

Делайте vlan на дом + DHCP Optn82 А клиент смогут видеть друг друга в приделах одного дома или же через шлюз.(при помощи маршрутизации)

А если клиенты в доме - это часники и госструктуры(которым необходима полная изоляция). Хотелось бы влан на юзера.

 

1. непонятно что раздаёт

2. куда раздаёт

3 строение сети

4. метод авторизаций

5. сервисы в сети... мне еше пречислять.

Лично не хочу да и не буду такое обьяснять да и тратить время. Ето не сложно и инфы просто терабайты.. читайте. Всё словами на форуме просто не обьяснить. Недаром же советую читать и вы мне противоречьте.

 

~1000 юзеров, Freebsd 8, stg+ipnat+ipfw+arp+dhcp, топология - оптическая звезда(волокно на дом). Авторизация ip-mac (+авторизатор для желающих). Из сервисов только интернет, на будущее IPTV,VoIP. Скоростя от 1 до 10мбит(через несколько месяцев тарифы 10-100мбит), вырастет нагрузка.

Вот именно что инфы терабайты, надеялся что мне на форуме немного их разжуют))

Link to post
Share on other sites
nevidomuj

nevidomuj 33

Posted
Posted

Я звичайно не профі в тому, але як на мене то найпростіше буде поставити на доступ обладнання з порт бейсед влан, ну і влан на будинок в додатку)

Якщо таке не буде працювати, то поясніть коротко чому)

Link to post
Share on other sites
Дмитро

Дмитро 320

Posted
Posted

Я думаю в вашем случае будет проще и главное эффективнее нанять по месту работы знающего человека, учитывая, что у вас 1000 абонентов. Не обеднеете.

Link to post
Share on other sites
horror

horror 23

Posted
Posted

А если клиенты в доме - это часники и госструктуры(которым необходима полная изоляция). Хотелось бы влан на юзера.

?

А что мешает на частников один влан, на госструктуры другой?

Странно у меня никто никому не мешает.

Link to post
Share on other sites
KaYot

KaYot 3,731

Posted
Posted

А что тут рассказывать то? Есть всего 2 варианта предоставления услуг.

1. все в одном вилане. а дальше варианты:

1.1) изоляция между клиентами отсутствует полностью, обычно для доступа к инету используются тоннели. С этого все начинают, а некотрые этим и заканчивают)

1.2) изоляция с помощью умного доступа - acl, ip-mac-port binding, ip source guard, dhcp snoop и т.п. костыли. Можно давать ipoe, клиенты более-менее независимы. Схема работает, многие на ней и живут, но мне она не нравится категорически. Дорогой доступ, привязка к конкретным моделям железа, изоляция клиентов друг от друга весьма условная.

1.3) изоляция с помощью traffic segmentation или port based vlan(один фиг, разные названия). Клиенты полностью изолированы, фактически самый простой способ задешево сделать умную сеть. Общение клиентов между собой в общем случае невозможно, можно организовать через костыли(proxy arp) и это даже как-то работает. На весь вилан выдается блок адресов, клиенты получаются адреса из общего блока скажем /20 практически без перерасхода.

2. каждому отдельный влан. В любом варианте клиенты полностью изолированы, видят друг друга только по L3 и только по нашему желанию.

2.1) красивый вариант - виланы терминируются на железке с ip unnumbered, на всех юзеров выделен единый блок адресов и каждый получает адрес /32, перерасхода адресов нет вообще, все довольный, все хорошо. Не хорошо разве что с ценой терминирующих железок :)

2.2) виланы терминируются на L3 свичах попроще - на каждый вилан нужна минимальная адресная сетка, это /30(адрес свича, адрес клиента, начало сети, броадкаст). А значит или 4ех кратный перерасход реальных ip, или вынужденное использование серых где подобная проблема не стоит. Плюс - дешевое железо, и на доступе и в ядре.

Link to post
Share on other sites
KaYot

KaYot 3,731

Posted
Posted

2.1 - Свич с ip unnumbered нужен на доступ или на агрегации линков?

на аггрегации конечно, или вообще в ядре - фактически в том месте, где виланы сойдутся и смаршрутизируются в один и уйдут на биллинг или прямо в интернет через бордер. Можно с каждого района получать 1 влан уже стерминированный, можно всё тащить в ядро и уже там терминировать на чем-то монстрообразном.. Все упирается в фантазию и количество денег.

Link to post
Share on other sites
Spartacus

Spartacus 0

Posted
  • Author
Posted

Более-менее разобрался во всем. Скажите пожалуйста, при схеме vlan-per-user+Option82+DHCP обязательно ли нужна Option82 на свичах доступа?

И при включенном проксиАрп кудой будет ходить трафик между юзерами?

Спасибо

Link to post
Share on other sites
911

911 140

Posted
Posted

Более-менее разобрался во всем. Скажите пожалуйста, при схеме vlan-per-user+Option82+DHCP обязательно ли нужна Option82 на свичах доступа?

И при включенном проксиАрп кудой будет ходить трафик между юзерами?

Спасибо

При схеме customer vlan (vlan per user) на доступе option 82 не нужна, option 82 нужна только в точке терминирования вланов (агрегация или ядро)

При включении Proxy ARP трафик между клиентами будет идти через л3 свич.

Link to post
Share on other sites
  • 6 months later...
Земеля

Земеля 729

Posted
Posted

суть в том, что есть локальная сеть на 90 пользователей ( пионеры так скажем)

все было на неуправляемых свичах. решили поставить все на TP-Link TL-SL2428WEB ( сможет ли эта железка сделать

1 изоляция каждого порта ( клиента)

2 группировать порты

ядро сети cisco l2

сервер убунту

кто сможет помочь в настройке сети ? (не бесплатно )

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 6
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...