Jump to content

Настройка Port-Based VLAN

kvirtu

By kvirtu,
in Switch Layer 2

 Share Followers 0

Recommended Posts

kvirtu

kvirtu 315

Posted
Posted

Подскажите есть ли смысл конфигурировать на свичах доступа клиентские порты так, чтобы они были изолированы друг от друга, но с доступом на один аплинк порт ?

Нагрузка при этом ложится на аплинк-порт или коммутационную матрицу ?

Link to post
Share on other sites
max_m

max_m 92

Posted
Posted

1.Смысл конечно есть изолировать абонов друг от друга, дабы потом не было проблем у ТП да и у Вас гемору кто что флудит в сеть.

2. Нагрузка ляжет на аплинк.

Link to post
Share on other sites
KaYot

KaYot 3,731

Posted
Posted

Скорее нагрузка никуда не ляжет, клиенты просто не будут друг друга видеть. И это(в случае наличия локалки) печально, придут к вам Вася и Петя и скажут - почему мы соседний дом видим, а друг друга в доме нет?

Link to post
Share on other sites
max_m

max_m 92

Posted
Posted

Ну скажем так все еще зависит от способа авторизации при ПППоЕ или ВПН должны увидеть при ДХЦП или статике нет. Зато меньше в сети флуда и вирусни.

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

Блин, замкнутый круг .....

Но думаю лучше будет если петя не будет видеть васю в доме, чем при флуде ничего в сегменте сети работать не будет ???

В сетке торент.

Link to post
Share on other sites
NiTr0

NiTr0 585

Posted
Posted

чем при флуде ничего в сегменте сети работать не будет ???

При флуде - засрется аплинк к примеру. Если сотка. И тоже ничего работать не будет.

ИМХО - плюсы перекроют минусы только в том случае, если делать некое подобие ip unnumbered (proxyarp крутить к примеру, хотя не уверен как оно будет, или выдавать ип с /32 маской и маршрутом на гейт через 0.0.0.0, т.е. через ифейс - 95% роутеров схавают, кроме роутеров на реалтеках, там реалтековцы ядро сильно покорежили своими хаками, винда - даже не заметит что гейт не в той же подсети что и интерфейс если маршрута на гейт не будет).

Link to post
Share on other sites
KaYot

KaYot 3,731

Posted
Posted

Если вам обмен между пользователями не особо важен - смело режьте, польза будет. Если нужна полноценная сеть - думайте о другой технологии.

'засрется аплинк' - какая-то туманная фраза не значащая ничего, если везде настроен обмен только с аплинком - мусор полетит на BRAS, которому должно быть все равно.

Link to post
Share on other sites
max_m

max_m 92

Posted
Posted

Если вам обмен между пользователями не особо важен - смело режьте, польза будет. Если нужна полноценная сеть - думайте о другой технологии.

'засрется аплинк' - какая-то туманная фраза не значащая ничего, если везде настроен обмен только с аплинком - мусор полетит на BRAS, которому должно быть все равно.

+1

Link to post
Share on other sites
martin

martin 170

Posted
Posted

я даже не знаю как надо постараться чтобы засрался аплинк.. разве что аплинк 100 мегабит )) или по цепочке включено домов 200

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

В 3526 с настройками Port-Based VLAN вроде разобрался).

В 3010G такой функции нет, но там есть Traffic Segmentation - как я понял там также надо указать пары портов, к примеру port 1 - port map 9, port 2 - port map 9 ?

Link to post
Share on other sites
NiTr0

NiTr0 585

Posted
Posted

'засрется аплинк' - какая-то туманная фраза не значащая ничего, если везде настроен обмен только с аплинком - мусор полетит на BRAS, которому должно быть все равно.

Если на один порт подать 100 мбит мусора, он пойдет на аплинк. Если аплинк сотка - тут он и скукожится...

А на нормальных управляемых свичах я к примеру не вижу смысла в port-based vlan. Либо ACL резать лишнее (мультикаст/бродкаст ненужный), либо - valn per user полноценный...

Link to post
Share on other sites
KaYot

KaYot 3,731

Posted
Posted

А где взять 100м мусора? :) В любом, самом страшном умном свиче есть storm control, и оно работает. Никаких засираний быть не может.

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

'засрется аплинк' - какая-то туманная фраза не значащая ничего, если везде настроен обмен только с аплинком - мусор полетит на BRAS, которому должно быть все равно.

Если на один порт подать 100 мбит мусора, он пойдет на аплинк. Если аплинк сотка - тут он и скукожится...

А на нормальных управляемых свичах я к примеру не вижу смысла в port-based vlan. Либо ACL резать лишнее (мультикаст/бродкаст ненужный), либо - valn per user полноценный...

До valn per user полноценный - я еще "не дорос",

для 3010g нужно включить контроль Broadcast , Multicast, Unicast storm и какой порог срабатывания выставить ? там по умолчанию 64Ксек ?

Link to post
Share on other sites
nightfly

nightfly 1,248

Posted
Posted

Никакой - бродкаст стормконтрол, это просто мера чтобы позволить сети чуть дышать при начавшемся сторме и дать возможность найти первоисточник проблемы. В нормальной сети стормить не должно в принципе.

Таки да - portbased самый простой и бюджетный способ сделать vlan per user, причем делать это можно плавно не нарушая нормального функционирования сети и не заигрываясь с куинку и агрегацией.

Link to post
Share on other sites
Gang

Gang 5

Posted
Posted

Не происходит ли путаницы в названиях ? Port based VLAN - обычный 802.1Q. То о чем идет речь - расширение стандарта 802.1Q - возможность использовать одного и того же порта в нескольких native(untagged) vlan-ах. У D-LINK'a это называется асимметричные VLAN

На длинках предпочтительней использовать трафик сегментейшин.

А насчет того, чтобы видели друг друга - на агрегации вланов следует использовать local proxy arp

Link to post
Share on other sites
Gang

Gang 5

Posted
Posted

В моем случае при использовании 3010g отлючить сторм-контроль , и настроить Traffic Segmentation ???

Не понимаю как шторм-контрол коррелирует с Traffic Segmentation.

 

У вас аплинк например в 1-м порту. Нужно изолировать абонентов, но разрешить ходить в аплинк.

 

conf traffic_segmentation 1-24 forward_list 1

conf traffic_segmentation 1 forward_list 1-24

Link to post
Share on other sites
martin

martin 170

Posted
Posted

ну не путай ты изоляцию и шторм контроль.. одно другому не мешает и это совсем разные вещи.. если у тебя есть штормы по статистике - включи , нету - не включай..

Кстати, прокси арп не спасет при трафик сегментейшн в пределах одного влана ))

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
  • Author
Posted

ну не путай ты изоляцию и шторм контроль.. одно другому не мешает и это совсем разные вещи.. если у тебя есть штормы по статистике - включи , нету - не включай..

понял, так а какой порог выставить для шторм контроль ? по умолчанию стоит 64К ???

Link to post
Share on other sites
NiTr0

NiTr0 585

Posted
Posted

А где взять 100м мусора? :)

Да легко - включить мыльницу с флудящим портом к примеру. Более сложный вариант - намеренная генерация мусорного траффика...

 

В любом, самом страшном умном свиче есть storm control, и оно работает. Никаких засираний быть не может.

Дык накой тогда вводить ограничения, если и так все работает? :)

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 0
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...