91belka 0 Posted 2013-11-29 12:17:50 Share Posted 2013-11-29 12:17:50 Ребята, подскажите, может кто сталкивался с такой проблемой. Есть сетка на 500-1000 компов, построенная на длинках, хочу запретить всем хостам доступ к сети, но при этом что бы доступ к интернету был. Все абоненты находятся в одном влане и все свичи доступа соединены в кольца, поэтому traffic_segmentation использовать не целесообразно(очень много лишней работы с разбиением на новые вланы). Доступ к сети я им закрыл и в интернет они все ходят, но проблема в том, что если запустить программку типа netlook, то она шлёт кучу арп-запросов, соответственно если 100 человек одновременно запустят что то подобное то сеть просто ляжет, ну или упадёт в производительности, а это очень плохо. Пока сделал таким образом(через веб-интерфейс коммутатора): 1. открыл всем абонентам доступ к интернет шлюзу по мак адресу 2. закрыл всем абонентам доступ к моей сети(в данном случае 10.14.0.0/16) Проблема заключается в том, как я понял, что коммутатор(в данном случае DLink DES-3200) отсекает входящий траффик, а мне нужно сделать, что бы она отсекала исходящий. Кто писал ACL правила, пожалуйста помогите а то в документации сам чёрт ногу сломит(уже 2 дня чехлюсь почти ничего непонятно). или натолкните на мысль, может я не в ту область лезу....... Link to post Share on other sites
dan_aspire 81 Posted 2013-11-29 12:58:36 Share Posted 2013-11-29 12:58:36 1000 компов в одном Л2 сегменте... Это ж какой у вас там арп-флуд по сети бегает. Вланы, вланы и ещё раз вланы, иначе трандец Link to post Share on other sites
91belka 0 Posted 2013-11-29 13:33:50 Author Share Posted 2013-11-29 13:33:50 1000 компов в одном Л2 сегменте... Это ж какой у вас там арп-флуд по сети бегает. Вланы, вланы и ещё раз вланы, иначе трандецнев не в одном Л2, сетка построена кольцами где то 3-5 колец, я пока не до конца разобрался (я работаю тут "без году неделя" ) думаете ACLки не спасут? Просто на вланы разбивать это геморойно очень...... Link to post Share on other sites
Tux 24 Posted 2013-11-29 13:34:41 Share Posted 2013-11-29 13:34:41 (edited) Зато правильно. Раз сделал и жизнь наладится. И плюс переезд на вланы можно сдать более-мнее плавный (постепенный) Edited 2013-11-29 13:35:10 by Tux Link to post Share on other sites
axl72 12 Posted 2013-11-29 13:36:13 Share Posted 2013-11-29 13:36:13 объясните, почему только вланы? можно ли сделать полную изоляцию при помощи ACL? и какие минусы& Link to post Share on other sites
91belka 0 Posted 2013-11-29 13:40:24 Author Share Posted 2013-11-29 13:40:24 Зато правильно. Раз сделал и жизнь наладится. И плюс переезд на вланы можно сдать более-мнее плавный (постепенный) а потянет ли линукс роутер около 100 вланов, в дальнейшем возможно больше? Link to post Share on other sites
logic 523 Posted 2013-11-29 13:47:32 Share Posted 2013-11-29 13:47:32 потянет Link to post Share on other sites
91belka 0 Posted 2013-11-29 15:17:07 Author Share Posted 2013-11-29 15:17:07 Спасибо за ваши советы, но они всё же немного не по теме, неужели единственный способ это создание кучи вланов? ACL ведь для чего то создан...... Link to post Share on other sites
fastvd 62 Posted 2013-11-29 15:33:25 Share Posted 2013-11-29 15:33:25 vlan only acl - не для этого! Link to post Share on other sites
91belka 0 Posted 2013-11-29 15:56:07 Author Share Posted 2013-11-29 15:56:07 vlan only acl - не для этого! А для чего? Link to post Share on other sites
dan_aspire 81 Posted 2013-11-29 15:59:18 Share Posted 2013-11-29 15:59:18 В любом случае, даже если организована работа СТП-колец, он на разделение Л2 сегментов не влияет. У вас одна подсетка - 10.14.0.0/16 - это и есть один Л2 сегмент. Нагрузка на тазик у вас не из-за количества вланов, а из-за количества информации, пробегающей через него. Link to post Share on other sites
dan_aspire 81 Posted 2013-11-29 16:01:34 Share Posted 2013-11-29 16:01:34 ACL - ну например чтоб запретить АЦЛками дхцп с клиентских портов (на новых свичах есть более вменяемые способы), например для того, чтобы ограничить количество мак адресов с порта, и т.д... Функциями фильтрации айпишников свичи доступа или агрегации нагружать не стоит - это всё забота ядра. Link to post Share on other sites
91belka 0 Posted 2013-11-29 19:30:18 Author Share Posted 2013-11-29 19:30:18 (edited) В любом случае, даже если организована работа СТП-колец, он на разделение Л2 сегментов не влияет. У вас одна подсетка - 10.14.0.0/16 - это и есть один Л2 сегмент. Нагрузка на тазик у вас не из-за количества вланов, а из-за количества информации, пробегающей через него. Спасибо за ЛикБез)) просто и понятно!PS: тазик это, я так понимаю - сервер? Edited 2013-11-29 19:39:01 by 91belka Link to post Share on other sites
91belka 0 Posted 2013-11-29 19:36:38 Author Share Posted 2013-11-29 19:36:38 ACL - ну например чтоб запретить АЦЛками дхцп с клиентских портов (на новых свичах есть более вменяемые способы), например для того, чтобы ограничить количество мак адресов с порта, и т.д... Функциями фильтрации айпишников свичи доступа или агрегации нагружать не стоит - это всё забота ядра. Погодика, ведь traffic segmentation это тоже нагрузка на свичи доступа а не на ядро, какая разница что использовать, к тому же зачем то эти свичи программируются Link to post Share on other sites
dan_aspire 81 Posted 2013-11-29 20:09:04 Share Posted 2013-11-29 20:09:04 traffic segmentation, если я правильно понял, всего лишь запрещает выполнять коммутацию внутри коммутатора, то есть, если у него в таблице маков и порт с маком источником и порт с маком-назначением в клиентских портах, то он не будет сам сразу же перенаправлять кадрымежду портами, а погонит их на аплинк. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now