Перейти до

Помогите настроить ACL на DLink`е

91belka

Автор: 91belka,
в Комутатори L2

 Share Подписчики 0

Рекомендованные сообщения

91belka

91belka 0

Опубликовано:
Опубликовано:

Ребята, подскажите, может кто сталкивался с такой проблемой. Есть сетка на 500-1000 компов, построенная на длинках, хочу запретить всем хостам доступ к сети, но при этом что бы доступ к интернету был.

Все абоненты находятся в одном влане и все свичи доступа соединены в кольца, поэтому traffic_segmentation использовать не целесообразно(очень много лишней работы с разбиением на новые вланы). Доступ к сети я им закрыл и в интернет они все ходят, но проблема в том, что если запустить программку типа netlook, то она шлёт кучу арп-запросов, соответственно если 100 человек одновременно запустят что то подобное то сеть просто ляжет, ну или упадёт в производительности, а это очень плохо.

Пока сделал таким образом(через веб-интерфейс коммутатора):

1. открыл всем абонентам доступ к интернет шлюзу по мак адресу

2. закрыл всем абонентам доступ к моей сети(в данном случае 10.14.0.0/16)

 

Проблема заключается в том, как я понял, что коммутатор(в данном случае DLink DES-3200) отсекает входящий траффик, а мне нужно сделать, что бы она отсекала исходящий.

Кто писал ACL правила, пожалуйста помогите а то в документации сам чёрт ногу сломит(уже 2 дня чехлюсь почти ничего непонятно).

 

или натолкните на мысль, может я не в ту область лезу.......

Ссылка на сообщение
Поделиться на других сайтах
dan_aspire

dan_aspire 81

Опубліковано:
Опубліковано:

:blink: 1000 компов в одном Л2 сегменте... Это ж какой у вас там арп-флуд по сети бегает. Вланы, вланы и ещё раз вланы, иначе трандец

Ссылка на сообщение
Поделиться на других сайтах
91belka

91belka 0

Опубліковано:
  • Автор
Опубліковано:

:blink: 1000 компов в одном Л2 сегменте... Это ж какой у вас там арп-флуд по сети бегает. Вланы, вланы и ещё раз вланы, иначе трандецнев 

не в одном Л2, сетка построена кольцами где то 3-5 колец, я пока не до конца разобрался (я работаю тут "без году неделя" :) )  думаете ACLки не спасут? Просто на вланы разбивать это геморойно очень......

Ссылка на сообщение
Поделиться на других сайтах
Tux

Tux 24

Опубліковано:
Опубліковано: (відредаговано)

Зато правильно. Раз сделал и жизнь наладится. И плюс переезд на вланы можно сдать более-мнее плавный (постепенный)

Відредаговано Tux
Ссылка на сообщение
Поделиться на других сайтах
91belka

91belka 0

Опубліковано:
  • Автор
Опубліковано:

Зато правильно. Раз сделал и жизнь наладится. И плюс переезд на вланы можно сдать более-мнее плавный (постепенный)

а потянет ли линукс роутер около 100 вланов, в дальнейшем возможно больше?

Ссылка на сообщение
Поделиться на других сайтах
91belka

91belka 0

Опубліковано:
  • Автор
Опубліковано:

Спасибо за ваши советы, но они всё же немного не по теме, неужели единственный способ это создание кучи вланов? ACL ведь для чего то создан......

Ссылка на сообщение
Поделиться на других сайтах
dan_aspire

dan_aspire 81

Опубліковано:
Опубліковано:

В любом случае, даже если организована работа СТП-колец, он на разделение Л2 сегментов не влияет. У вас одна подсетка - 10.14.0.0/16 - это и есть один Л2 сегмент. 

Нагрузка на тазик у вас не из-за количества вланов, а из-за количества информации, пробегающей через него.

Ссылка на сообщение
Поделиться на других сайтах
dan_aspire

dan_aspire 81

Опубліковано:
Опубліковано:

ACL - ну например чтоб запретить АЦЛками дхцп с клиентских портов (на новых свичах есть более вменяемые способы), например для того, чтобы ограничить количество мак адресов с порта, и т.д... Функциями фильтрации айпишников свичи доступа или агрегации нагружать не стоит - это всё забота ядра.

Ссылка на сообщение
Поделиться на других сайтах
91belka

91belka 0

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

В любом случае, даже если организована работа СТП-колец, он на разделение Л2 сегментов не влияет. У вас одна подсетка - 10.14.0.0/16 - это и есть один Л2 сегмент.

Нагрузка на тазик у вас не из-за количества вланов, а из-за количества информации, пробегающей через него.

Спасибо за ЛикБез)) просто и понятно!

PS: тазик это, я так понимаю - сервер?

Відредаговано 91belka
Ссылка на сообщение
Поделиться на других сайтах
91belka

91belka 0

Опубліковано:
  • Автор
Опубліковано:
ACL - ну например чтоб запретить АЦЛками дхцп с клиентских портов (на новых свичах есть более вменяемые способы), например для того, чтобы ограничить количество мак адресов с порта, и т.д... Функциями фильтрации айпишников свичи доступа или агрегации нагружать не стоит - это всё забота ядра.

Погодика, ведь traffic segmentation это тоже нагрузка на свичи доступа а не на ядро, какая разница что использовать, к тому же зачем то эти свичи программируются

Ссылка на сообщение
Поделиться на других сайтах
dan_aspire

dan_aspire 81

Опубліковано:
Опубліковано:

 traffic segmentation, если я правильно понял, всего лишь запрещает выполнять коммутацию внутри коммутатора, то есть, если у него в таблице маков и порт с маком источником и порт с маком-назначением в клиентских портах, то он не будет сам сразу же перенаправлять кадрымежду портами, а погонит их на аплинк.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...