faq обучение настройка
Текущее время: Вс июл 27, 2025 23:51

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: про количество мак адресов
СообщениеДобавлено: Вт фев 16, 2010 02:21 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
Свич DGS-3100-24 принимает до 15 вланов в каждом влане до 100 мак адресов.
все вланы сходятся на один порт где linux bridgе - для объедения этих сетей.
Изображение

Ненужный трафик фильтруется файерволом(в большинстве это броадкасты). Легальный трафик это LAN игры и другой локальный трафик бегает на ура. Выход в инет через PPPoE сервер который на другом порту, где тоже все вланы. В каждой сети свой dhcp-сервер выдает адреса с маской /16
Но вот тут я заметил, что бридж показывает что у него где-то всего около 150маков. а свич показывает намного больше.
Из-за брижда один мак попадает в несколько вланов.
Изображение
От сюда пару вопросов:
1) У свича заявлено "Размер таблицы МАС-адресов - 8 К", я так понимаю до 8тыс.мак адресов. А при использовании бриджа, если он передает мак почти во все вланы - сколько же клиентов можно так бриджить. 8тыс. делить на количество вланов которые участвуют в организации бриджа ? т.е. при такой схеме наверное при 1тыс. клиентов могут уже маки и дропаться - так ?

2) Можно как-то обойтись только L2 без linux брижда. чтобы была общая сеть, но фильтровать паразитный трафик. как это делает linux:
Цитата:
# в первую очереди правила которые чаще всего срабатываю, в конце которые реже и очень редко
ebtables -t filter -A FORWARD -p IPv4 --ip-proto udp --ip-dport 137:139 -j DROP #блокируем броадкасты NetBIOS
ebtables -t filter -A FORWARD -p PPP_DISC -j DROP # запр. прохождение пакетов поиска сервера pppoe 0x8863
ebtables -t filter -A FORWARD -p IPv4 --ip-proto udp --ip-dport 67:68 -j DROP # запрещаем прохождение пакетов DHCP

ebtables -t filter -A FORWARD -p ARP -i vlan100 --arp-ip-dst 10.1.0.0/22 -j DROP #запрещяем выход из сети ARP запросы которые должны остать только в этой сети 10.1.0.0/22
ebtables -t filter -A FORWARD -p ARP -i vlan100 --arp-ip-src ! 10.1.0.0/22 -j DROP #запре. выход броадкастов с левых адресов,т.е. не 10.1.0.0/22
ebtables -t filter -A FORWARD -p ARP -o vlan100 --arp-ip-dst ! 10.1.0.0/22 -j DROP #непускаем в сеть ARP запросы на сети кторых там нет.

ebtables -t filter -A FORWARD -p ARP -i vlan101 --arp-ip-dst 10.1.4.0/22 -j DROP #запрещяем выход из сети ARP запросы которые должны остать только в этой сети 10.1.4.0/22
ebtables -t filter -A FORWARD -p ARP -i vlan101 --arp-ip-src ! 10.1.4.0/22 -j DROP #запре. выход броадкастов с левых адресов,т.е. не 10.1.4.0/22
ebtables -t filter -A FORWARD -p ARP -o vlan101 --arp-ip-dst ! 10.1.4.0/22 -j DROP #непускаем в сеть ARP запросы на сети кторых там нет.
...
ebtables -t filter -A FORWARD -p ARP -i vlan113 --arp-ip-dst 10.1.52.0/22 -j DROP #запрещяем выход из сети ARP зап росы которые должны остать только в этой сети 10.1.52.0/22
ebtables -t filter -A FORWARD -p ARP -i vlan113 --arp-ip-src ! 10.1.52.0/22 -j DROP #запре. выход броадкастов с левы х адресов,т.е. ! 10.1.52.0/22
ebtables -t filter -A FORWARD -p ARP -o vlan113 --arp-ip-dst ! 10.1.52.0/22 -j DROP #непускаем в сеть ARP запросы на сети кторых там нет.


ebtables -t filter -A FORWARD -p IPv6 -j DROP
ebtables -t filter -A FORWARD -p IPv4 --ip-proto tcp --ip-dport 137:139 -j DROP #блокируем навсяк случай
ebtables -t filter -A FORWARD -p PPP_SES -j DROP # запр. пакеты сессии PPPoE 0x8864
ebtables -t filter -A FORWARD -p IPX -j DROP # блокирем IPX по EthernetII
ebtables -t filter -A FORWARD -p Length -j DROP # блокируем IEEE 802.3 Ethernet - по которому берает IPX
ebtables -t filter -A FORWARD -p NetBEUI -j DROP

ebtables -t filter -A OUTPUT -p ARP -o vlan100 --arp-ip-dst ! 10.1.0.0/22 -j DROP
ebtables -t filter -A OUTPUT -p ARP -o vlan101 --arp-ip-dst ! 10.1.4.0/22 -j DROP
...
ebtables -t filter -A OUTPUT -p ARP -o vlan113 --arp-ip-dst ! 10.1.52.0/22 -j DROP

Главная проблема это когда в сети появляется вирус который подставляет мак-пппое сервера или кто-то создает свой пппое-сервер - у остальных клиентов рвутся установленные сессии.
L2 к сожалению только в ядре и в некоторых частях сети.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 16, 2010 06:19 
Не в сети

Зарегистрирован: Вт апр 10, 2007 04:15
Сообщений: 24
Цитата:
1) У свича заявлено "Размер таблицы МАС-адресов - 8 К", я так понимаю до 8тыс.мак адресов. А при использовании бриджа, если он передает мак почти во все вланы - сколько же клиентов можно так бриджить. 8тыс. делить на количество вланов которые участвуют в организации бриджа ? т.е. при такой схеме наверное при 1тыс. клиентов могут уже маки и дропаться - так ?

неправильно считаете :)
размер таблицы не 8 тыс.мак адресов а 8 кбайт
1 мак имеет размер 6 байт, итого получим что таблица рассчитана на 1333 маков, а при заполнении таблицы старые записи будут просто затираться, То нагрузка на свитч увеличится .


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 16, 2010 07:56 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Да и вообще правильно использовать L3, а не L2.

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 16, 2010 08:25 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Как раз правильно 8 тысяч записей.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 16, 2010 10:38 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
а все таки как насчет маков при бридже.
я слил список маков по snmp так там маки вроде не дублируются.
ведать есть параметр, где указано на каких портах и в каких вланах присутствует этот мак.
Один и тот же мак в разных вланах для свича это 1 мак или все таки больше на то количество в скольких вланах он встречается.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 16, 2010 11:18 
Не в сети

Зарегистрирован: Пт май 05, 2006 16:52
Сообщений: 4181
Откуда: default
Maksel писал(а):
больше на то количество в скольких вланах он встречается.

Хеш мака - это влан+мак, так что если у вас один мак в разных вланах - это будет несколько маков.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 16, 2010 12:36 
Не в сети

Зарегистрирован: Пт авг 01, 2008 13:33
Сообщений: 146
Откуда: UA
svsh1990 писал(а):
Да и вообще правильно использовать L3, а не L2.

Задача сохранить единый броадкасный домен для игрушек, а L3 разобьет на сети.

_________________
Есть только миг между прошлым и будущим, именно он называется - ping.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 16, 2010 13:00 
Не в сети

Зарегистрирован: Вт авг 29, 2006 16:44
Сообщений: 2326
Откуда: Ярославль
Maksel писал(а):
svsh1990 писал(а):
Да и вообще правильно использовать L3, а не L2.

Задача сохранить единый броадкасный домен для игрушек, а L3 разобьет на сети.

Это бред. При росте сети наоборот надо разбивать на бродкастовые домены. А игрушки идут лесом. От бродкастов куча бед только.

_________________
LiveComm


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт фев 16, 2010 13:53 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Если клиенты хоят поиграть и создают на своём ПК сервер, то кто мешает остальным подключится к конкретному IP?

Разбивать сеть нужно, это факт! Иначе, будет куча проблем.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт фев 18, 2010 04:04 
Не в сети

Зарегистрирован: Пн май 18, 2009 22:59
Сообщений: 25
Посмотрите в сторону arp proxy на линукс машинке. Возможно данный документ вам поможет понять принцип: http://lartc.org/howto/lartc.bridging.proxy-arp.html

p.s. Вынося агригацию всего трафика (24 x 1GE) на линкс бокс, вы рискуете лишить возможности своих абонентов комфортно играть в игры. Это очень узкое место и по сути ваш линукс бокс должен выполнять роль всех имеющихся в сети комутаторов сразу. Подумайте имеет ли смысл урезать абонентам скорость и качество сервисов, ради сохранения единого бродкастового домена ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт фев 19, 2010 02:23 
Не в сети

Зарегистрирован: Чт май 29, 2008 17:59
Сообщений: 54
При такой схеме маки должны дублироваться, 1 раз в порту где действительно живёт + в порту , где бридж ( в каждом влане, кроме живущего ) .

Бедный CPU свитча ..... Ему наверно от такого дубляжа крышняк рвёт. Это 16влан*100пользователей в каждом * 16 дублей = 25,6 тысяч маков ...... ЖЕСТЬ


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс фев 21, 2010 10:12 
Не в сети

Зарегистрирован: Вт июл 29, 2008 14:33
Сообщений: 12
Demin Ivan писал(а):
Как раз правильно 8 тысяч записей.

Иван, почему тогда запись "8 К" в описаниях? может быть лучше написать "8 тыс."? Сам всегда думал о 8 тыс. , но недавно стали мучить сомнения :D


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн фев 22, 2010 00:17 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
8K это и есть общепринятое обозначение 8000. 8 Кбайт обозначается обычно как 8 Кб.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 29


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB