Свич DGS-3100-24 принимает до 15 вланов в каждом влане до 100 мак адресов.
все вланы сходятся на один порт где linux bridgе - для объедения этих сетей.
Ненужный трафик фильтруется файерволом(в большинстве это броадкасты). Легальный трафик это LAN игры и другой локальный трафик бегает на ура. Выход в инет через PPPoE сервер который на другом порту, где тоже все вланы. В каждой сети свой dhcp-сервер выдает адреса с маской /16
Но вот тут я заметил, что бридж показывает что у него где-то всего около 150маков. а свич показывает намного больше.
Из-за брижда один мак попадает в несколько вланов.
От сюда пару вопросов:
1) У свича заявлено "Размер таблицы МАС-адресов - 8 К", я так понимаю до 8тыс.мак адресов. А при использовании бриджа, если он передает мак почти во все вланы - сколько же клиентов можно так бриджить. 8тыс. делить на количество вланов которые участвуют в организации бриджа ? т.е. при такой схеме наверное при 1тыс. клиентов могут уже маки и дропаться - так ?
2) Можно как-то обойтись только L2 без linux брижда. чтобы была общая сеть, но фильтровать паразитный трафик. как это делает linux:
Цитата:
# в первую очереди правила которые чаще всего срабатываю, в конце которые реже и очень редко
ebtables -t filter -A FORWARD -p IPv4 --ip-proto udp --ip-dport 137:139 -j DROP #блокируем броадкасты NetBIOS
ebtables -t filter -A FORWARD -p PPP_DISC -j DROP # запр. прохождение пакетов поиска сервера pppoe 0x8863
ebtables -t filter -A FORWARD -p IPv4 --ip-proto udp --ip-dport 67:68 -j DROP # запрещаем прохождение пакетов DHCP
ebtables -t filter -A FORWARD -p ARP -i vlan100 --arp-ip-dst 10.1.0.0/22 -j DROP #запрещяем выход из сети ARP запросы которые должны остать только в этой сети 10.1.0.0/22
ebtables -t filter -A FORWARD -p ARP -i vlan100 --arp-ip-src ! 10.1.0.0/22 -j DROP #запре. выход броадкастов с левых адресов,т.е. не 10.1.0.0/22
ebtables -t filter -A FORWARD -p ARP -o vlan100 --arp-ip-dst ! 10.1.0.0/22 -j DROP #непускаем в сеть ARP запросы на сети кторых там нет.
ebtables -t filter -A FORWARD -p ARP -i vlan101 --arp-ip-dst 10.1.4.0/22 -j DROP #запрещяем выход из сети ARP запросы которые должны остать только в этой сети 10.1.4.0/22
ebtables -t filter -A FORWARD -p ARP -i vlan101 --arp-ip-src ! 10.1.4.0/22 -j DROP #запре. выход броадкастов с левых адресов,т.е. не 10.1.4.0/22
ebtables -t filter -A FORWARD -p ARP -o vlan101 --arp-ip-dst ! 10.1.4.0/22 -j DROP #непускаем в сеть ARP запросы на сети кторых там нет.
...
ebtables -t filter -A FORWARD -p ARP -i vlan113 --arp-ip-dst 10.1.52.0/22 -j DROP #запрещяем выход из сети ARP зап росы которые должны остать только в этой сети 10.1.52.0/22
ebtables -t filter -A FORWARD -p ARP -i vlan113 --arp-ip-src ! 10.1.52.0/22 -j DROP #запре. выход броадкастов с левы х адресов,т.е. ! 10.1.52.0/22
ebtables -t filter -A FORWARD -p ARP -o vlan113 --arp-ip-dst ! 10.1.52.0/22 -j DROP #непускаем в сеть ARP запросы на сети кторых там нет.
ebtables -t filter -A FORWARD -p IPv6 -j DROP
ebtables -t filter -A FORWARD -p IPv4 --ip-proto tcp --ip-dport 137:139 -j DROP #блокируем навсяк случай
ebtables -t filter -A FORWARD -p PPP_SES -j DROP # запр. пакеты сессии PPPoE 0x8864
ebtables -t filter -A FORWARD -p IPX -j DROP # блокирем IPX по EthernetII
ebtables -t filter -A FORWARD -p Length -j DROP # блокируем IEEE 802.3 Ethernet - по которому берает IPX
ebtables -t filter -A FORWARD -p NetBEUI -j DROP
ebtables -t filter -A OUTPUT -p ARP -o vlan100 --arp-ip-dst ! 10.1.0.0/22 -j DROP
ebtables -t filter -A OUTPUT -p ARP -o vlan101 --arp-ip-dst ! 10.1.4.0/22 -j DROP
...
ebtables -t filter -A OUTPUT -p ARP -o vlan113 --arp-ip-dst ! 10.1.52.0/22 -j DROP
Главная проблема это когда в сети появляется вирус который подставляет мак-пппое сервера или кто-то создает свой пппое-сервер - у остальных клиентов рвутся установленные сессии.
L2 к сожалению только в ядре и в некоторых частях сети.
Вход
Регистрация
FAQ
Поиск
