не могу понять, если делать везде сегментацию <порт юзера в только в аплинк> и <из аплинка в любой порт>, в таком случае traffic_segmentation и per_user_vlan взаимозаменяемы или нет?
И кто нибудь использует traffic_segmentation в продакшене? На всем форуме нет вообще упоминаний об этом.

заранее спс за объяснение

нет, не взаимозаменяемы. под vlan-per-user понимают теггирование трафика пользователя и проброс его наверх, где маршрутизатор разберётся. traffic segmentation в приложении к виланам - это asymmetric vlan, когда каждый юзер в вилане, и этот вилан обоими нетеггированными концами смотрит в порт юзера и в аплинк, а вилан аплинка смотрит всюду нетеггированно

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Я имею в виду по функциональности это одно и тоже?
Если у вышестоящего коммутатора сегментация сделана так, что бы пакеты с порта нижнего коммутатора шли только только в 1 аплинк порт и так до центра сети, который, как и в случае с виланами, разберется кому куда можно и с какой скоростью. Какая разница, тегирован траффик или не тегирован, юзеры друг с другом общаются только через центр сети. Каковы + и - обоих подходов?

Для вашего описания с traffic_segmentation нужно использовать схему vlan per switch. Что касается самих схем, то их различие довольно подробно описано на тематических сайтах в Интернете.

да что то поиск результатов не дает. Судя по вашему ответу, получается что при полном ограничении пользователей, которое я описал, все же они смогут друг друга видеть минуя разруливающее ядро? Иначе зачем влан на каждый коммутатор? Не понимаю.
Поэтому конкретизирую и повторю вопрос: коммутатор может отправить пакет в тот же порт, с которого этот пакет пришел, или нет? Это же запрещено в коммутаторах, нет? Т.е. сегментация трафика работает только в рамках одного коммутатора?

да, сегментация - только в рамках одного. поэтому и нужен влан на свитч

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

щас выставил на всех коммутаторах(8 шт DES1228ME) на дереве с глубиной 4 сегментацию:
config traffic_segmentation 1-27 forward_list 28
подключены друг к другу через 28 порт, у корня 28 порт воткнут в шлюз на фре.
Управляющих вланов нет, все в одной сети.

Итого c ноута на одном из конечных коммутаторов:
1. комутаторы в выше по линии к шлюзу пингуются
2. другие коммутаторы не пингуются
3. с ноута на одном из коммутаторов не могу пропинговать другой ноут, куда бы он не был воткнут (пока сегментацию не включил пинговались)

Т.Е. наблюдается полная изоляция абонент-шлюз, ну в точности как если бы был vlan-per-user(port) c туевой кучей влан интерфейсов на фре

ЧЯДНТ?

угу, с гирляндой работать должно нормально

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Не плохое решение, для урезания доступа пользователей на центре. Сам бы воспользовался точно таким же, только вот будет ли DGS-3627G обрабатывать ACL на ~4000 пользователей?

А какие коммутаторы используете?

DES 1228ME и 3016

На 4000 возможны потери udp трафика. А вообще все зависит от того как строить. И вообще какую роль будет выполнять DGS-3627G?

Пока в сети не возникло петли, все будет работать одинаково. В случае возникновения петли, если использовать сегментацию трафика колбасить будет весь сегмент, а в случае использования кучи вланов, только соответствующий влан.

Если я не ошибаюсь, то 30** модели, сильно подверженны к колизиям мак адресов. Если 3016 подвержены, то лучше использовать вланы.
П.с. почему сразу, влан на юзера? Можно влан на дом.

Влан на дом означает слабо контролируемый бродкаст в пределах сегмента + заразился один абонент => заразятся все + недохакеры достанут абонентов?


loop detection не спасает?

По поводу 4 тыс абонентов. Наверное необязательно все тащить в ядро, можно сделать доп. уровень агрегирования на любой железке поддерживающей сегментацию и локал проксиарп, не?

И еще, какая железка нужна, что бы при перюзер вланы (1-2к шт) терминировать? Подойдет 3627? И как это сконфигурировать на этой конкретной железке? С помощью QinQ из одно влана в другой конвертить - не вариант, вланов много, умножаем на порты...
Создать 1-2к системных интерфейсов и для того чтобы маршрутизировать между вланами придется каждому абоненту раздавать свою подсеть с маской в 30 бит?
Или все прюзер вланы загонять на фрю с аналогичным количеством интерфейсов - ну не серьезно.

Или я что то недопонимаю? Занимаюсь сетями на управляемых коммутаторах очень и очень недолго, так что если что не так поправьте плз
Или я еще мало знаю (что скорее всего) или traffic_segmentation aka private vlan - наше всио!