faq обучение настройка
Текущее время: Чт июл 24, 2025 07:53

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
СообщениеДобавлено: Вт ноя 16, 2010 13:10 
Не в сети

Зарегистрирован: Пн июл 19, 2010 15:40
Сообщений: 15
Есть сеть 176.16.0.0/18. Она разделена на VLAN'ы. Для каждого VLAN'а нет жёстко сопоставленной ему IP-подсети. Как осуществить маршрутизацию между VLAN'ами в таком случае, кроме assimetric VLAN и trafic segmentation? Что делать если VLAN'ов больше 48?
Спасибо


Последний раз редактировалось KDSKDS Вт ноя 16, 2010 15:32, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 16, 2010 13:33 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Assymetric VLAN и Trafic Segmentation предназначены для другого.

Вы какое оборудование используете?

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 16, 2010 15:31 
Не в сети

Зарегистрирован: Пн июл 19, 2010 15:40
Сообщений: 15
Оборудование будет закупаться новое. Мне сейчас нужно определиться какое закупать и нарисовать механизм работы сети после модернизации
Сейчас есть DGS-3100, на них и строятся VLAN'ы и при помощи Trafic Segmentation настраивается из какого VLAN'а в какой можно ходить. Планируется более детальное раделение сети на VLAN'ы без изменения адресного пространства сети.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 16, 2010 15:35 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Сколько всего хостов в сети?

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 16, 2010 16:25 
Не в сети

Зарегистрирован: Пн июл 19, 2010 15:40
Сообщений: 15
используется порядка 500 портов (это и сетевые принтеры, и камеры, и прочее оборудование, подключённое к сети, в т.ч по 4 и более интерфейсов на серверах)
Сеть растянута вдоль трёх этажей здания. Серверная с центральными коммутаторами (где разруливаются VLAN'ы) раходится в одном конце. Посередине этажей в шахте стоят этажные коммутаторы, от них уже по комнатам. Планируется в качестве коммутаторов, к которым подключаются пользователи использовать DES-35хх (ну или аналогичные по возможностям ограничивать пользователей и пользовательские хосты). Завести все пользователькие сетевые розетки в серверную не получится физически (придётся всю скс переделывать), поэтому структура такая: комнаты-этаж-серверная


Последний раз редактировалось KDSKDS Вт ноя 16, 2010 16:29, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 16, 2010 16:28 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Лучше данную задачу решать с помощью L3 коммутатора, а на DES-3526 с помощью ACL разрешать или запрещать доступ в ту или иную подсеть.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 16, 2010 16:36 
Не в сети

Зарегистрирован: Пн июл 19, 2010 15:40
Сообщений: 15
В том-то и дело, что нет разделения на подсети, сеть одна. IP-адреса, которые нужно группировать идут совсем не по порядку. Можно делить только на уровне портов коммутатора, к которому подключились, а также IP-MAC-Port Bind, ну и плюс ещё протоколы, доступные пользователю (у него уже будет постоянный IP)
ACL позволяют формировать из списков адресов отдельные группы и потом работать уже с этими группами?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 16, 2010 16:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
KDSKDS писал(а):
... ACL позволяют формировать из списков адресов отдельные группы и потом работать уже с этими группами?


Да, создать список permit IP адресов и подсетей, а последним профилем запретить обращение к остальным.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт ноя 16, 2010 17:14 
Не в сети

Зарегистрирован: Пн июл 19, 2010 15:40
Сообщений: 15
Хорошо. Тогда такой вариант возможен? Имеются 3 коммутатора (X, Y и Z, соот-но 1-ый, 2-ой и 3-ий этажи) DES-3526 и 2 коммутатора (А и В) DGS-3650, к которым подключены серверы.
Хост1 подключаются к X DES-3526. DHCP-сервер раздаёт IP (пусть будет 172.16.10.1) на основе MAC.
Хост2 подключаются к Y DES-3526. IP 172.16.10.2.
Хост3 подключаются к Z DES-3526. IP 172.16.11.1.
Все IP должны быть занесёны в группу хостов №1 (или будет фактически 3 разных группы?). Как этой группе разрешить доступ только на порты №№1-4 коммутатора А (агрегированный порт) и порты №№7,9 и 22 коммутора В (одиночные порты)? VLAN можно задавать сразу же на нескольких коммутаторах и потом работать с ним как с одним целым и на одном центральном коммутаторе разрулить что и куда (с помощью Trafic Segmentation, как это сделано сейчас). Можно ли с помощью ACL сделать нечто подобное? Просто количество VLAN'ов будет больше количества портов на коммутаторе (некритично, DGS-3100 стекируются), да и скорость при использовании Trafic Segmentation существенно снижается (это уже критично)


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 17, 2010 11:31 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Всё зависит от того, что находится за №1-4 портами коммутатора коммутатора А, и кто и как туда имеет доступ(по L2 или по L3).

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 17, 2010 12:40 
Не в сети

Зарегистрирован: Пн июл 19, 2010 15:40
Сообщений: 15
За коммутотором А (как и В) находятся какие-то рабочие железки, например серверы. Доступ по L3 дать группе состоящей из Хост1-Хост3.
Т.е на одних коммутаторах собираются клиентские IP'ы, на других серверные/сервисные. Нужно составить правила хождения пакетов между группами клиентов и серверов. Сейчасони собираются в VLAN'ы и потом разруливаются уже VLAN'ы. Пробросить VLAN можно на любой коммутатор. Можно ли тоже самое сделать с группами ACL? Или их придётся на каждом коммутаторе создавать?


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср ноя 17, 2010 12:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow
Придётся на каждом создавать и делать ограничения доступа по src ip и dst ip.

_________________
С уважением,
Бигаров Руслан.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 28


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB