новик в технологии, сильно не бейте

есть dgs-3627g и несколько des-3526
(маршрутизатор отсутствует)

как сделать локальную сеть, что бы на отдельных 3526 между портами закрыть хождение, а всё "выкинуть" на 3627
1. можно с помощью traffic_segmentation?
(что-то не получается, пакеты уходят на 3627, а обратно на этот же 3526 в другой порт не идут)
2. с помощью vlan, на каждого юзера по подсети, справится ли 3627 (нужно будет назначать каждой vlan-овской подсети ip-интерфейс на 3627 ?),
например с 5тыс юзеров на 5 *3627 в стеке?

был бы дополнительный маршрутизатор типа cisco, возможно что-то изменилось бы, но на такие объемы подсетей для vlan per user нужна уже 10000ая ... и $..

Советую почитать на досуге:
http://www.dlink.ru/technical/files/asy ... 20vlan.pdf
http://www.dlink.ru/technical/files/Tra ... tation.pdf

читал (
может ещё не всё осмыслил, в практике не получилось с traffic_segmentation желаемого с локальной сетью

asymmetric vlan как бы хорошо, но пока не знаю, обойдусь ли одними 3627 (т.е. без отдельного маршрутизатора) для организации хождения между vlanами + дополнительные ограничения на gvrp и igmp snooping

DGS-36xx по сути - высокоскоростной маршрутизатор


тут все зависит как именно Вы хотите организовать доступ к локальной сети
- доступ без туннелирования - тогда VLAN per customer
- доступ с применением туннелирования - это либо РРРое, либо РРТР либо L2TP ... выбор типа туннелирования зависит от построения сети, клиентского оборудования, Ваших предпочтений и т.д. и т.п. ... причем для Вас, на Ваших объемах пользователей это наиболее приемлимый вариант если Вам подходит - посмотрите в сторону DSA-7110


не получится DGS-36xx не умеет разворачивать трафик в рамках одного физического интерфейса в одном VLAN ... в нескольких VLAN - запросто! но уже роутингом ... а вот в L2 - не может


max сколько сможете поддерживать:

1270 пользователей, где 254 - кол-во интерфейсов которые сможете создать (255 минус System)


на таких объемах Вам даже пары DES-72хх не хватит остается только - либо брать кота (10-ти тонник - это порядка 40-50 килобаксов) либо строить роутинг на писюках ...

_________________
с уважением, БП

локалка без тунелей, vpn только на внешку


получается traffic_segmentation в случае с общей локалкой не подходит


значит не покроем 5ю 3627 потребности в кол-ве vlan per user,
придётся отказаться и сделать общие vlan на толпу народа


snark, благодарю!
тогда всё, что прорисовывается в этой ситуации с имеющимся железом:
1. несколько вланов (отсегментировать трафик по районам) для локалки + гостевой влан (хочется 802.1х ввести, придётся отдельный radius-сервер поднять, lanbilling не сможет пустить с отрицательным балансом 802.1х, а есть карточки оплаты...) + 1 для управления свичами
2. юриков с распределёнными офисами в свои вланы+vgrp, поднять на писюшном роутере интерфейс с 802.1q и дать им доступ через него во внешку из их vlan
3. всем внешка через vpn (кроме хитрых юриков)

в настоящий момент есть сомнения по п.1 с несколькими влан для сегментации локалки по районам, нужно тестить ...
хотя опять упираюсь в запрет хождения на одном свиче трафика по портам минуя 3627 (
может есть какой-то выход учитывая вышеизложенное? начинаю опухать )

Перезвоните пожалуйста завтра в офис по телефону 744-00-99 доб.390.

и сдалось оно Вам - это хождение ... или Вы ЛБ купили как RADIUS для VPN и sFlow для локалки чтоб локальный трафик считать?


никаких проблем при сегментировании "район == подсеть" за годы эксплуатации до сих пор не выявлено
802.1х подымать не советую ибо не каждая РС ось может, а если и может, то обязательно будет кривая прокладка между креслом и клавиатурой ... а если у клиента не РС, а роутер/firewall - в сад? не думаю что стоит поднимать авторизацию на порту в операторской сети если нет огромного желания отвечать на звонки пользователей у которых "не работает"(с) ... на мой взгляд подключение должно быть для клиента максимально упрощено и идеальный вариант в этом случае: включил - работает! например: в момент "включил" Вы используете DHCP Relay + Option 82 чем даете клиенту фиксированный IP адрес привязанный к порту (ACL, IPMPB и т.д. и т.п. можно еще сверху накрутить), а зная адрес рулить им в локалке - как 2 байта переслать т.е. "работает" вообще не проблема достичь ...


вообще не проблема! в каждом районе получите 2 VLAN (системный и района) + N VLAN для юр. лиц ... немного в общем то ... VLAN-ы для юр. лиц можно даже не роутить через DGS-ы, а напрямую пускать до роутера, т.е. сделать им не маршрутизируемую сеть между офисами ...


если подразумевается учет внутрисетевого трафика, то VPN есть смысл рассматривать как средство доступа к локалке

_________________
с уважением, БП

snark, очень благодарю
рассматриваю option 82 и тп

да незачто в общем то ... Вы не сказали, Вы внутрисетевой трафик считать планируете? судя по всему - да (для этого же хотите все через sflow-aware DGS-36xx гонять), но я не уверен ... сознайтесь - будете считать?

_________________
с уважением, БП

вроде как отказались от этого,
и особенно при условии, что vlan per user без толстых кисок не получится

snark, посмотрите личку...