Задача - авторизовать абонентов по DHCP opt.82. После выдачи адреса у абонента должен быть виден инет через PC-роутер, и локалку через L3 коммутатор, который заодно посчитает локалку.

Схема

(Интернет)-РС-роутер-L3-коммутатор-цепочка управляемых коммутаторов - DES3028 - абонент. Абонентские порты друг-друга не видят - traffic_segmentation.

Какие настройки ip выдавать по DHCP абонентам, чтобы весь трафик у них шел на L3, и какие настройки ip должны быть у L3 коммутатора? Ну ведь не создавать на каждого абонента интерфейс на L3 коммутаторе?...

Почему на этот форум? Все оборудование - D-Link.

Спасибо.

Перезвоните пожалуйста в офис по телефону 744-00-99 доб.390.

Не могу дозвониться...

Конкретизирую -
L3
ip- 10.10.0.1
mask- 255.255.255.0

Юзерям
ip- 10.10.0.xx
mask- ?

И вопросы- можно ли вообще на L3 рисовать маску 255.255.255.0? и можно ли выдать юзерю маску 255.255.255.255 и шлюз 10.10.0.1?

Стенд собрал... при маске у пользователя 255.255.255.255 - работает, трафик идет через L3. Но чем это чревато?..

Рад слышать!

какой L3 от D-Link научился разворачивать траффик на одном интерфейсе?


указывайте шлюзом - L3 свич, он будет роутить локалку, а все не локальные пакеты слать на писюк который для него default gateway ...


кол-вом разрешенны на порту IP адресов ...

_________________
с уважением, БП

DGS-3612G


И все? Боюсь что есть железо которое не сможет роутить на шлюз расположенный в другой сети...

это не циска, не умеет он этого для эксперимента попробуйте сделать следующее: втыкаете любой D-Link который умеет сегментировать в 36-й свич, пингуете с одного порта другой порт - пингуется! затем просто сегментацией сделайте так чтобы юзеры на свиче видели только 36-й свич - все! пинги пропали только либо VLAN-per-customer либо убирать сегментацию, т.к. аналога route cache same interface на этом DGS-е нету


расставим точки над i, дабы лучше понимать друг друга ... речь идет об:
- Вы используете такую маску в ACL? я про них думал когда писал про кол-во адресов на порт ...
- Вы выдаете такую маску пользователям? если да, то маска должна быть как минимум /30, т.е. 255.255.255.252 ... езернет - это не РРР, езернет не понимает маску в /32

_________________
с уважением, БП

С машины с адресом 10.10.0.6 и маской 255.255.255.255, шлюзом 10.10.0.1 (3612G)
C:\Program Files\tftpd>tracert 10.10.0.5

Трассировка маршрута к 10.10.0.5 с максимальным числом прыжков 30

1 <1 мс <1 мс 3 ms 10.10.0.1
2 <1 мс <1 мс <1 мс 10.10.0.5

Вроде как может...

А по маске пользователю 252... Это получится на каждого пользователя создавать интерфейс на L3?..

и у всех маска /30 ?


или интерфейс или алиасить IP-шники ... в любом случае - это не самый разумный выход, т.к. будет очень много интерфейов/адресов ...

_________________
с уважением, БП

На обеих машинах /30, на 3612 - /24

Так получается что замечательная идея авторизации по dhcp потерпела крах?.. На каждого юзеря интерфейс-то не создашь...

свич и авторизация по DHCP - это, если говорить честно, несовместимые понятия, свич и 802.1х - это да, это авторизация ... можно рассмотреть вариант IPMPB + DHCP Relay + Snooping, но опять же не ясно что задумывалось вначале ...
давайте пойдем с самого начала - какова вообще идея? чего именно хотите добиться? от этого и будем плясать ...

_________________
с уважением, БП

Авторизация по opt82 и Snooping разве не вариант?.. Что такое IPMPB не знаю.

Идея. На доступе 3028. В центре 3612. Необходимо без использования туннелей авторизовать юзера. Юзеры должны общаться только через центр.

IPMPB - довольно распространенное сокращение от IP MAC Port Binding


это _не_ авторизация! DHCP Relay + Option 82 - это метод выдачи определенного IP адреса на конкретный порт конкретного свича ... IPMPB + DHCP Snooping - это гарантия от фальсификации выданного IP адреса путем привязки его к МАС адресу ... как видите под понятия ААА (Аутентификация, Авторизация, Аккаунтинг) ни один из методов не попадает ...


хм ... если отказ от туннелирования - финальное решение, то в идеале - тут только VLAN на пользователя собсно 2 вопроса:
1. сколько планируете пользователей?
2. насколько большой ожидается локальный трафик?

_________________
с уважением, БП

VLAN на пользователя... Кто будет все эти вланы разруливать?... И создавать... Это совсем сложная схема получается.