Есть желание попробовать предоставлять услугу таким образом.

Есть у кого мысли по поводу какое железо и как использовать для этих целей?

Думал 3612, но там ограничение в 255 IP-интерфейсов. Дороговато выходит на каждые 255 абонентов по 3612 ставить.

Не планируется в какой новой прошивке увеличить это число раза в 4?

Влан на клиента != ipif на клиента.

т.е. оставить им масочку как была?

А чем Вас не устраивает схема VLAN per Switch + Traffic Segmentation? При данной схеме интерфейсов DGS-3612 хватит.

P.S.: Увеличение кол-ва интерфейсов на данной серии коммутаторов не планируется.

_________________
С уважением,
Бигаров Руслан.

Мне не чтоб локалку считать.
Я хочу избавиться от IP-Mac-Port. Пусть клиент себе там творит что хочет.

При схеме, которую я описал, он и будет творить что хочет и при этом не мешать остальным, так как видеть их не будет.

_________________
С уважением,
Бигаров Руслан.

А если он перебирает маки соседей - к нему же их трафик попадёт?

А если IP и MAC соседа возьмёт?

В этом случае можно использовать ACL + Port Security.

_________________
С уважением,
Бигаров Руслан.

И что в итоге?
Опять придём к прописыванию маков абонентов?

Я же говорю - хочу уйти от этого - чтоб они могли себе всё, что угодно втыкать в сеть.

Кстати, а смогут ли обмениваться полезным трафиком клиенты, сидящие на одном свиче в общем VLAN, но разделенные Traffic segmentation? Например, на этот VLAN выделена какая-то подсеть 192.168.1.0/24, а на ближайшем DGS-3612 в этом VLAN поднят ipif 192.168.1.254/24. Получается, что пакетики в пределах этой подсети должен разруливать 3612. Поддерживает ли он такую возможность? или можно сделать как-то по-другому?

Так вы определитесь, что вам надо: разделять или нет?

VLAN на клиента нас тоже заинтерисовал особенно после ситуации подобной:
viewtopic.php?t=65137
arp-spoofing
Вообщем сейчас пришли к схеме звезда-оптика - DES 3028 на доступ- VLAN на клиента- /30-DHCP
Только чем в этой схеме VLAN-ы собирать непонятно, сейчас linux сервер этим занимается клиентов 40 нормально тянет, интересно сколько пользователей РС сможет вообще вытянуть наверное человек 200 саксимум, в любом случае терменировать VLAN ы занятие не дешевое
С L3 железом не знакомы там тоже на каждого клиента сетевой интерфейс создавать нужно? Что есть из железа на 500 - 1000 пользователей? Как быть с DHCP и белыми адресами?

как вариант traffic segmentation на доступе, и arp-proxy на L3 в итоге комп абонента видит ТОЛЬКО мак адрес L3 и обмен между абонентами (даже с одного свича) происходит через L3 а не черех L2. И так как один абонент не видит другого по L2 то подспуфить нереально ибо мак неизвестен, плюс ко всему этому еще и DHCP+Snooping.
Единственное что остается это что абонент может начать спуфить, выдавая себя шлюзом, но в таком случае достаточно на свиче запретить прохождение таких пакетов от абонента или даже тупо статически прописать мак L3 на тот порт откуда он придет.

Вопрос к Ивану, а каким образом происходит занесение маков в fdb коммутатора? На основе поля Source MAC пакета или на основе изучения ARP ответов?

А как пользователей идентифицировать в такой схеме? С VLAN просто
порт 1 - VLAN 101
.........................
порт 24 - VLAN 124
eth1.101
.........................
eth1.124
К тому же конфиги на всех коммутаторах одинаковые

у вас будет Vlan на дом. а на коммутатора просто настроена функция traffic segmentation.




Ну либо привязкой по маку на L3 (если это комп то довольно легко)
Либо какой то привязкой к порту - IPMB, IPMB DHCP-Snoop, ACL, Static FDB
либо комбинацией этих привязок.
Конфиги так же будут одинаковые, мало того в принципе сам VLAN может фигурировать только в том устройстве куда все эти коммутаторы сойдутся, на самих коммутаторах все может быть в Default VLAN. (хотя VLAN управления всеравно придется прокидывать это уж как ни крути)