Изоляция абонентов в пределах сети.
Добавлено: 02 мар 2017 19:25
Коллеги, сеть зоопарк из MES2124 порядка , D-Link DES-3528, DES-3526, DES-3200. Агрегация на нескольких MES-3124F
1 vlan на всех, порядка 10 тыс абонентов, сделана была древовидная структура и использовался protected порт и длинковый аналого traffic segmentation. Все работало как часы, юзер видел только мак роутера и все. Но пришлось прокинуть арендованный вилан из разных ветвей дерева, в итоге пришлось отключить протектед порт в центре сети, и абоненты начали "видеть" маки из удаленной половины сети.
Встал вопрос что делать. Из вариантов.
1. ACL на магистральных портах, учитывая, что на Eltex на исходящих портах вешать ACL нельзя, придется вещать на входящих магистральных портах других коммутаторов, пропуская мак только роутера основного. Не ахти мне кажется решение, мак поменять, сервер добавить, целый праздник будет.
2. Unnambered ip вилан, раскидать дома по разным виланам, внутри них оставить proteсted порты, на 3124 пробросить все эти виланы в тот, где висит интерфейс роутера, и таким образом решить проблему, подводных камней не вижу, организовать дерево внутри дома как правило не сложно. Но хотелось бы чтобы для установки коммутатора в разных домах настройки не приходилось менять, сделать бы ремап где-то на агрегации, чтобы младший персонал себе голову не забивал, но вот где и на чем?
3. Private vlan, в новой прошивке MES3124F наконец появилась фича, вроде как самое оно, ну вообще но самое оно. Начал изучать, и ,похоже, private vlan надо спускать до уровня абонентского порта, т.к. host порт работает как нетегированный порт, и я не уверен, что он пропустит какие-либо дополнительные тегированные пакеты других виланов. Те недостаточно на агрегации будет поднять pvlan и назначить магистрали как primiscuous , а в сторону домов host порты, там не только абонентские виланы, но и всякие разные другие. Да и untaged на магистралях как-то не правильно. А до абонентского порта спустить мешает наличие DES-3526 где pvlan не реализован, да и на MES-2124 его я тоже не видел пока.
Если кто решал подобную проблему, поделитесь опытом, как делали, очень нужно.
1 vlan на всех, порядка 10 тыс абонентов, сделана была древовидная структура и использовался protected порт и длинковый аналого traffic segmentation. Все работало как часы, юзер видел только мак роутера и все. Но пришлось прокинуть арендованный вилан из разных ветвей дерева, в итоге пришлось отключить протектед порт в центре сети, и абоненты начали "видеть" маки из удаленной половины сети.
Встал вопрос что делать. Из вариантов.
1. ACL на магистральных портах, учитывая, что на Eltex на исходящих портах вешать ACL нельзя, придется вещать на входящих магистральных портах других коммутаторов, пропуская мак только роутера основного. Не ахти мне кажется решение, мак поменять, сервер добавить, целый праздник будет.
2. Unnambered ip вилан, раскидать дома по разным виланам, внутри них оставить proteсted порты, на 3124 пробросить все эти виланы в тот, где висит интерфейс роутера, и таким образом решить проблему, подводных камней не вижу, организовать дерево внутри дома как правило не сложно. Но хотелось бы чтобы для установки коммутатора в разных домах настройки не приходилось менять, сделать бы ремап где-то на агрегации, чтобы младший персонал себе голову не забивал, но вот где и на чем?
3. Private vlan, в новой прошивке MES3124F наконец появилась фича, вроде как самое оно, ну вообще но самое оно. Начал изучать, и ,похоже, private vlan надо спускать до уровня абонентского порта, т.к. host порт работает как нетегированный порт, и я не уверен, что он пропустит какие-либо дополнительные тегированные пакеты других виланов. Те недостаточно на агрегации будет поднять pvlan и назначить магистрали как primiscuous , а в сторону домов host порты, там не только абонентские виланы, но и всякие разные другие. Да и untaged на магистралях как-то не правильно. А до абонентского порта спустить мешает наличие DES-3526 где pvlan не реализован, да и на MES-2124 его я тоже не видел пока.
Если кто решал подобную проблему, поделитесь опытом, как делали, очень нужно.