Дата  Запланированые курсы
26.08 Компьютерное проектирование в системе AutoCAD (базовый курс)
26.08 Средства растровой графики. Adobe Photoshop
26.08 Инструменты бизнес-анализа Microsoft Excel: PowerPivot, PowerView
02.09 Управление IT- проектами
02.09 Поисковая оптимизация (SEO)
02.09 DEV-QT10. Прикладное программирование на С++ с использованием Qt. Базовый уровень
02.09 DEV-PYQT. Разработка оконных приложений Python c использованием Qt
02.09 DEV-OCPJP. Подготовка к сдаче сертификационных экзаменов серии Oracle Certified Professional Java Programmer
09.09 Компьютерная верстка. Adobe InDesign
09.09 Основы создания веб-сайтов. Adobe Dreamweaver
16.09 Поисковая оптимизация (SEO) для профессионалов
16.09 Разработка Web-приложений (Основы PHP)
17.09 Работа в MS Excel
23.09 Работа в MS Excel. Расширенные возможности
23.09 Средства векторной графики. Adobe Illustrator
23.09 Компьютерное проектирование в системе AutoCAD (базовый курс)
30.09 Введение в тестирование программного обеспечения
30.09 Введение в тестирование программного обеспечения
30.09 Введение в тестирование программного обеспечения
21.10 Профессиональная верстка сайтов. HTML5 и CSS3
28.10 DEV-PYWEB. Разработка WEB приложений на языке Python
25.11 Поисковая оптимизация (SEO)
09.12 Поисковая оптимизация (SEO) для профессионалов
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Вопрос по проектированию VLAN
skymax
#1 Оставлено : 12 декабря 2008 г. 19:04:41(UTC)
Ранг: Новичок

Группы: Зарегистрированные пользователи
Зарегистрирован: 12.12.2008(UTC)
Сообщений: 7
Баллов: 21
Откуда: Russia St. Petersburg

Код:

Ситуация следующая - есть 3 уровня:

Все устройства принадлежат одной IP-подсети.

SW3----VLAN1 Share Servers & Internet GW
tagged VLAN 2,3,4| |tagged VLAN 5,6
| |
| |
|tagged for VLAN2,3,4 |tagged for VLAN5,6
SW2 SW2'
tagged for VLAN2,3| | tagged for VLAN4 tagged VLAN5| |tagged VLAN6
| | | |
| | | |
tagged VLAN2,3 | |tagged VLAN4 tagged VLAN5| |tagged VLAN6
SW1 SW1' SW1'' SW1'''

(VLAN2,VLAN3) (VLAN4) (VLAN5) (VLAN6)


Задача состоит в том, чтобы пользователи разных VLAN на коммутаторах уровня доступа (SW1,SW1',SW1'',SW1''') имели доступ к VLAN1 на коммутаторе (SW3), но между собой общаться не могли.

Вариант решения:

Организация ассиметричной VLAN1 на SW3 (ее порты нетегированы):
Код:

Assym VLAN1:
SW3----untagged VLAN1 Share Servers & Internet GW
tagged VLAN 2,3,4| |tagged VLAN 5,6
| |
| |
|tagged for VLAN2,3,4 |tagged for VLAN5,6
SW2 SW2'
tagged for VLAN2,3| | tagged for VLAN4 tagged VLAN5| |tagged VLAN6
| | | |
| | | |
tagged VLAN2,3 | |tagged VLAN4 tagged VLAN5| |tagged VLAN6
SW1 SW1' SW1'' SW1'''

(VLAN2,VLAN3) (VLAN4) (VLAN5) (VLAN6)


В связи с этим вопрос:
Допустим на GW пришел пакет для узла во VLAN2.
Будет ли ситуация разворачиваться таким образом:
1)ARP-запрос от GW (broadcast трафик распространиться во все VLAN т.к. GW в Assym VLAN1?)
2)Направленный ARP-ответ из VLAN2 в ту же VLAN2 на коммутаторе SW3 (GW принимает кадр)
3)Далее (от GW) кадр пойдет откуда, куда и как -из VLAN2 от GW к узлу во VLAN2 или все же из VLAN1 и попадет во все VLAN-ы(т.к VLAN1 есть assym VLAN)или как?


Реклама
skymax
#2 Оставлено : 12 декабря 2008 г. 19:11:40(UTC)
Ранг: Новичок

Группы: Зарегистрированные пользователи
Зарегистрирован: 12.12.2008(UTC)
Сообщений: 7
Баллов: 21
Откуда: Russia St. Petersburg

Отмечу, что говоря о применении технологии ассиметричных VLAN, подразумеваю использование оборудования компании D-link (т.к. это их фирменная технология).
xcore
#3 Оставлено : 13 декабря 2008 г. 2:41:35(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 26.09.2007(UTC)
Сообщений: 185
Баллов: 555
Откуда: Russia Петербург

www.dlink.ru/tech...s/asymmetric%20vlan.pdf

Согласно даташиту, решение за пределами одного коммутатора не масштабируется. Буду рад ошибиться.

Если вам будет интересно, вот то, чем, скорее всего, технология инспирирована:
www.cisco.com/en/...17acad.shtml#background


p.s.: если у вас все устройства принадлежат одной подсети, зачем вам VLANs и/или как вы осуществляете маршрутизацию?

--
wbr, laa aka xcore
--
wbr, laa aka xcore
skymax
#4 Оставлено : 13 декабря 2008 г. 4:15:05(UTC)
Ранг: Новичок

Группы: Зарегистрированные пользователи
Зарегистрирован: 12.12.2008(UTC)
Сообщений: 7
Баллов: 21
Откуда: Russia St. Petersburg

Вобщем пообщался с сотрудниками D-link-а - сказали, что использовать данную схему можно, но не рекомендуется. Причина насколько я понял как раз в том, что трафик из VLAN1 может проникать в другие VLAN.

<blockquote id="quote"><font size="1" face="Verdana, Helvetica, Arial" id="quote">quote:<hr height="1" noshade id="quote"><i>Originally posted by xcore</i>
<br />

p.s.: если у вас все устройства принадлежат одной подсети, зачем вам VLANs и/или как вы осуществляете маршрутизацию?

--
wbr, laa aka xcore
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Ну я же оглашал постановку задачи - VLAN-ы разные да, а вот взаимодействовать между собой не должны(т.е. маршрутизация между ними не нужна). Т.о. использование коммутатора L3 условием не предполагается, а для походов в Интернет используем обычный маршрутизатор в "общем" (ассиметричном VLAN-е). Но в этом месте нас все равно поджидают определенные траблы(=

P.S. Жаль, но чуда не произошло
Dimitry.Ketov
#5 Оставлено : 13 декабря 2008 г. 20:06:21(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 01.12.2002(UTC)
Сообщений: 3,382
Баллов: 10,146
Откуда: Russia Санкт-Петербург

Переслал ваш запрос ответственному преподавателю по коммутации/D-Link.
Возможно вашу сеть можно будет прототипировать при помощи лабораторного обрудования факультета.
artmar
#6 Оставлено : 15 декабря 2008 г. 1:32:22(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 22.10.2003(UTC)
Сообщений: 330
Баллов: 990
Откуда: Russia СПб

Схему не ослилил.
Общий совет - если используете бюджетные решения, старайтесь избегать таких вот нау-хау от длинков, хуавеев и пр шурекомов.
Почему бы не маршрутизировать эти вланы обычным линухом, ограничив доступ средствами iptables?
Всего хорошего
Dimitry.Ketov
#7 Оставлено : 15 декабря 2008 г. 14:10:40(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 01.12.2002(UTC)
Сообщений: 3,382
Баллов: 10,146
Откуда: Russia Санкт-Петербург

Вашу сеть и производственную задачу можно будет прототипировать при помощи лабораторного обрудования факультета, но меньшим количеством коммутаторов.
Можете заказать услугу консультационной помощи и оттестировать все на нашей площадке.
skymax
#8 Оставлено : 15 декабря 2008 г. 18:30:18(UTC)
Ранг: Новичок

Группы: Зарегистрированные пользователи
Зарегистрирован: 12.12.2008(UTC)
Сообщений: 7
Баллов: 21
Откуда: Russia St. Petersburg

Благодарю всех за такой "живой" отклик на мой вопрос!
На данном этапе решили все же не "изобретать велосипед" (именно потому, что к описанной схеме есть претензии с точки зрения безопасности). Так что пойдем проторенной дорожкой с установкой коммутатора L3 на уровне ядра, и фильтрацией на основе ACL по IP.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.