Дата  Запланированые курсы
20.05 MOC-20742B. Инфраструктура идентификации на основе Windows Server 2016
20.05 MOC-10985. Введение в базы данных SQL
20.05 Работа в MS Excel. Расширенные возможности
20.05 Adobe After Effects. Создание анимации и эффектов
20.05 DEV-C21. Объектно-ориентированное программирование. Углубленное изучение. Язык С++
20.05 DEV-PY200. Объектно-ориентированное программирование на языке Python
27.05 Средства растровой графики. Adobe Photoshop
28.05 Обработка и анализ данных в базах данных (SQL, MS Access)
29.05 Автоматизация работы в Excel с использованием VBA
29.05 Java для тестировщиков. Уровень 1
03.06 NET-DLINKSW. Технологии коммутации современных сетей Ethernet
03.06 Разработка баз данных (MS Access)
03.06 Средства векторной графики. Adobe Illustrator
03.06 Компьютерное проектирование в системе AutoCAD (профессиональный курс)
03.06 MOC-20744A. Безопасность инфраструктуры средствами Windows Server 2016
03.06 DEV-J60. Технологии разработки корпоративных приложений на платформе Java Enterprise Edition (Java EE)
03.06 Основы алгоритмизации и программирования (Группа I)
10.06 Adobe Photoshop для профессионалов
17.06 DEV-J-MP+. Расширенная комплексная программа "Разработчик прикладного программного обеспечения (Язык Java)"
17.06 DEV-J10. Программирование на платформе Java. Введение в язык Java
17.06 Поисковая оптимизация (SEO)
17.06 DEV-J-CP. Комплексная программа "Разработчик прикладного программного обеспечения (Язык Java)"
17.06 DEV-C22. Стандарт С++11, С++14, С++17 для прикладного программирования
20.06 DEV-PYQT. Разработка оконных приложений Python c использованием Qt
24.06 DEV-J20. Программирование на платформе Java. Стандартные пакеты
01.07 DEV-J30. Программирование на платформе Java. Разработка многоуровневых приложений
01.07 Поисковая оптимизация (SEO) для профессионалов
08.07 Введение в тестирование программного обеспечения
08.07 Профессиональная верстка сайтов. HTML5 и CSS3
02.09 DEV-PYWEB. Разработка WEB приложений на языке Python
02.09 DEV-OCPJP. Подготовка к сдаче сертификационных экзаменов серии Oracle Certified Professional Java Programmer
02.09 DEV-QT10. Прикладное программирование на С++ с использованием Qt. Базовый уровень
09.09 DEV-J60. Технологии разработки корпоративных приложений на платформе Java Enterprise Edition (Java EE)
16.09 DEV-OCPJP. Подготовка к сдаче сертификационных экзаменов серии Oracle Certified Professional Java Programmer
30.09 Введение в тестирование программного обеспечения
30.09 Введение в тестирование программного обеспечения
30.09 Введение в тестирование программного обеспечения
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Вопрос по проектированию VLAN
skymax
#1 Оставлено : 12 декабря 2008 г. 19:04:41(UTC)
Ранг: Новичок

Группы: Зарегистрированные пользователи
Зарегистрирован: 12.12.2008(UTC)
Сообщений: 7
Баллов: 21
Откуда: Russia St. Petersburg

Код:

Ситуация следующая - есть 3 уровня:

Все устройства принадлежат одной IP-подсети.

SW3----VLAN1 Share Servers & Internet GW
tagged VLAN 2,3,4| |tagged VLAN 5,6
| |
| |
|tagged for VLAN2,3,4 |tagged for VLAN5,6
SW2 SW2'
tagged for VLAN2,3| | tagged for VLAN4 tagged VLAN5| |tagged VLAN6
| | | |
| | | |
tagged VLAN2,3 | |tagged VLAN4 tagged VLAN5| |tagged VLAN6
SW1 SW1' SW1'' SW1'''

(VLAN2,VLAN3) (VLAN4) (VLAN5) (VLAN6)


Задача состоит в том, чтобы пользователи разных VLAN на коммутаторах уровня доступа (SW1,SW1',SW1'',SW1''') имели доступ к VLAN1 на коммутаторе (SW3), но между собой общаться не могли.

Вариант решения:

Организация ассиметричной VLAN1 на SW3 (ее порты нетегированы):
Код:

Assym VLAN1:
SW3----untagged VLAN1 Share Servers & Internet GW
tagged VLAN 2,3,4| |tagged VLAN 5,6
| |
| |
|tagged for VLAN2,3,4 |tagged for VLAN5,6
SW2 SW2'
tagged for VLAN2,3| | tagged for VLAN4 tagged VLAN5| |tagged VLAN6
| | | |
| | | |
tagged VLAN2,3 | |tagged VLAN4 tagged VLAN5| |tagged VLAN6
SW1 SW1' SW1'' SW1'''

(VLAN2,VLAN3) (VLAN4) (VLAN5) (VLAN6)


В связи с этим вопрос:
Допустим на GW пришел пакет для узла во VLAN2.
Будет ли ситуация разворачиваться таким образом:
1)ARP-запрос от GW (broadcast трафик распространиться во все VLAN т.к. GW в Assym VLAN1?)
2)Направленный ARP-ответ из VLAN2 в ту же VLAN2 на коммутаторе SW3 (GW принимает кадр)
3)Далее (от GW) кадр пойдет откуда, куда и как -из VLAN2 от GW к узлу во VLAN2 или все же из VLAN1 и попадет во все VLAN-ы(т.к VLAN1 есть assym VLAN)или как?


Реклама
skymax
#2 Оставлено : 12 декабря 2008 г. 19:11:40(UTC)
Ранг: Новичок

Группы: Зарегистрированные пользователи
Зарегистрирован: 12.12.2008(UTC)
Сообщений: 7
Баллов: 21
Откуда: Russia St. Petersburg

Отмечу, что говоря о применении технологии ассиметричных VLAN, подразумеваю использование оборудования компании D-link (т.к. это их фирменная технология).
xcore
#3 Оставлено : 13 декабря 2008 г. 2:41:35(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 26.09.2007(UTC)
Сообщений: 185
Баллов: 555
Откуда: Russia Петербург

www.dlink.ru/tech...s/asymmetric%20vlan.pdf

Согласно даташиту, решение за пределами одного коммутатора не масштабируется. Буду рад ошибиться.

Если вам будет интересно, вот то, чем, скорее всего, технология инспирирована:
www.cisco.com/en/...17acad.shtml#background


p.s.: если у вас все устройства принадлежат одной подсети, зачем вам VLANs и/или как вы осуществляете маршрутизацию?

--
wbr, laa aka xcore
--
wbr, laa aka xcore
skymax
#4 Оставлено : 13 декабря 2008 г. 4:15:05(UTC)
Ранг: Новичок

Группы: Зарегистрированные пользователи
Зарегистрирован: 12.12.2008(UTC)
Сообщений: 7
Баллов: 21
Откуда: Russia St. Petersburg

Вобщем пообщался с сотрудниками D-link-а - сказали, что использовать данную схему можно, но не рекомендуется. Причина насколько я понял как раз в том, что трафик из VLAN1 может проникать в другие VLAN.

<blockquote id="quote"><font size="1" face="Verdana, Helvetica, Arial" id="quote">quote:<hr height="1" noshade id="quote"><i>Originally posted by xcore</i>
<br />

p.s.: если у вас все устройства принадлежат одной подсети, зачем вам VLANs и/или как вы осуществляете маршрутизацию?

--
wbr, laa aka xcore
<hr height="1" noshade id="quote"></blockquote id="quote"></font id="quote">

Ну я же оглашал постановку задачи - VLAN-ы разные да, а вот взаимодействовать между собой не должны(т.е. маршрутизация между ними не нужна). Т.о. использование коммутатора L3 условием не предполагается, а для походов в Интернет используем обычный маршрутизатор в "общем" (ассиметричном VLAN-е). Но в этом месте нас все равно поджидают определенные траблы(=

P.S. Жаль, но чуда не произошло
Dimitry.Ketov
#5 Оставлено : 13 декабря 2008 г. 20:06:21(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 01.12.2002(UTC)
Сообщений: 3,382
Баллов: 10,146
Откуда: Russia Санкт-Петербург

Переслал ваш запрос ответственному преподавателю по коммутации/D-Link.
Возможно вашу сеть можно будет прототипировать при помощи лабораторного обрудования факультета.
artmar
#6 Оставлено : 15 декабря 2008 г. 1:32:22(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 22.10.2003(UTC)
Сообщений: 330
Баллов: 990
Откуда: Russia СПб

Схему не ослилил.
Общий совет - если используете бюджетные решения, старайтесь избегать таких вот нау-хау от длинков, хуавеев и пр шурекомов.
Почему бы не маршрутизировать эти вланы обычным линухом, ограничив доступ средствами iptables?
Всего хорошего
Dimitry.Ketov
#7 Оставлено : 15 декабря 2008 г. 14:10:40(UTC)
Ранг: Активный Участник

Группы: Зарегистрированные пользователи
Зарегистрирован: 01.12.2002(UTC)
Сообщений: 3,382
Баллов: 10,146
Откуда: Russia Санкт-Петербург

Вашу сеть и производственную задачу можно будет прототипировать при помощи лабораторного обрудования факультета, но меньшим количеством коммутаторов.
Можете заказать услугу консультационной помощи и оттестировать все на нашей площадке.
skymax
#8 Оставлено : 15 декабря 2008 г. 18:30:18(UTC)
Ранг: Новичок

Группы: Зарегистрированные пользователи
Зарегистрирован: 12.12.2008(UTC)
Сообщений: 7
Баллов: 21
Откуда: Russia St. Petersburg

Благодарю всех за такой "живой" отклик на мой вопрос!
На данном этапе решили все же не "изобретать велосипед" (именно потому, что к описанной схеме есть претензии с точки зрения безопасности). Так что пойдем проторенной дорожкой с установкой коммутатора L3 на уровне ядра, и фильтрацией на основе ACL по IP.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.