Страница 1 из 1

vlan per user

СообщениеДобавлено: 07 сен 2010, 16:11
borin
Код: Выделить всё
[des-3200]
           \
[des-3200]-- [SNR L2 с SFP]...NAS...
           /             
[des-3200]           

Топология звезда.
Интересует правильно ли я понимаю технологию организации vlan per user, пользователи не видят друг друга, видят только NAS???

На DES-3200 пусть 28 порт будет аплинк и уходить оптикой в SNR, создаю VLAN следующим способом:
VLAN11 1untag,28untag
VLAN12 2untag,28untag
VLAN13 3untag,28untag
.....

SNR аналогично...

Re: vlan per user

СообщениеДобавлено: 08 сен 2010, 05:07
borin
VLAN11 1untag,28untag
VLAN12 2untag,28untag
VLAN13 3untag,28untag
........

ммм.. при такой схеме я получаю тупой свич а аплинком, а мне же и управлять надо еще... => получается надо так:
VLAN11 1untag,28tag (не публикуем)
VLAN12 2untag,28tag (не публикуем)
VLAN13 3untag,28tag (не публикуем)
......
VLANadm 28tag (публикуем)

Re: vlan per user

СообщениеДобавлено: 08 сен 2010, 07:05
root
если тебе нужно что бы юзеры видели только NAS, тогда на него и выведи все vlan`ы

порты между всеми девайсами транковые (tagged)
схема на примере одно влана:
Код: Выделить всё
USER <==> (Port 2 ->VLAN11 untag)[des-3200](Port 24->VLAN11 tag) <==> (Port 24 ->VLAN11 tag) [SNR L2 с SFP] (Port 1 ->VLAN11 tag) <=> (em0 -> VLAN11 tag) [NAS] <==> INET

а на NAS`е запрещаешь фаиром трафик между вланами

т.к. все порты между устройствами транковые, туда же в транк потом додавляешь ещё вланов, в том числе и "влан управления", в котором у тя висит IP-адрес свича на который ты будешь заходить для управления

Re: vlan per user

СообщениеДобавлено: 08 сен 2010, 07:17
borin
Это получается 1000 абонентов = 1000 VLAN + служебные VLAN

ммм... и еще NAS на Linux, доступ pppoe, это получается надо запускать экземпляр pppoe-server на каждый VLAN, интересно справится нет?

Re: vlan per user

СообщениеДобавлено: 08 сен 2010, 08:41
root
borin писал(а):Это получается 1000 абонентов = 1000 VLAN + служебные VLAN

получается так

borin писал(а):это получается надо запускать экземпляр pppoe-server на каждый VLAN

другого варианта не вижу
хотя если идет влан на каждого абонента свой, то можно и отказаться от pppoe и повеисть на каждый влан сетку /30

borin писал(а):интересно справится нет?

это можно будет узнать только опытным путем

Re: vlan per user

СообщениеДобавлено: 08 сен 2010, 18:03
borin
Тут подумал, есть еще такой вариант, железо то умное, т.е. VLAN на коммутатор + Traffic Segmentation, тогда вланов получается в разы меньше или все же лучше vlan на пользователя.

И еще сразу то не написал будет же Cisco 3750, на ней же можно будет терминировать VLAN, но чтоб пользователи видели только сервер pppoe? Тогда получается не придется поднимать кучу VLAN на NAS.

Re: vlan per user

СообщениеДобавлено: 08 сен 2010, 19:17
root
borin писал(а):на ней же можно будет терминировать VLAN, но чтоб пользователи видели только сервер pppoe? Тогда получается не придется поднимать кучу VLAN на NAS.

PPPoE - Point-to-point protocol over Ethernet
PPPoE :: Теория вопроса:
Сначала клиент должен инициировать PPPoE сессию (initiation).
Для этого он посылает специальный пакет Active Discovery Initiation (PADI).
Данный пакет посылается на broadcast Ethernet адрес (ff:ff:ff:ff:ff:ff), что логично, так как клиент пока не знает адреса сервера доступа.

Как ты считаешь, если ты терминируешь влан на каталисте, то сможет клиент подключиться ? Исходя из теории.

ты же не PPTP поднимать собрался ;)

Re: vlan per user

СообщениеДобавлено: 09 сен 2010, 05:18
borin
root писал(а):Как ты считаешь, если ты терминируешь влан на каталисте, то сможет клиент подключиться ? Исходя из теории.

ты же не PPTP поднимать собрался ;)


Под терминацией имел ввиду, NAS воткну в кошку в untag-порт и добавлю его во все VLAN, получится схема клиенты не видят друг друга, но все видят NAS.

Re: vlan per user

СообщениеДобавлено: 09 сен 2010, 19:01
root
borin писал(а):в кошку в untag-порт и добавлю его во все VLAN

и каким же образом ты это сделаешь ?
кошка не dlink, порт или транковый (tag) или аксесовый (untag)
единственное что мона на кошке сделать, юзая команду native vlan, так это что транковый порт (tag) все же будет аксесом (untag), но только в одном влане
т.е. например если на транковом (tag) порту дать команду:
Код: Выделить всё
native vlan 112

то все пакеты, который прилетают на порт без tag`а, будут тагироваться как пришедшие из vlan 112