сегментиране - VLAN или рутери

[puh]

здравейте

сондирам мнения за сегментиране на мрежа. постановката е следната: топология звезда, на няколко нива - 5Ghz линкове до сравнително малки населени места - до 50-100 клиента. в селищата - комбинация от LAN и 5Ghz.

основен проблем - паразитен трафик, вируси или повреден клиентски харуер - радиото направо се чупи, всички интерфейси се товарят на максимум. във всички ретранслатори са пуснати филтри в бриджа между интерфейсите(WDS). принципно няма видимост между клиентите - надявам се .

да бъде решението - vlan от сървъра до последния ретранслатор или последният ретранслатор да рутира

предварително благодаря за вашите мнения!!!

[111111]

и имаш един гигантски броудкаст

колкото са по изолирани един от друг клиентите толкова и по малко са проблемите

[puh]

и имаш един гигантски броудкаст

колкото са по изолирани един от друг клиентите толкова и по малко са проблемите

здравейте - съвсем ме объркахте!!! ще чакам нещо да се обобщи - иначе схемата е точно каквато я описва pavlan. благодаря за споделените мнения!

[puh]

не се разбра мн добре каква ти е мрежата но схемата общо взето е

Router -> AP ? -> (ptp link) -> AP -> Client ? Примерно

на рутера дигаш vlan който върви тагнат през линк-а (WDS линк задължително)

на клиент-а вдигаш vlan на wireless интерфейса (station wds) и в бриджа вкарваш

vlan-a не wireless-a

така за всеки "клиент" имаш влан който се ънтагва на последния хоп

на всяка по-голяма точка рутер и това е...

за ЕоИП забрави освен ако не искаш да си утрепеш производителноста на радиото

здравей pavlan. благодарности за изчерпателния отговор. според теб - дали има вероятност да се получи това което описва netronix, което и при мен се получава!!!

[pavlan]

и имаш един гигантски броудкаст

колкото са по изолирани един от друг клиентите толкова и по малко са проблемите

когато говорим за отделен влан за всяко АП или клиент , който може да се ънтагне

или преди АП-то или преди клиента...

за какъв гигантски броудкаст иде реч ?

влан е именно един отделен броудкаст домейн

здравей pavlan. благодарности за изчерпателния отговор. според теб - дали има вероятност да се получи това което описва netronix, което и при мен се получава!!!

с влан-и имаш много варианти ,  прочети и си подбери най-подходящия за теб

трябва да си малко по-подробен...

ако ползваш само Микротици със station-wds имаш още повече варианти

колкото до ефекта .... на едно радио където имаш няколко wds-a към

клиенти , как филтрираш броудкаста?

все пак са в един сегмент, демек в бриджа

пробвай например за всеки клиент да тагнеш по един влан от рутера

и на АП-то да вдигнеш тези влан-и

като бриджнеш всеки wds със съответния vlan по отделно !

[111111]

wds отпада за мен като опция

[Mile]

Много усложнявате и без това сбърканата по default топология според мен. Сегменти с 8-16 потребителя са съвсем нормални. vlan per customer е удачно за блокове и етк. Сложното идва, когато изгори някой по-централен свич и се налага да си спомниш какво точно от каде си прекарал. При вирелесс-и кво да сегментираш? Ако са 2 села ок. Ако са 2 къщи какъв е смисъла?

[puh]

когато говорим за отделен влан за всяко АП или клиент , който може да се ънтагне

или преди АП-то или преди клиента...

за какъв гигантски броудкаст иде реч ?

влан е именно един отделен броудкаст домейн

с влан-и имаш много варианти ,  прочети и си подбери най-подходящия за теб

трябва да си малко по-подробен...

ако ползваш само Микротици със station-wds имаш още повече варианти

колкото до ефекта .... на едно радио където имаш няколко wds-a към

клиенти , как филтрираш броудкаста?

все пак са в един сегмент, демек в бриджа

пробвай например за всеки клиент да тагнеш по един влан от рутера

и на АП-то да вдигнеш тези влан-и

като бриджнеш всеки wds със съответния vlan по отделно !

в брджа на ап съм пуснал следния филтър:

chain=forward in-interface=ether1 out-interface=!ether1

    dst-mac-address=00:06:29:CF:40:A4/FF:FF:FF:FF:FF:FF action=drop

като в случая teher1 е входния интерфайс.

само това е като филтър и ако се наложи блокирам по мак някой който е вирусясал или... Идеята е много интересна и ще я пробвам - много благодаря!

[netronix]

Колеги я дайте идеи каква трябва да е най удачната топология за малките села. Говоря за централна точка, и от там да тръгва трафика към няколко поредни хопа. И малки села навързани на тези хопове...

[gbdesign]

Порт базиран Vlan. Клиентите виждат само рутера и не могат да се заразяват или да си пречат по между си. На практика ARP таблицата им има 1 запис.

[111111]

Порт базиран Vlan. Клиентите виждат само рутера и не могат да се заразяват или да си пречат по между си. На практика ARP таблицата им има 1 запис.

това и аз имам в предвид

преносната мрежа си е мой лан в който клиента няма видимост

[lorddredbg]

call my frend i will by hep you

[puh]

Порт базиран Vlan. Клиентите виждат само рутера и не могат да се заразяват или да си пречат по между си. На практика ARP таблицата им има 1 запис.

здравейте на всички за които темата има ниакаква стойоност. за съжаление ефекта от пускането на VLAN при мен беше нулев. конфигурацията е следната: на сервъра вдигам по един vlan за всяко населено място (брой на клиентите - около 50 в населоенот място), като на всеки vlan се вдига отделна мрежа. в крайната точка - на последното радио разтагвам vlana, който вкарвам в лана. до тук вс е добре - но трафика който възниква при вируси и др подобни си остава (мисля че pavlan описваше подобен случай) - за мое най голямо съжаление. така че според мен остава варианта за рутиране във всяко населено място и съответно + и - от това. основният минус за мен е невъзможността да направя динамичен трафик контрол - или поне не знам как да върна инфо между рутерите и основния сървър. успех на всички и ако някой има идея нека да помага. поздрави

[Mile]

Аз не успях да схвана идеята на тази постановка, но определено vlan сегментирането не е пенкилер. Има си плюсове, има си и минуси.

"вируси и др подобни си остава" каде се очаква да отиде тоя трафик с vlan-и? В космоса ли? Религията ли какво не ви позволява да шейпите на вярното място със сравнително приличен хардуер, който да удържи няколко к пакета генерирани от случайно заразена машина?

[kokaracha]

Така няма ли да стане.

Mile как мислиш.

За един хост

/sbin/route add 192.168.0.1 127.0.0.1 -blackhole

За блок хостове

/sbin/route add -net 192.168.0.0/24 127.0.0.1 -blackhole

“Destination Host Unreachable”

-blackhole на -reject

[gbdesign]

Таг базираният V-lan според мен не е удачен в случая. Аз ползвам само порт-базиран и сигментите ми са от по 512 адреса. Суичовете са програмирани с по 1 "WAN" порт дето вижда всички. Така, като се нареди дървото клиентите виждат само рутера и евентуално някой сървър, ако има такв в сигмента. Техните IP/МАС двойки са допълнително защитени със статични записи в опорните суичовете. Вирусният и броадкаст трафик не отива в космоса а се дропва от суичовете. Клиентите си получават по 40 мегабита трафик и не си пречат и не си разхвърлят вируси по между си..... Голямото сигментирането на L3 е отживелица, при условие че на пазара се продават суичове със Смарт възможности за 15 кинта. Така се избягва и редистрибутиране на нет върху собствената Ви мрежа от тарикати, вдигнали си прокси или NAT с достъп на външният интерфейс. Кражбата на МАС адреси е почти невъзможна. Също така се пилеят по малко публични адреси, защото се управляват в по-големи групи, без да е необходимо да се раздават динамично. Що се отнася до комуникация между рутерите...кеф ти MySQL, кеф ти Apache с PHP, кеф ти някой RPC протокол. Мойте си комуникират с MySQL през отделна физическа мрежа...ама всичкото L3 оборудване ми е в 1 помещение. Бъдещето е на порт базиран акаунтинг и дори трафик контрол, така че, колкото по-близо сме до тази схема, толкова по-малко ядове ще имаме.