Jump to content
  • 0

лан мрежи да не се виждат помежд си


freekickBG
 Share

Question

Здравейте на всички! Имам нужда от малко помощ. На втори и на трети порт на микротика съм пуснал два dhcp сървъра.Искам двете мрежи да не се достъпват една друга.Как би могло да се реализира това? Мерси предварително.

Link to comment
Share on other sites

Recommended Posts

  • 0

посредством блокиране през /ip firewall filter

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

  • 0
  • Administrator

два dhcp сървъра ли си пуснал или един dhcp сървър с две мрежи - има разлика. Иначе ако е първото отговора на въпроса е:

ip firewall filter add in-interface=ether2 out-interface=ether3 chain=forward action=drop
Link to comment
Share on other sites

  • 0

Зор ще пусне един сървър на два порта

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

  • 0

Толкова е просто да ползваш VLAN

Защо тябва да тормозиш процесора на рутера, като това може да го прави без затруднения самият суитч.

Link to comment
Share on other sites

  • 0

Толкова е просто да ползваш VLAN

Защо тябва да тормозиш процесора на рутера, като това може да го прави без затруднения самият суитч.

пример ? 

Link to comment
Share on other sites

  • 0

 

...Иначе ако е първото отговора на въпроса е:

 

ip firewall filter add in-interface=ether2 out-interface=ether3 chain=forward action=drop

 

 

Само да допълня, освен това правило би трябвало да напише и:

ip firewall filter add in-interface=ether3 out-interface=ether2 chain=forward action=drop
  • Like 1
Link to comment
Share on other sites

  • 0

Или същите но по мрежи, ако е на един интерфейс.

 

 

 

-

 

Толкова е просто да ползваш VLAN

Защо тябва да тормозиш процесора на рутера, като това може да го прави без затруднения самият суитч.

Когато се ползва един порт и останалите са към него с 'master port" работи ли ?

Edited by master

Analog Audio™

Link to comment
Share on other sites

  • 0

 

Само да допълня, освен това правило би трябвало да напише и:

ip firewall filter add in-interface=ether3 out-interface=ether2 chain=forward action=drop

Не знам дали има смисъл щото единия като не вижда другия то няма да му отговори...

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

  • 0

Не знам дали има смисъл щото единия като не вижда другия то няма да му отговори...

Малко е дълго за описване, но според мен има смисъл. Иначе си прав че другата мрежа не трябва да отговаря и пак не трябва да има връзка.

Link to comment
Share on other sites

  • 0

А не става ли да се разделят 2-те DHCP-та на 2 отделни VLAN-а. В единия например се вкарва 3-ти порт, а в другия 2-ри. В настройките на всяко DHCP се указва да раздава адреси на съответния VLAN. Ще работи ли така, че и на мен ми е интересно. Сигурно скоро ще ми се наложи да разделя суича от wi-fi интерфейса със същото условия - да не се виждат вътрешните адреси помежду си и да няма никакъв шеринг и т.н.

Link to comment
Share on other sites

  • 0

как DHCPто да разделя адреси? То само ги раздава не знам защо искаш влани и после да трябва да разтагваш трафика пред хората? просто. Това като цяло е добра идея, но влана трябва да е за всеки клиент т.е. порт на суича. за разделяне на 2 интерфейса се ползва по-горе показаното правило и е безотказно. Ако ще отделяш клиентите един от друг то тогава ще ползваш влани. Сегментацията (с влани) е по-добре винаги, но по-трудно се внедрява и зависи дали са ти много клиентите (За нуждите на офис - няма смисъл)

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

  • 0
  • Administrator

Никой нормален не си мъчи рутера с влани тоя протокол е за суичове

влан-а добавя на всеки пакет 28 бита отгоре което е процесорна загуба

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

пример ? 

(1) google.com

 

(2) $$$$$.$$

 

Коя опция избираш ?

 

 

Никой нормален не си мъчи рутера с влани тоя протокол е за суичове

влан-а добавя на всеки пакет 28 бита отгоре което е процесорна загуба

" мъчи рутера с влани тоя протокол е за суичове" ?!?!

Точно! С ВЛАН-ите не се занимава рутера (както при ip), а процесора на сутича. Този който търси в хеш таблиците кой мак на кой порт се намира.

 

"процесорна загуба"  ?!? На кой процесор точно ?

 

 

ВЛАН не подлежи на рутиране, поради това че е на Layer 2 и съответно не би трябвало да натоварва CPU, в зависимост от архитектурата.

ВЛАН-а се обработва от процесора на суитча (не от рутера), който дели МАК адресите в хеш таблици по VID.

 

По темата, ето малко от wikipedia:

Network architects set up VLANs to provide the segmentation services traditionally provided only by routers in LAN configurations.

....

By definition, switches may not bridge IP traffic between VLANs as doing so would violate the integrity of the VLAN broadcast domain.

 

VLANs can also help create multiple layer 3 networks on a single physical infrastructure. For example, if a DHCP server is plugged into a switch it will serve any host on that switch that is configured for DHCP. By using VLANs, the network can be easily split up so some hosts will not use that DHCP server and will obtain link-local addresses, or obtain an address from a different DHCP server.

VLANs are layer 2 constructs, compared with IP subnets, which are layer 3 constructs.

 

Това с 28-те бита къде го видя ?

Щото 4096 е точно 2 ^ 10. Или точно 10 бита.

Освен това, VID битовете в етернет фрейма си вървят винаги, без оглед какви са суитчовете.

....

Edited by smacker
Link to comment
Share on other sites

  • 0
  • Administrator

Прочети какво е рутер и какво е суич

и малко за леерите както и за тунелите

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

(1) google.com

 

(2) $$$$$.$$

 

Коя опция избираш ?

 

 

" мъчи рутера с влани тоя протокол е за суичове" ?!?!

Точно! С ВЛАН-ите не се занимава рутера (както при ip), а процесора на сутича. Този който търси в хеш таблиците кой мак на кой порт се намира.

 

"процесорна загуба"  ?!? На кой процесор точно ?

 

 

ВЛАН не подлежи на рутиране, поради това че е на Layer 2 и съответно не би трябвало да натоварва CPU, в зависимост от архитектурата.

ВЛАН-а се обработва от процесора на суитча (не от рутера), който дели МАК адресите в хеш таблици по VID.

 

По темата, ето малко от wikipedia:

Network architects set up VLANs to provide the segmentation services traditionally provided only by routers in LAN configurations.

....

By definition, switches may not bridge IP traffic between VLANs as doing so would violate the integrity of the VLAN broadcast domain.

 

VLANs can also help create multiple layer 3 networks on a single physical infrastructure. For example, if a DHCP server is plugged into a switch it will serve any host on that switch that is configured for DHCP. By using VLANs, the network can be easily split up so some hosts will not use that DHCP server and will obtain link-local addresses, or obtain an address from a different DHCP server.

VLANs are layer 2 constructs, compared with IP subnets, which are layer 3 constructs.

 

Това с 28-те бита къде го видя ?

Щото 4096 е точно 2 ^ 10. Или точно 10 бита.

Освен това, VID битовете в етернет фрейма си вървят винаги, без оглед какви са суитчовете.

....

предпочитам да платя нета за 1 месец и да не излизаш от google та да прочетеш малко повече

Edited by wowefect
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.