 Фильтрация на портах коммутаторов,  Sergo1, 21-Авг-07, 08:56 [смотреть все]Добрый день.
Catalyst'ы (2960, 3560...) предоставляют возможность фильтровать трафик на интерфейсе.
Очень удобно для экономии ip адресов - выделяешь клиентам в одном вилане подсеть и подключаешь каждого клиента к отдельному порту и фильтруешь трафик от соседних портов-ip адресов.
Так вот вопрос - удобнее здесь ставить фильтр на мак-адреса или же все таки на ip?
C ip проще - они воспринимаются зрительно легче, но коммутатору придется поднимать пакеты до 3-го уровня, следовательно сильнее грузиться.
С мак- адресами вроде быстрее, но зрительно они воспринимаются плохо и запутаться в них легко - кто какому порту соответствует.
Вопрос к опытным - кто как применяет и насколько сильно загружается процессор коммутатора в зависимости от величины канала на порту, для которого стоит access-list?
|
- Фильтрация на портах коммутаторов, fantom, 09:27 , 21-Авг-07 (1)
>[оверквотинг удален]
>от соседних портов-ip адресов.
>Так вот вопрос - удобнее здесь ставить фильтр на мак-адреса или же
>все таки на ip?
>C ip проще - они воспринимаются зрительно легче, но коммутатору придется поднимать
>пакеты до 3-го уровня, следовательно сильнее грузиться.
>С мак- адресами вроде быстрее, но зрительно они воспринимаются плохо и запутаться
>в них легко - кто какому порту соответствует.
>Вопрос к опытным - кто как применяет и насколько сильно загружается процессор
>коммутатора в зависимости от величины канала на порту, для которого стоит
>access-list? Хочешь экономить IP адреса - посмотри в сторону PPPoE и 802.1x
ненадо будет заморачиваться ни с mac-ами ни с нагрузкой на свич.
- Фильтрация на портах коммутаторов, Sergo1, 10:37 , 21-Авг-07 (2)
>Хочешь экономить IP адреса - посмотри в сторону PPPoE и 802.1x
>ненадо будет заморачиваться ни с mac-ами ни с нагрузкой на свич. Спасибо.
Там эконоия из-за чего идет - из-за того, что если на каждого отдельнй VLAN делать, то при выделении 1 статического ip адреса улетают 4 - сетевой, GW, клиенту и бродкаст. Если под кучу клиентов выделить бОльшую подсеть, то накладные расходы уменьшаются, но клиенты, находясь в одной подсети могут видеть трафик друг-друга. Этого и пытаемся избежать.
- Фильтрация на портах коммутаторов, fantom, 11:16 , 21-Авг-07 (3)
>>Хочешь экономить IP адреса - посмотри в сторону PPPoE и 802.1x
>>ненадо будет заморачиваться ни с mac-ами ни с нагрузкой на свич.
>
>Спасибо.
>Там эконоия из-за чего идет - из-за того, что если на каждого
>отдельнй VLAN делать, то при выделении 1 статического ip адреса улетают
>4 - сетевой, GW, клиенту и бродкаст. Если под кучу клиентов
>выделить бОльшую подсеть, то накладные расходы уменьшаются, но клиенты, находясь в
>одной подсети могут видеть трафик друг-друга. Этого и пытаемся избежать. PPPoE - на одного клиента - один IP и на всех еще один - на PPPoE сервере (концентраторе)
итого в подсеть из 16 адресов можно "запихнуть" 15 абонентов,
а если использовать динамическое выделение адресов, то в подсеть из 16 адресов - 15 одновременно работающих абонентов.
- Фильтрация на портах коммутаторов, vorch, 12:38 , 21-Авг-07 (4)
Мне почему-то кажется, что вам нужна фильтрация портов. То что на каталистах называется port protected. Все клиенты находятся в одном ВЛАНе, все имеют адреса из одной сети, но фильтрация портов настроена так, что трафик может бегать только между клиентскими портами и аплинком, но никак не между двумя клиентскими портами. Схема обычная, применяется в любом ISP.
|
Версия для распечатки
