forum.opennet.ru - "Фильтрация на портах коммутаторов" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Фильтрация на портах коммутаторов"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Фильтрация на портах коммутаторов"
Сообщение от Sergo1 (??) on 21-Авг-07, 08:56
Добрый день. Catalyst'ы (2960, 3560...) предоставляют возможность фильтровать трафик на интерфейсе. Очень удобно для экономии ip адресов - выделяешь клиентам в одном вилане подсеть и подключаешь каждого клиента к отдельному порту и фильтруешь трафик от соседних портов-ip адресов. Так вот вопрос - удобнее здесь ставить фильтр на мак-адреса или же все таки на ip? C ip проще - они воспринимаются зрительно легче, но коммутатору придется поднимать пакеты до 3-го уровня, следовательно сильнее грузиться. С мак- адресами вроде быстрее, но зрительно они воспринимаются плохо и запутаться в них легко - кто какому порту соответствует. Вопрос к опытным - кто как применяет и насколько сильно загружается процессор коммутатора в зависимости от величины канала на порту, для которого стоит access-list?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Фильтрация на портах коммутаторов, fantom, 09:27 , 21-Авг-07, (1)

Фильтрация на портах коммутаторов, Sergo1, 10:37 , 21-Авг-07, (2)

Фильтрация на портах коммутаторов, fantom, 11:16 , 21-Авг-07, (3)

Фильтрация на портах коммутаторов, vorch, 12:38 , 21-Авг-07, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Фильтрация на портах коммутаторов"

Сообщение от fantom (ok) on 21-Авг-07, 09:27

>[оверквотинг удален]
>от соседних портов-ip адресов.
>Так вот вопрос - удобнее здесь ставить фильтр на мак-адреса или же
>все таки на ip?
>C ip проще - они воспринимаются зрительно легче, но коммутатору придется поднимать
>пакеты до 3-го уровня, следовательно сильнее грузиться.
>С мак- адресами вроде быстрее, но зрительно они воспринимаются плохо и запутаться
>в них легко - кто какому порту соответствует.
>Вопрос к опытным - кто как применяет и насколько сильно загружается процессор
>коммутатора в зависимости от величины канала на порту, для которого стоит
>access-list?
Хочешь экономить IP адреса - посмотри в сторону PPPoE и 802.1x
ненадо будет заморачиваться ни с mac-ами ни с нагрузкой на свич.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Фильтрация на портах коммутаторов"

Сообщение от Sergo1 (ok) on 21-Авг-07, 10:37

>Хочешь экономить IP адреса - посмотри в сторону PPPoE и 802.1x
>ненадо будет заморачиваться ни с mac-ами ни с нагрузкой на свич.
Спасибо.
Там эконоия из-за чего идет - из-за того, что если на каждого отдельнй VLAN делать, то при выделении 1 статического ip адреса улетают 4 - сетевой, GW, клиенту и бродкаст. Если под кучу клиентов выделить бОльшую подсеть, то накладные расходы уменьшаются, но клиенты, находясь в одной подсети могут видеть трафик друг-друга. Этого и пытаемся избежать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Фильтрация на портах коммутаторов"

Сообщение от fantom (ok) on 21-Авг-07, 11:16

>>Хочешь экономить IP адреса - посмотри в сторону PPPoE и 802.1x
>>ненадо будет заморачиваться ни с mac-ами ни с нагрузкой на свич.
>
>Спасибо.
>Там эконоия из-за чего идет - из-за того, что если на каждого
>отдельнй VLAN делать, то при выделении 1 статического ip адреса улетают
>4 - сетевой, GW, клиенту и бродкаст. Если под кучу клиентов
>выделить бОльшую подсеть, то накладные расходы уменьшаются, но клиенты, находясь в
>одной подсети могут видеть трафик друг-друга. Этого и пытаемся избежать.
PPPoE - на одного клиента - один IP и на всех еще один - на PPPoE сервере (концентраторе)
итого в подсеть из 16 адресов можно "запихнуть" 15 абонентов,
а если использовать динамическое выделение адресов, то в подсеть из 16 адресов - 15 одновременно работающих абонентов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Фильтрация на портах коммутаторов"

Сообщение от vorch on 21-Авг-07, 12:38

Мне почему-то кажется, что вам нужна фильтрация портов. То что на каталистах называется port protected. Все клиенты находятся в одном ВЛАНе, все имеют адреса из одной сети, но фильтрация портов настроена так, что трафик может бегать только между клиентскими портами и аплинком, но никак не между двумя клиентскими портами. Схема обычная, применяется в любом ISP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Фильтрация на портах коммутаторов"
Сообщение от fantom (ok) on 21-Авг-07, 09:27
>[оверквотинг удален] >от соседних портов-ip адресов. >Так вот вопрос - удобнее здесь ставить фильтр на мак-адреса или же >все таки на ip? >C ip проще - они воспринимаются зрительно легче, но коммутатору придется поднимать >пакеты до 3-го уровня, следовательно сильнее грузиться. >С мак- адресами вроде быстрее, но зрительно они воспринимаются плохо и запутаться >в них легко - кто какому порту соответствует. >Вопрос к опытным - кто как применяет и насколько сильно загружается процессор >коммутатора в зависимости от величины канала на порту, для которого стоит >access-list? Хочешь экономить IP адреса - посмотри в сторону PPPoE и 802.1x ненадо будет заморачиваться ни с mac-ами ни с нагрузкой на свич.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Фильтрация на портах коммутаторов"
	Сообщение от Sergo1 (ok) on 21-Авг-07, 10:37
	>Хочешь экономить IP адреса - посмотри в сторону PPPoE и 802.1x >ненадо будет заморачиваться ни с mac-ами ни с нагрузкой на свич. Спасибо. Там эконоия из-за чего идет - из-за того, что если на каждого отдельнй VLAN делать, то при выделении 1 статического ip адреса улетают 4 - сетевой, GW, клиенту и бродкаст. Если под кучу клиентов выделить бОльшую подсеть, то накладные расходы уменьшаются, но клиенты, находясь в одной подсети могут видеть трафик друг-друга. Этого и пытаемся избежать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Фильтрация на портах коммутаторов"
	Сообщение от fantom (ok) on 21-Авг-07, 11:16
	>>Хочешь экономить IP адреса - посмотри в сторону PPPoE и 802.1x >>ненадо будет заморачиваться ни с mac-ами ни с нагрузкой на свич. > >Спасибо. >Там эконоия из-за чего идет - из-за того, что если на каждого >отдельнй VLAN делать, то при выделении 1 статического ip адреса улетают >4 - сетевой, GW, клиенту и бродкаст. Если под кучу клиентов >выделить бОльшую подсеть, то накладные расходы уменьшаются, но клиенты, находясь в >одной подсети могут видеть трафик друг-друга. Этого и пытаемся избежать. PPPoE - на одного клиента - один IP и на всех еще один - на PPPoE сервере (концентраторе) итого в подсеть из 16 адресов можно "запихнуть" 15 абонентов, а если использовать динамическое выделение адресов, то в подсеть из 16 адресов - 15 одновременно работающих абонентов.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Фильтрация на портах коммутаторов"
Сообщение от vorch on 21-Авг-07, 12:38
Мне почему-то кажется, что вам нужна фильтрация портов. То что на каталистах называется port protected. Все клиенты находятся в одном ВЛАНе, все имеют адреса из одной сети, но фильтрация портов настроена так, что трафик может бегать только между клиентскими портами и аплинком, но никак не между двумя клиентскими портами. Схема обычная, применяется в любом ISP.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]