VLAN
-
Да я понимаю, я это написал чтобы уточнить :) теперь остался вопрос как это реализовать
-
А тебе не приходило в голову, что для того чтоб пускать или не пускать в интернет VLANы не нужны?
-
"Да спасибо, я то думал без них не обойтись"
-
А тебе не приходило в голову, что для того чтоб пускать или не пускать в интернет VLANы не нужны?
Господин werter уже максимально точно описал что нужно, а именно "настроить на л2-свитче правило типа всё что не имеет маков от VLAN200 - присваивать VLAN300", для каких целей это нужно я уже разберусь, вопрос стоит "Возможно ли?" и "Как?".
А выбранный мною способ по доступу в интернет обусловлен топологией и еще с десятком нюансов
-
-
не управляемый свитч не понимает вланы
купите второй упр. свитч. -
всмысли не понимает vlan ? Любой не управляемый свитч сможет передать кадр с vlan
-
всмысли не понимает vlan ? Любой не управляемый свитч сможет передать кадр с vlan
Вообще-то как-бы не любой, а только тот который может пропустить фрейм размером 1522 байта, т.к. 802.1Q добавляет тэг увеличивающий размер фрейма на 4 байта.
-
это могут 90% свитчей на рынке, да и вопрос не в передаче кадра по сети, а в том как его фильтровать и маршрутизировать на L2 свитче
-
Из вашего ТЗ не совсем ясно кто будет навешивать vlan-тэги. Сетевая карта терминального устройства или же L2-свитч? Если свитч, то тогда вам нужно 802.1X и RADIUS. И в этом случае есть подводные камни - на HP(например) на одном порту можно держать не более 32 авторизованных клиента. Еще есть вариант использовать ip unnambered. Но в любом случаем вам для маршрутизации нужен либо L3-свитч, либо маршрутизатор (pfSense - подойдёт). Без внятного ТЗ вам вряд ли помогут. Пока что это всё похоже на рассуждения о сферических конях в вакууме.
-
Теги вешать будет L2 свитч на основе mac
-
Я всё пытаюсь уловить смысл деления на VLAN непосредственно перед pfsense.
Цель повысить скорость передачи за счёт разделения трафика на несколько линий передачи?
Или цель повысить безопасность сети? Или цель построить лабиринт, чтобы затеряться в нём? -
Цель разделить широковещательный трафик и доступ к интернету, но т.к. возможности изменить топологию сети нет, то приходится изобретать велосипед.
Кстати, решение нашел: 802.1X и авторизация по MAC (у cisco технология называется MAB)
-
ТСу все равно придется заводить виланы в pfSense т.к. рутить то больше нечем. Кстати, безопасность сети будет очень сильно страдать при использовании mac-based vlan и неуправляемых коммутаторов. Вопрос "Зачем?" остается открытым.
-
Так в PfSense они и созданы и к нему подключен коммутатор
-
Доброе.
Повторюсь.
Настроить на л2-свитче правило, типа всё что не имеет маков от VLAN200 - присваивать VLAN300. Если такое возможно.
Если и вариант с доп. свитчами (описывал ранее) не подходит, то тогда никак. Не тратьте время. -
Так решено ведь, ответ на все вопросы - 802.1x и MAC Authentication Bypass
Можно тему закрывать.
-
qshiroe, хорошо, если ты знаешь, что делаешь.
А я всё равно не понимаю зачем непосредственно перед pfsense делить трафик на два потока. Никакого преимущества это не даёт.
-
