Изолирование компьютеров в локальной сети

dragoangel

@werter глупости полнейшие. L2 managed switch на уровне ARP таблицы и ebtables режит на ура. К примеру cisco, ubiquity etc: port isolation. Я еще раз говорю: не хаб, а свитч. То же самое что guest network на wifi

werter

Причем тут ebtables и циска? Про разницу между хабом и свитчом в курсе.

Изоляция клиентов в случае ТС будет выполняться на L2 с помощью PVLAN:
https://www.reddit.com/r/networking/comments/2d0sb1/best_way_to_isolate_clients_across_large_amounts/

You are correct. Private vlans is what you want

Или дайте ссылку КАК реализовать без использования PVLAN на L2-свитче.

guest network на wifi

Проделывал на той же Openwrt:

1. VLAN (L2)
2. ebtables (L2) + iptables (L3)

Ну вот незадача, на L2-свитче (внезапно) нет аналога iptables (2-й уровень OSI и не должен уметь, то, что умеет 3-й)

luha

@werter Ну не знаю. Многие задачи как по мне проще решать именно на свичах. Ограничение трафика, разделение на группы и т.д.. Да и просто удобно - накупили пусть даже не супер дорогих, но нормальных управляемых свичей, по сети залез в админку и рулишь. Посмотреть можно статусы, кстати.

Вот для примера How to для простых свичей tp-link из любой ближайшей булочной:
https://www.tp-link.com/pl/support/faq/788/

Просто сам юзаю то тут то там TL-SG108PE и знаете решает. А про навороченные там всякие с консолью так и вовсе молчу. Функционал ух - и ГРЕ и что угодно. Любую изоляцию сделает.

werter

@luha
Я где-то написал, что НЕ надо использовать возможности свитчей?
Я написал о том, что изолировать клиентов друг от друга прийдется на уровне 2, т.е. там, где исп-ся (P)VLAN.

@dragoangel
https://ru.wikipedia.org/wiki/VLAN

Обозначение членства в VLAN
...
по MAC-адресу (MAC-based): членство в VLANe основывается на MAC-адресе рабочей станции. В таком случае сетевой коммутатор имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат.
...

Вот это ТС-у и надо. Настраивается вот так https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-350-series-managed-switches/smb5657-configure-mac-based-vlan-groups-on-a-switch-through-the-cli.html
Как по другому в этой вселенной - я не в курсе. Почему? Потому как машины, к-ые надо изолировать друг от друга, могут быть подключены (внезапно) к одному и тому порту на свитче.

luha

@werter ^_^
Ну всё! Наше дело накидать, теперь клиент пускай решает как ему лучше.

dragoangel

@werter я не спец в цысках и фиг знает как они это обзывают, но на unifi это звучит "Enable port isolation"

werter

@luha
Ваша ссылка о самом "простом" варианте - Port-based VLAN.

Kowex

Свичи там 2960.
Спасибо большое, буду пробовать, но это уже скорее всего после НГ.

Еще раз спасибо, всех с наступающим!!!

werter

@dragoangel
Описал выше ПОЧЕМУ port isolation ТС-у не подойдет.

Зы. Совет. Прежде чем, про "глупости полнейшие" писать, стоит изучить матчасть.

werter

@Kowex
Не уверен, что 2960 умеет mac-based vlan без танцев.
Может после обновления ПО сможет? Не подскажу. Попробуйте в телеге поспрашивать.

https://www.reddit.com/r/networking/comments/1fqnut/best_method_for_dynamic_vlan_on_cisco_2960_based/
https://rzemieniecki.wordpress.com/2019/01/11/cisco-switch-configuration-dynamic-vlan-assignment-to-users-device/

Зы. Всех с наступающим )

werter

@Kowex

Умеет )

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_53_se/configuration/guide/2960scg/swvlan.html
Раздел "Dynamic-Access Port VLAN Membership"

werter

@luha
На тп-линках это делается так - https://www.tp-link.com/us/configuration-guides/configuring_mac_vlan/?configurationId=18215
И самые дешевые л2-свитчи тп-линк-а это не умеют.

dragoangel

@werter said in Изолирование компьютеров в локальной сети:

Как по другому в этой вселенной - я не в курсе. Почему? Потому как машины, к-ые надо изолировать друг от друга, могут быть подключены (внезапно) к одному и тому порту на свитче.

Я с этим утверждением согласен - но как они будут подключены к одному порту? Через хаб или через другой L2 свитч? Если через другой L2 свитч - то это не беда, а вот с хабом - тут и ваша схема не проканает

luha

@werter Главное принцип понять. На свичах часто терминология не совсем соответствует механизму работы. Это делают для того чтобы меньше вводить пользователей в замешательство. По факту VLAN-ы виртуальные (каламбурчик получился), только описывают маршруты.

Да не важно, как оно называется - изолирует порты друг от друга, пускает только на шлюз. Но если прям несколько машин в один порт надо, или машину через машину... тогда ждём акробатов сетевых технологий, они подскажут что там лучше взять для основы, MAC или просто пакеты метить. ;)

Kowex

@dragoangel said in Изолирование компьютеров в локальной сети:

но как они будут подключены к одному порту? Через хаб или через другой L2 свитч?

Есть там оборудование у которого по 2 порта и подключаются друг за другом а в конце одним шнуром в свич, но оно в этой схеме не участвует и такого варианта подключения не будет.

dragoangel

@kowex voip телефоны?:) у них там есть поддержка тегирования для себя а пк\другого устройства как мост подключать. Ну и есть таких конекшенов не будет - то по маку выдавать vlan лишнее.

Kowex

@dragoangel нет, блоки реле. Но они в схеме не участвует, на них даже заострять внимания не стоит.

werter

@dragoangel

а вот с хабом - тут и ваша схема не проканает

Какие хабы в 2021-м году? Вы их где видели в последний раз-то?

pigbrother

@kowex said in Изолирование компьютеров в локальной сети:

блоки реле

Если не секрет, зачем их изолировать друг от друга?

werter

@pigbrother
Изолировать их от основной сети, возможно.