VLAN



  • Добрый день.

    Вопрос немного не по PfSense

    Есть PfSense с настроенными двумя VLAN (VLAN200, VLAN300)

    Есть L2 свитч

    Есть хаб на 24 порта

    Схема подключения такая: PfSense - L2 Switch - Hub

    Все пользователи подключены в Hub, хаб одним портом в L2 свитч, а второй порт L2 свитча в PfSense.

    Как на L2 свитче разделить пользователей по VLAN-ам, при условии что mac адреса пользователей VLAN200 известны заранее, а пользователи VLAD300 постоянно меняются ?



  • Вопрос следует адресовать документации L2 ситча.
    И вполне возможно такого потенциала в нём.



  • Интересно с точки зрения логики как это реализовывается, в случае чего свитч с нужным функционалом можно купить



  • На основе заданных правил. Стоит как самолёт.



  • Можно подробнее? Как строяться правила ? например в коммутаторах cisco



  • 2 qshiroe

    Откуда у вас в 2016 (!) году hub ?? Да еще и на 24 порта ?



  • имеется ввиду не управляемый свитч



  • А вариант настроить на л2-свитче правило типа всё что не имеет маков от VLAN200 - присваивать VLAN300. Если такое возможно.

    Или же купить еще один простой свитч . Одним концом вокнуть его в порт л2 с untag vlan300, остальные же порты на этом просто свитче исп. только для vlan300 клиентов. Это самое простое, что приходит в голову.



  • "А вариант настроить на л2-свитче правило типа всё что не имеет маков от VLAN200 - присваивать VLAN300. Если такое возможно."

    да, это именно то что я и хочу сделать, мне интересно как это реализовывается (Если это возможно), по моему мой коммутатор не умеет этого, тогда вопрос какой умеет?



  • "Одним концом вокнуть его в порт л2 с untag vlan300, остальные же порты на этом просто свитче исп. только для vlan300 клиентов. "

    Это не будет работать т.к. например к одной розетке у пользователя через свитч могут быть подключены несколько девайсов, и грубо говоря я должен пускать в интернет только разрешенный то есть пускать один в VLAN200, остальные VLAN300



  • Мил человек. Я исхожу из того , что вы описали ранее. А сколько у вас там еще нюансов - я не телепат.



  • Да я понимаю, я это написал чтобы уточнить :) теперь остался вопрос как это реализовать



  • А тебе не приходило в голову, что для того чтоб пускать или не пускать в интернет VLANы не нужны?



  • "Да спасибо, я то думал без них не обойтись"



  • @Scodezan:

    А тебе не приходило в голову, что для того чтоб пускать или не пускать в интернет VLANы не нужны?

    Господин werter уже максимально точно описал что нужно, а именно "настроить на л2-свитче правило типа всё что не имеет маков от VLAN200 - присваивать VLAN300", для каких целей это нужно я уже разберусь, вопрос стоит "Возможно ли?" и "Как?".

    А выбранный мною способ по доступу в интернет обусловлен топологией и еще с десятком нюансов



  • @qshiroe:

    Господин werter …

    Товарищ, товарищ, ув. qshiroe :)



  • не управляемый свитч не понимает вланы
    купите второй упр. свитч.



  • всмысли не понимает vlan ? Любой не управляемый свитч сможет передать кадр с vlan



  • @qshiroe:

    всмысли не понимает vlan ? Любой не управляемый свитч сможет передать кадр с vlan

    Вообще-то как-бы не любой, а только тот который может пропустить фрейм размером 1522 байта, т.к. 802.1Q добавляет тэг увеличивающий размер фрейма на 4 байта.



  • это могут 90% свитчей на рынке, да и вопрос не в передаче кадра по сети, а в том как его фильтровать и маршрутизировать на L2 свитче



  • Из вашего ТЗ не совсем ясно кто будет навешивать vlan-тэги. Сетевая карта терминального устройства или же L2-свитч? Если свитч, то тогда вам нужно 802.1X и RADIUS. И в этом случае есть подводные камни - на HP(например) на одном порту можно держать не более 32 авторизованных клиента. Еще есть вариант использовать ip unnambered. Но в любом случаем вам для маршрутизации нужен либо L3-свитч, либо маршрутизатор (pfSense - подойдёт). Без внятного ТЗ вам вряд ли помогут. Пока что это всё похоже на рассуждения о сферических конях в вакууме.



  • Теги вешать будет L2 свитч на основе mac



  • Я всё пытаюсь уловить смысл деления на VLAN непосредственно перед pfsense.
    Цель повысить скорость передачи за счёт разделения трафика на несколько линий передачи?
    Или цель повысить безопасность сети? Или цель построить лабиринт, чтобы затеряться в нём?



  • Цель разделить широковещательный трафик и доступ к интернету, но т.к. возможности изменить топологию сети нет, то приходится изобретать велосипед.

    Кстати, решение нашел: 802.1X и авторизация по MAC (у cisco технология называется MAB)



  • ТСу все равно придется заводить виланы в pfSense т.к. рутить то больше нечем. Кстати, безопасность сети будет очень сильно страдать при использовании mac-based vlan и неуправляемых коммутаторов. Вопрос "Зачем?" остается открытым.



  • Так в PfSense они и созданы и к нему подключен коммутатор



  • Доброе.
    Повторюсь.
    Настроить на л2-свитче правило, типа всё что не имеет маков от VLAN200 - присваивать VLAN300. Если такое возможно.
    Если и вариант с доп. свитчами (описывал ранее) не подходит, то тогда никак. Не тратьте время.



  • Так решено ведь, ответ на все вопросы - 802.1x и MAC Authentication Bypass

    Можно тему закрывать.



  • qshiroe, хорошо, если ты знаешь, что делаешь.

    А я всё равно не понимаю зачем непосредственно перед pfsense делить трафик на два потока. Никакого преимущества это не даёт.



  • @qshiroe:

    Цель разделить широковещательный трафик и….

    В смысле DHCP трафик?


Log in to reply