Существуют ли коммутаторы с возможностью изляции отдельных портов друг от друга?

Question

[Константин]

Здравствуйте.
Требуется подключить 9 клиентов к коммутатору, но при этом 7 из них не должны подключаться друг к другу. У остальных двух есть возможность подключаться к кому угодно.
Т.к. коммутаторы работают на канальном (2) уровне, то про ip адреса ничего не известно. Поэтому изоляция должна быть на уровне портов. Примерно так:
Порт 1, 2, 3, 4, 5, 6, 7 имеет доступ к порту 8 и 9.
Порт 1, 2, 3, 4, 5, 6, 7 между собой не имеют доступа.
Порт 8 и 9 не имеют ограничений и могут подключаться куда угодно.

По сути это фунциональность фаервола в роутере, но решил поинтересоваться, есть ли такое в коммутаторах.
Или всё таки проще взять роутер?

Comments

[Valentin Barbolin]

Можно взять L2 свич и прописать ACCESS-LIST.

[Константин]

Andrey Barbolin, спасибо, можете привести названия пары моделей, где 100% есть ACCESS-LIST?

[Valentin Barbolin]

Константин, Если коммутатор обозначен как L2, то там 99.9% есть ACL.
Сisco,HP,Junper,Huawei)

[Константин]

Andrey Barbolin, понял, спасибо.
вот тут например будет? https://www.tp-link.com/ru/business-networking/eas...

[Valentin Barbolin]

Константин, Нет.
Тебе нужен "управляемый коммутатор уровня 2" и выше.

[Константин]

Andrey Barbolin, тогда я не понимаю какой нужен. Можете привести пример.

[Valentin Barbolin]

Константин, https://www.tp-link.com/ru/business-networking/sma...

[Константин]

Andrey Barbolin, спасибо, понял.

Answer 1

[Василий Банников]

Да. Эта фича называется vlan.
Должна быть во всех управляемых коммутаторах.
Но как конкретно это реализовать - не подскажу.

Comments

[Valentin Barbolin]

При использовании VLAN нужен роутер или L2 коммутатор который умеет назначать несколько access vlan на один порт.

[Армянское Радио]

Andrey Barbolin, сейчас цисковская терминология смешается в кучу с тезисами из учебника и получится малопонятная субстанция.

Потому что если речь идет о том, что мы на порт вешаем тегированный трафик, тогда все становится понятно - подключенный к порту девайс будет вешать теги, и так железка будет понимать, в какой vlan какой пакет швырять.

если же мы говорим о нетегированном порте, в который вдруг стали сваливаться пакеты (без тега?) из разных VLAN, то как это потом разгребать на получателе, и по какому правилу раскладывать по VLAN ответные пакеты коммутатору?

[Василий Банников]

Армянское Радио, кстати говоря, я как раз на цисках и учился :)

[Valentin Barbolin]

Армянское Радио,

если же мы говорим о нетегированном порте, в который вдруг стали сваливаться пакеты (без тега?)

Ты наверное сейчас сильно удивишься, и долго будешь задавать вопрос зачем. Да, есть коммутаторы которые позволяют назначать несколько не тегированных VLAN на один порт. И да, пакет от клиента сразу попадает во все не тегированные VLAN.

[Армянское Радио]

Василий Банников, Да аналогично, в общем-то. Потом открываешь HP - а там все другое. Открываешь другой HP - опять все другое. Открываешь HUAWEI - о, все как у циски :)

[Армянское Радио]

Andrey Barbolin, может, опечатка? во все нетегированные vlan?

[Valentin Barbolin]

Армянское Радио, Да, на одном порту можно указать несколько access VLAN.

[Армянское Радио]

Andrey Barbolin, Как называется устройство? Производитель, модель - ?

[Valentin Barbolin]

Армянское Радио, https://support.huawei.com/enterprise/en/doc/EDOC1...

[Армянское Радио]

Andrey Barbolin, так там половина мануала посвящена полиси, которая как раз и задает правила, по которым из пачки навешанных на интерфейс access-vlan назначается какой-то конкретный

[Valentin Barbolin]

Армянское Радио, https://support.huawei.com/enterprise/en/doc/EDOC1...

Answer 2

[Армянское Радио]

Посадить порты 1-7 каждый в свой отдельный VLAN и сделать эти порты нетегированными (access).
Порты 8-9 сделать тегированными (trunk).

Тогда трафик из 1-7 будет раздельно приходить на 8-9, но между собой они общаться не смогут. Опять же, при условии, что на устройствах, воткнутых в 8-9 не будет никакой маршрутизации между VLAN (которых на эти устройства будет приходить минимум по 7 штук)

Comments

[Константин]

спасибо,
после фразы "Опять же, при условии" я уже запутался.

Возможно же будет подключаться с 8 порта на 9 (по ip адресам уже) и наоборот?

[Армянское Радио]

Константин, да, возможно. Нужно понимать, что на 8 и 9 машине у вас будет по 8 штук виртуальных сетевых адаптеров, 7 из которых будут смотреть в соответствующие сети 1-7, а восьмой - для связи между узлами 8 и 9.

[Константин]

Армянское Радио, т.е. мне надо будет создать в windows или linux прям 7 виртуальных адаптеров? Вы серьёзно?

[Армянское Радио]

Константин, а в чем проблема с моей "серьезностью"? В системах с большим количеством VLAN, узловые машины могут иметь и 30, и 50 и больше адаптеров.

[Константин]

Армянское Радио, я не расчитывал что в клиентской машине придётся вносить изменения. Слишком накладно

Answer 3

[Strabbo]

У коммутаторов Cisco есть такой функционал, называется Private Vlan.

Answer 4

[Александр Карабанов]

И у D-Link есть. Называется traffic segmentation.

Answer 5

[Drno]

проще взять микротик... и дешевле и полный функционал получите.
но по факту коенчно достаточно VLAN или управляемого свитча, но не думаю что это выйдет дешевле