Задать вопрос
@kirillrabinovich

Как ограничить взаимодействие хостов внутри VLAN?

Доброго времени суток коллеги!
Есть одна локалка. Ядро на стэке из двух 3750, доступ на 2960.
Как сделать так чтобы хост не мог взаимодействовать с хостами находящимися в том же влане?
Т.е. есть влан для юзеров, нужно чтобы тачки юзеров не могли взаимодействовать друг с другом.
Думал сделать route map, и пакеты в null направлять, а теперь задумался, проходят-ли пакеты внутри влана через интерфейс влана на котором роут мап будет?
  • Вопрос задан
  • 3389 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@throughtheether
human after all
Мне представляются следующие варианты.
Switchport protected на 2960 как вегетарианская замена private vlans.
Если хосты общаются между собой при помощи протоколов поверх IP, то можно подумать насчет proxy arp на устройстве, маршрутизирующем данный влан (3750).
Самый тоталитарный вариант - VLAN ACL (mac access-list, vlan access-map) на 2960. Разрешить трафик к хосту только от default gateway (учитывая FHRP, если у вас что-то подобное настроено).

Думал сделать route map, и пакеты в null направлять, а теперь задумался, проходят-ли пакеты внутри влана через интерфейс влана на котором роут мап будет?
Пакеты (фреймы) могут скоммутироваться от источника до адресата уже на уровне access, где, я предполагаю, L3-интерфейсов для этого влана нет.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 3
RicoX
@RicoX
Ушел на http://ru.stackoverflow.com/
Используйте private vlan
Ответ написан
vvpoloskin
@vvpoloskin Куратор тега Сетевое администрирование
Инженер связи
Не проходят. Используйте либо port isolation, возможно в сочетании с acl, либо влан на порт. К сожалению, L2 свичи не поддерживают такие штуки, как private vlan, vacl.
Ответ написан
Комментировать
@AZCOS
так разведи юзеров своих аксес листами,у тебя же есть 3750,он леер 3 свич.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы