VLAN в одном Aruba 1930 (JL685A) реально сделать без маршрутизации?

Question

[SergeyShibka]

Подскажите кто настраивал Aruba 1930 (JL685A), можно ли так реализовать VLAN. PC1 (VLAN 10) и PC2 (VLAN 11) должны видеть SERVER1 (VLAN 5). Между собой PC1 и PC2 видеть не должны. Подсеть одна. Настраиваю через веб интерфейс. Или это только маршрутизацией рулить с разными подсетями? Совсем запутался.

Comments

[SergeyShibka]

Akina, Сервер это пусть будет шара на win10. Можно задать подсети, если это нужно, но тогда это уже чистая маршрутизация получается , а не маркировка?

[Руслан Федосеев]

с такой адресацией работать не будет.
разные вланы - разные сети.
Ну и соответственно для роутинга между вланами нужен роутер.

[Akina]

SergeyShibka,

но тогда это уже чистая маршрутизация получается

Вот этой фразы не понял вообще... какая ещё маршрутизация, если тебе, наоборот, надо обеспечить НЕпрохождение трафика между узлами?

[fdroid]

Это не ответ, но на на коммутаторах D-Link есть, вроде бы, такая фича как port isolation. Погуглите, и если это решит ваш вопрос, то поищите аналогичную функцию в арубе.

[Akina]

fdroid,

на коммутаторах D-Link есть, вроде бы, такая фича как port isolation.

Traffic Segmentation. Я об этом уже писал.

Answer 1

[Армянское Радио]

Нужна маршрутизация (L3)

Answer 2

[Akina]

1. Перенастроить одну из рабстанций, сделать на станциях непересекающиеся подсети.
2. В сервер добавить вторую сетевую карту и подключить к коммутатору.
3. Один из портов к серверу включить в VLANID=10, второй соответственно VLANID=11.
4. Настроить интерфейсы сервера на соответствующие подсети.
5. Убедиться, что на сервере выключена маршрутизация между интерфейсами.



--------------------------------------

Valentin Barbolin выложил ссылку на документацию, что позволяет предложить более простое решение.

Для организации изоляции портов используется настройка Protected Ports (стр. 198).

В показанной в вопросе схеме все три порта (2, 3 и 48) включаются как untagged в один и тот же VLAN (например, в VLANID = 100). После чего порты 2 и 3 настраиваются как protected. В итоге трафик с портов 2 и 3 может форвардиться только и исключительно в порт 48, поскольку он в данном VLANID - единственный незащищённый. В то же время трафик с порта 48 может форвардиться в любой порт данного VLAN.



Да, абсолютной изоляции в этой схеме не добиться. Например, если компьютер запросит с сервер список известных NetBIOS-ресурсов, то в списке будет и второй компьютер. Хотя он и будет недостижим.

Comments

[SergeyShibka]

Это понятно, с такими костылями. Думал может есть возможность, чтобы свитч отдавал уже не маркированый трафик VLAN 10 и VLAN 11 с порта 48 на сервер?

[Akina]

SergeyShibka,

Это понятно, с такими костылями.

Костыли, говоришь? Нет, этот как раз ПРАВИЛЬНОЕ построение многосегментной сети на управляемом коммутаторе.
И вообще, тебе что, сетевой карты жалко? портов нехватает? патчи кончились?

Думал может есть возможность, чтобы свитч отдавал уже не маркированый трафик VLAN 10 и VLAN 11 с порта 48 на сервер?

На порте может быть только один немаркированный VLAN. Нет, есть режимы с нескольким untagged VLAN на одном порте (скажем, тот же VoiceVLAN) - но поверь, ты застрелишься настраивать виртуальные интерфейсы на своём "сервере", ведь каждый виртуальный интерфейс должен работать от имени своего МАС (Windows, тем более десктопная, относится к этим вопросам крайне неаккуратно, забыть и поменять МАС на дефолтный, который случайный, как два пальца), и всё это надо будет прописывать на порте коммутатора (если он вообще это умеет).

[SergeyShibka]

Akina, Т.е. при такой схеме, если у меня будет 5ть подсетей, придется ставить в каждый сервер по 5ть сетевых?

[Akina]

SergeyShibka, если тебе надо 5 компьютеров подключить к серверу так, чтобы они могли взаимодействовать только с сервером, но не между собой, то тебе нужен коммутатор как минимум L2+, на котором можно настроить режим изоляции портов. Тогда да, можно обойтись и одной подсетью, и одним VLANID, и одной сетевой в "сервере".

[SergeyShibka]

Akina, Так вроде этот 1930 умеет L2+, тогда где у него эта изоляции портов не пойму.

[Akina]

SergeyShibka, у тебя есть описание управления этим коммутатором? через веб или комстроку, неважно. А то на HPE сейчас хрен чё найдёшь.

Будь у тебя D-Link, я б сразу ткнул в Traffic Segmentation... поищи в настройках аналог, вдруг имеется. Тогда вообще всё просто и прозрачно получится. Ищи такую настройку, где для каждого отдельного порта указывается список портов. Типа такого:

[Valentin Barbolin]

Akina,
> На порте может быть только один немаркированный VLAN.
Есть коммутаторы которые позволяют на один порт вешать несколько немаркированных (untagget) vlan. (huawei, netgear, foxgate и т.д.)

[SergeyShibka]

Akina, понял, спасибо поищу похожее.

[SergeyShibka]

Valentin Barbolin, спасибо, буду смотреть.

[Akina]

Valentin Barbolin, Да, но в подобных случаях точное определение, куда будет форвардиться пакет, определяется дополнительными правилами и, соответственно, настройками. Я уже упоминал VoiceVLAN, типичнейший представитель такого мультивключения, но там хотя бы понятно, что происходит. Что-то аналогичное надо настраивать и в указанных случаях. Коммутатор-то вполне способен форвардить в несколько вланов, но когда придут ответы, ему что, разорваться?

[Valentin Barbolin]

Akina, VoiceVLAN это отдельная тема, я же говорю про несколько untagget vlan на одном порту.

> Коммутатор-то вполне способен форвардить в несколько вланов, но когда придут ответы, ему что, разорваться?
Коммутаторы второго уровня управляют трафиком на основании mac таблиц, так же в таблице содержится информацию о vlan в котором находить мак. Пакет внутри управляемой сети так или иначе промаркирован в какой-то vlan, даже если это untgget, то для коммутатора это vlan1. Поэтому при выборе маршрута участвует не только mac, но и vlan. Нет никакой проблемы что бы одинаковый мак адрес светился одновременно в разных VLAN на одном коммутаторе.

[Akina]

VoiceVLAN это отдельная тема, я же говорю про несколько untagget vlan на одном порту.

Что тут отдельного-то? два untagged VLAN на одном порту, как ты и говоришь. Просто включение в один VLAN - port-based, а в другой - МАС-based. С приоритетом МАС-based назначения.

Пакет внутри управляемой сети так или иначе промаркирован в какой-то vlan, даже если это untgget, то для коммутатора это vlan1.

o_O Кто тебе сказал такую глупость?
Или имеется в виду не внутри управляемой сети, а внутри управляемого коммутатора? Так там все пакеты тегованные.

А откуда VLANID=1 у тебя мог затесаться, я в принципе не понимаю.