На сколько актуальные L3 коммутаторы? Как вы делаете VLAN, на самом Mikrotik или ставит L3 комок, потом соединяете L3 и Mikrotik портом ACCESS?

Question

[bassoon48]

Добрый вечер. В этот раз постараюсь без холивара и вежливо :)

Самый главный вопрос, что меня гложет. Вот раньше лет 10+ назад нам говорили что L3 коммутатор типа это ОЧЕНЬ БЫСТРЫЙ маршрутизатор.

Но ведь это полнейшая чушь!

раньше да, роутер роутит NAT и туннели (он слабый и дохлый по SWITCH чипам), а L3 коммутатор лишь гоняет трафик по локалке супер быстро и соединяет L2 свитчи

Но сейчас если мы возьмём какой-нибудь CCR2216-1G-12XS-2XQ роутер и коммутатор L3 топовый - CRS518-16XS-2XQ-RM.

Сразу видно на сколько немощный и ущербный процессор у L3 комка. На уровне Rb2011. Единственный плюс - он дешевле на 1000$ если тебе надо маршрутизировать 1000 вланов в локалке.

Ну то есть L3 коммутатор кроме как в Дата-Центрах, Телекомах и супер огромных конторах на 10 тысяч человек со своей AS и белыми Ip адресами не нужен? Там где надо гонять 4000 влан на скоростях 100 гигабит экономия 1000$ за штуку весьма весомая чем покупать роутер вместо свитча.

Более простым конторам достаточно купить CCR2216-1G-12XS-2XQ и всё?

Хорошо тогда такой вопрос. Как вы делите сеть на VLAN если не используете L3? Просто берёте Mikrotik. SFP1-SFP2 для провайдеров.

Далее bridge SFP3-SFP12, делаем все порты TRUNK и уже на этот бридж навешиваем 20-100 вланов?

И потом просто суём оптику в любой L2 свитч и говорим - вот ты будешь отвечать за 1-5 вланы, а вот ты за 6-10 и так далее.

Самое главное чтоб центральный Brige микротика ЗНАЛ все вланы.

Или ещё такой способ, без VLAN, физический. Просто навешиваем на каждый порт свою подсеть

SFP3 - подсеть 1.0
SFP4 - подсеть 2.0
SFP5 -...

И так далее.

Последний вариант мне нравится больше (меньше гемора) + проще с туннелями потом меньше нюансов (а они есть).

Кароче по порядку жду ответы на 3 вопроса.

П. С. Телеком и дата-центры мало интересуют, но тоже пишите пофиг

Comments

[Valentin Barbolin]

Боже меня сохрани строить ядро сети на mikrotik. Как роутер mikrotik ОК, но как маршрутизатор - слишком не предсказуем.

[bassoon48]

Valentin Barbolin, почему?

CCR2216-1G-12XS-2XQ

Хочется такую игрушку. Хочу

[shurshur]

Valentin Barbolin, чем роутер отличается от маршрутизатора? Может, где-то тут имелось в виду свитч/коммутатор?

[shurshur]

bassoon48, L3-свитч отличается от маршрутизатора тем, что функции маршрутизации в нём значительно более ограничены, фактически есть только довольно базовые. Например, он не умеет firewall и nat, может не поддерживать фрагментацию транзитных пакетов, в нём вероятно нет conntrack, нельзя сделать policy routing, может вообще не быть BGP/OSPF, да и на BGP Fullview там банально может не быть достаточно памяти. Всё это позволяет очень сильно экономить ресурсы, но ограничивает варианты использования. Поэтому напрямую сравнивать производительность процессора или другие характеристики тут нельзя, потому что эти ресурсы тут банально по-разному используются.

L3-свитч - это в некоторых сценариях неплохой вариант для большого внутреннего трафика, более выгодный, чем целый маршрутизатор. У нас вот такие используются, а наружу, во внешний интернет смотрят нормальные маршрутизаторы, которые в том числе делают nat, но они просто полягут от внутреннего трафика, ибо на него не рассчитаны. Там ещё и все сервера воткнуты в два свитча в бондинг, а свитчи в HSRP собраны, так что умирание одного из свитчей не приведёт к развалу сети. Ибо жуткие требования SLA. Кровавый энтерпрайз требует кровавых методов.

В целом да, в обычной локалке типичной конторы L3-свитч вряд ли имеет смысл. Достаточно L2 и маршрутизатор (возможно даже софтовый, а не железный) в другие вланы, другие сети и наружный интернет.

[bassoon48]

shurshur, чем отличатся vds от VPS?)

Так же и тут роутер и маршрутизатор это одно и то же.

Член и х.... Чем отличается?)

[bassoon48]

shurshur,

нормальные маршрутизаторы

Хочешь скзаать что CCR2216-1G-12XS-2XQ не нормальный и не вытянет?

У него теоретический пеРДЕЛ 100 гигабит. Вам этого мало? Ты 100 подсетей вланов может минимум сделать.

Или у вас телеком?

Я поэтому имея такой роутер в l3 коммутаторе не вижу смысла

[Valentin Barbolin]

shurshur, В моем маленьком мире в роутере настроен NAT, а маршрутизаторе НЕ настроен, хотя как функционал может присуствовать.

между маршрутизатором и роутером нет совершенно никакой разницы. Эти термины характеризуют один прибор. Термин «роутер» происходит от английского слова «router» и означает специализированное устройство, которое дает доступ в Интернет

[shurshur]

Valentin Barbolin, странный это мир, потому что маршрутизатор - это русское (кг/ам) слово, которым переводят router. Как и русское брандмауэр (ха-ха) переводит firewall. Естественно, это из-за того, что слова "маршрут" и "брандмауэр" заимствованы из немецкого языка и устоялись в русском намного раньше эпохи сетей ("маршрут" ещё во времена Петра I).

Термин router в английском языке используется не как "специализированное устройство". Любой маршрутизатор (в том числе полностью программный) - это router. В том числе и как понятие в протоколах типа BGP или RIP.

[Valentin Barbolin]

shurshur, Ok

[bassoon48]

shurshur, а софтовый вы имеете в виду Pfsense, RouterOS или Openwrt?))

И где такие админы водятся, что за компании у которых нет 26 тысяч на ссаный Mikrotik RB5009?

да господи, хотя бы 15 тысяч на тот же Hap AX 3

[bassoon48]

вот что что а никогда не понимал такого рукоблудства. Это ВРЕДНО для админа и профдеформирует его! НЕ надо приучить руководство делать из говна конфетку.

Нужно качество? Покупаем железо.

Нет? иди нахер вот и всё. Потом тебе бегать и админить эту парашу софтовую.

П. С. pfsense и openwrt это ваще ни разу не Enterprise решения

[shurshur]

bassoon48, софтовый я имею в виду не специальное устройство, а условный линукс или BSD на сервере. Так тоже делают.

Не видел, чтобы мы обсуждали именно энтерпрайз. По-моему, просто некую асбтрактную ситуацию в некоей абстрактной сети, у которой может быть самый разный размер, самый разный бюджет и самые разные требования.

Конечно, хорошо, когда можно щёлкнуть пальцами и купить сразу желеску за полляма одним днём, но это не всем доступна опция.

[bassoon48]

shurshur, уууу всё понял) бздуны

[bassoon48]

shurshur, ничего против фряхи не имею. Хорошая вещь) Но ты понимаешь КАКОЙ ЭТО ГЕМОРОЙ!

[bassoon48]

Не видел, чтобы мы обсуждали именно энтерпрайз. По-моему, просто некую асбтрактную ситуацию в некоей абстрактной сети, у которой может быть самый разный размер, самый разный бюджет и самые разные требования.

в таких конторах ЗП на уровне МРОТ или грузчика.

[shurshur]

bassoon48, вопрос денег к вопросам технологий не имеет отношения.

Да, сейчас чаще всего не подключают сети и сервера напрямую в интернет. Даже если в сети есть софтроутер, за ним чаще сего есть железный. Но софтроутеры - бывают. Хорошо это или плохо в той или иной ситуации - это вопрос, который не имеет отношения к тому, что это технически вполне себе работает и не нарушает понятия "роутер".

Answer 1

[Komrus]

0. Давайте не будем рассматривать Микротик.
1. Возьмём что-то, что используется в ЦОДах и "супер огромных конторах" (Cisco, Juniper, Huawei и т.п.).
2. Учтём, что Datacenter, Telecom и Enterprise - несколько разные задачи имеют и вендоры предлагают для них разные линейки железок...
3. Определимся, для какого сегмента рынка мы хотим посмотреть.
4. Возьмём рекомендованный дизайн - где какие железки неплохо бы поставить, какие задачи каждая из них выполняет...

И вот на тогда посмотрим - где насколько мощные процы, где что гонять, где что маршрутизировать и т.п.

Comments

[bassoon48]

ну тогда неинтересно будет и моё маня представление вмиг разрушится в пыль.

А если по факту, реально бывает такое что L3 коммутатор мощнее чем роутер? В плане железа (проц и свитч чипы) + функционал как минимум не меньше (тоже умеет натить туннели и тд).

НО тогда это уже будет роутер и причём тут L3 коммутатор?

П. С. Раньше реально на парах в универе было удобно в уши дуть типа вот L3 такие мощные и тд...
проблем в том что Cisco я видел только на картинках.

А Микротиков завались и по цене норм. И когда начинаешь гуглить возникает вопрос.

А кроме цены плюсы есть?

[bassoon48]

Самое главное точно понять, на каком моменте заканчивается L3 коммутатор и начинает Роутер.

В случае с Микротиком мне понятно зачем нужен L3.

С другими вендорами я не силён. Накидайте примеров плиз. (Huawei это 100% телеком кста)

Answer 2

[Akina]

Как вы делите сеть на VLAN если не используете L3?

Вот сижу и думаю - что за бред? VLAN - чисто L2 штука. Где связь?

У меня вон стоят коммутаторы L2 (даже не L2+), и они распрекрасно себе умеют VLAN, причём и port-based, и MAC-based. Единственно чего, связанного с VLAN, они не умеют, так это держать несколько IP адресов внутреннего интерфейса в разных VLAN, только один IP, доступный либо из одного указанного VLAN, либо из вообще любого. Они даже GVRP умеют без проблем.

Comments

[bassoon48]

А маршрутизировать тоже через l2 будешь? L2 свитчи

[bassoon48]

У меня вон стоят коммутаторы L2 (даже не L2+), и они распрекрасно себе умеют VLAN, причём и port-based, и MAC-based. Единственно чего, связанного с VLAN, они не умеют, так это держать несколько IP адресов внутреннего интерфейса в разных VLAN, только один IP, доступный либо из одного указанного VLAN, либо из вообще любого. Они даже GVRP умеют без

Ну дак об этом и речь братан.

Вопрос прочти ещё разок

[AntHTML]

С VLAN прекрасно справляется и "L1.5" он же Smart, единственное что не умеет L2 это маршрутизацию между VLAN, для этого и существует L3

[bassoon48]

AntHTML, а маршрутизатор зачем? Если он тоже умеет l3 и гораздо мощнее и круче?

Вопрос только в цене и задачах?

[Akina]

bassoon48,

А маршрутизировать тоже через l2 будешь?

У-у-у, как всё запущено. Маршрутизация - это операция уровня L3, никакого отношения к VLAN не имеющая в принципе. Вы про разницу между маршрутизатором и коммутатором (свичом) вообще в курсе?

[bassoon48]

Akina, у тебя как vlanы друг друга увидят Вася если у тебя все свитчи l2? =)

[bassoon48]

Akina, ну дак есть маршрутизатор он априори l3

А есть коммутатор уровня l3. Я и спрашиваю как вы маршрутизируете vlan?

На роутере или через l3?

Для тупых - l3 это я имел в виду коммутатор l3, не знал что на хабре нужно 100 раз писать одно и тоже думал тут с полу слова понимают.

Иди до дерева докопайся. Либо прочитай ещё раз вопрос раз 10 и дай ответ по существу

[Вадим]

bassoon48, У меня VLANы маршрутизировались L3 коммутатором, а у маршрутизатора (он же NGFW) были другие задачи: маршрутизация наружу, переключение между основным и резервным каналом, VPN и прочее. Валить все эти функции на маршрутизатор можно (в небольших сетях так и делается), но лучше и правильнее - разделять.
И сравнивать маршрутизаторы и L3 свичи по мощности и "крутости" некорректно, это устройства разного назначения.

[Akina]

bassoon48,

у тебя как vlanы друг друга увидят Вася если у тебя все свитчи l2?

VLAN друг друга видеть вообще не должны. Они для этого и предназначены. Так что вопрос очень странный.

А если речь о том, чтобы передавать трафик из одного VLAN в другой, то вот именно эту задачу выполняют маршрутизаторы. В моей сети они - внешние многоинтерфейсные серверы. Хотя один одноинтерфейсный всё же имеется.

Вадим,

У меня VLANы маршрутизировались L3 коммутатором

Ну всё же маршрутизируют не VLAN, а трафик из jlby[ подсетей в другие подсети. Вы говорите явно о случае, когда подсети источника и назначения подключены к портам в разных VLAN.

Сама по себе "маршрутизировались коммутатором" - более чем странная фраза. Так же как "ехали самолётом", например.

[bassoon48]

Akina,

Сама по себе "маршрутизировались коммутатором"

Я не сетевик мне можно) но суть то вы уловили!!

Либо мы маршрутизируем vlan роутером либо l3 коммутатором.

Теперь вопрос, а зачем нам l3 коммутатор если все то же самое и даже больше умеет роутер?

Например микротик который я выше указал

[bassoon48]

Вадим, некорректно не совсем согласен. В случае микротика можете подтвердить слова что якобы CCR2216-1G-12XS-2XQ не вытянет маршрутизацию?

Типа одноядрный коммутатор CRS518-16XS-2XQ-RM справится лучше?

На мой взгляд тут l3 будет лишним.

Кстати, а вы l3 коммутатор соединяете с роутером trunk или access?

[bassoon48]

Akina,

Ну всё же маршрутизируют не VLAN,

А разница в чем? Мы говорим об одном и тоже.

Анекдот про поручика и петьку слышал? У тебя в опе и у меня в опе но есть нюанс.

Так же и тут. Только нюанса уже нет. Что vlan маршутизация. Что трафик между vlan подсетями.

Всё открой окно душно стало

[Akina]

bassoon48,

А разница в чем? Мы говорим об одном и тоже.

Я надеялся, что мы будем говорить как технические специалисты, грамотным техническим языком, а не как бабки на завалинке.

Что vlan маршутизация. Что трафик между vlan подсетями.

То есть о возможности существования в одном VLAN нескольких подсетей, только часть из которых маршрутизируется, вы даже не подозреваете. Жаль.

[bassoon48]

Akina,

То есть о возможности существования в одном VLAN нескольких подсетей

Задачи разные бывают.

Что значит "в одном vlan"?

Мы щас имеем в виду дефолт vlan1? Или ты сюда телеком извращения хочешь привязать? С телекомом это один разговор, а в малых компаниях такая ситуация - зачастую херовый дизайн в 99%
С телекомом это не сюда.

Окно открой

П. С. Плюс ты сам себе противоречишь. Vlan для чего создали? Для разделения подсетей. А ты в один vlan несколько подсетей хочешь. Делай все сети без vlan и маску /18 и не парься. Смысл тот же.

Меня и всех учили так - 1 сеть 1 vlan. Иначе потом ты ауеешь это все админить в 1 лицо

[bassoon48]

Akina,

Я надеялся, что мы будем говорить как технические специалисты, грамотным техническим языком, а не как бабки на завалинке.

А что я сказал не грамотно? Маршрутизация vlan или маршрутизация подсетей vlan. Помоем все меня поняли.

Только тебе одному "не понятно". Это говорит о том либо ты тролль-зануда либо тупой как сибирский валенок)) без обид

[Akina]

bassoon48,

Мы щас имеем в виду дефолт vlan1?

Нет, абсолютно любой VLAN. К слову, у меня в default VLAN вообще всегда чисто и пусто, и все порты Forbidden.

Vlan для чего создали? Для разделения подсетей.

Не знаю, кто вам сказал эту глупость. Но вам нужно срочно озаботиться чтением технических документов и понять, для чего VLAN существует на самом деле.

Меня и всех учили так - 1 сеть 1 vlan.

Жаль. Очень жаль. Возможно, это и удобно в большинстве простейших случаев, но объявлять это догмой - огромная ошибка, ведущая к принципиальному непониманию сути технологии.

Иначе потом ты ауеешь это все админить в 1 лицо

Восьмой год админю, и не испытываю ровным счётом никаких проблем.

Маршрутизация vlan или маршрутизация подсетей vlan.

Ни первого, ни второго понятия не существует. Существуют понятия маршрутизации трафика вообще и маршрутизации подсетей в частности.

VLAN - это как полосы на автомобильной дороге (только везде, кроме перекрёстков, сплошная линия разметки), движущиеся по дорогам АМТ - это трафик вообще, а если поделить АМТ на типы, то каждый тип (грузовик, автобус, такси, частник) аналогичен отдельной подсети в трафике. А точки возможного перестроения - это маршрутизаторы, позволяющие АМТ перестроиться с одной дороги / полосы на другую. Внешний маршрутизатор - это аналог перекрёстка, внутренний маршрутизатор L3-коммутатора - аналог участка дороги, где сплошная линия разметки сменилась на прерывистую.

Помоем все меня поняли.

Во этим и отличается использование технического языка от слэнга. ТЯ для всех един, всем одинаково понятен, и всеми одинаково понимается.

[bassoon48]

Akina,

для чего VLAN существует на самом деле.

VLAN нужен для того, чтоб один коммутатор разделить на 20-40 коммутаторов.
Для разделения подсетей. Для разделения бродкаста.

А для чего ещё? Что "не глупость"? Щас 100% напишешь ТО ЖЕ САМОЕ но своими словами)))

Жаль. Очень жаль. Возможно, это и удобно в большинстве простейших случаев, но объявлять это догмой - огромная ошибка, ведущая к принципиальному непониманию сути технологии.

Ну давай объясни мне зачем делать несколько VLAN в одной подсети в маленькой компании когда у нас в запасе минимум 4095 вланов?
VLAN для того и нужен чтоб упрощать до простейший случаев.
МЫ щас не говорит за Телеком, Дата-центры и энтерпрайз на 100000 человек

Восьмой год админю, и не испытываю ровным счётом никаких проблем.

Соболезную. На лицо - профдеформация. Не знаешь к чему прицепиться и показать себя самым вУМНЫМ.

И если ты такое админишь в маленькой компании - то дизайн вашей сети говно, ИМХО.
За 8 лет можно было нормально сделать. Чтоб после тебя другие админы не ауевали от твоих говносетей. Руки таким поотрывать и бить палками по башке. Потом без пол литра не разобраться чё вы там накрутили. Лучшеб ваще ничё не трогали

Ни первого, ни второго понятия не существует. Существуют понятия маршрутизации трафика вообще и маршрутизации подсетей в частности.

В институте будешь умничать перед преподом

Помоем все меня поняли.

ну дак меня все и поняли. Ты докопался чёт один)) Из пальца высасвыаешь тут проблему на пустом месте.

[bassoon48]

Akina,

Жаль. Очень жаль. Возможно, это и удобно в большинстве простейших случаев, но объявлять это догмой - огромная ошибка, ведущая к принципиальному непониманию сути технологии.

Сама CISCO даже по-моему рекомендует делать 1 vlan 1 подсеть.

Но какой-то Вася мне щас будет заявлять что это плохо или это ошибка. (мы щас НЕ ГОВОРИМ за ТЕЛЕКОМ!!!)

[Akina]

VLAN нужен для того, чтоб один коммутатор разделить на 20-40 коммутаторов.
Для разделения подсетей. Для разделения бродкаста.

Да. Нет. В том числе.

И если ты такое админишь в маленькой компании - то дизайн вашей сети говно, ИМХО.

4 территориально разнесённые площадки. Более 1500 узлов. Наверное, да, маленькая. Для справки - 21 VLAN в рабочей сети (от 1 до 12 подсетей на VLAN) и порядка 200 VLAN в сети доступа к Интернету апартаментов, арендуемых помещений, гостиницы и общежития. Последние - действительно одна подсеть на VLAN.
Всё это управляется по щелчку пальцев. Было бы говно - были бы проблемы, но их почему-то нет... За последние 3 месяца только у одного коммутатора блок РоЕ помер, а так все остальные проблемы - исключительно последний метр.

В институте будешь умничать перед преподом

Мне, милок, уже поздно по институтам шариться.
Хотя пару лет назад довелось пообщаться с преподавательским составом в одном "ведущем" ВУЗе - печальное зрелище. Подавляющее большинство преподавателей устарели лет на 10, если не больше, и за пределами начитываемого курса не знают практически ничего. Болото. Ну его нафиг.

[bassoon48]

4 территориально разнесённые площадки. Более 1500 узлов. Н

Ну и зачем тебе НЕСКОЛЬКО подсетей в ОДНОЙ vlan?

Типа у тебя в одном офисе подсеть 192.168.10.0/24 vlan 10 потом туннель Ipsec и на том конце 192.168.10.0/24 vlan10?

Или ты маской дробишь? А на кой хрен?

1500 узлов это ни о чём. Тебе 4095 вланов за глаза

[Akina]

bassoon48,

зачем тебе НЕСКОЛЬКО подсетей в ОДНОЙ vlan?

Такова производственная необходимость.

Вот, скажем, в одном цехе имеется оборудование, которое должно иметь на одном-единственном сетевом интерфейсе пять разных сетевых адресов (причём два из них, оба /28, вообще зашиты статически, и обслуживают взаимодействие с другими агрегатами комплекса), и обязательно из разных подсетей - это обязательное требование, явно описанное в документации на оборудование. Причём tagged оно не понимает от слова "совсем". Мне что, отдельный маршрутизатор туда ставить, чтобы разогнать подсети по разным VLAN? Да шло бы оно лесом.

Тебе 4095 вланов за глаза

А кто-то говорил, что мне их нехватает?

[bassoon48]

Akina, проблема в том что следующий админ именно так и сделает с "маршрутизатором". Вряд ли кому то захочется на серьёзном лице разбираться в этом зоопарке масок и vlan.

VLAN вроде для этого и придумывался чтоб на маски не делить и башку себе не забивать (и не только поэтому да да, можно не повторяться)

Я понимаю ты был бы провайдером там каждый белый IP на счету + безопасность не дай бог маршруты пропишут не туда куда надо. Там везде маска /30 или /31 даже в каждой подсети.

Но в твоём случае...

Я хз тебе виднее, но меньше чем за 150к я бы не стал админить эту херотень и вникать

[bassoon48]

Akina, просто ещё вопрос, а на кой хрен тебе тогда вообще VLAN если ты на сетевом интерфейсе используешь маску чтобы разнести 5 штук сабинтерфейсов?

Маской и дели, пропиши 5 ipишников и маску поставь. И всё

А так херомуть какая-то получается без бутылки не разобраться. Что это за доистерическое оборудование такое

[Akina]

bassoon48,

Мы явно не договоримся. Вам кажется, что у меня система - одно говно. Я, наоборот, считаю, что всё (или почти всё) вами написанное - голимый бред.

Посему предлагаю прекратить это совершенно бесполезное обсуждение.

[bassoon48]

Akina, главное не забыть поставить лайк самому себе)

Ну извините меня учили по-другому. Самое главное правило - без рукоблудства и излишней инициативы.

Делай ТАК, чтоб потом было удобно ДРУГИМ.

П. С. Со мной кста большинство согласно и все меня прекрасно поняли. Но Ваша система конечно же единственная и неповторимая, и когда вас завтра собьёт самосвал (не дай бог) конечно же любой админ НЕ МАТЕРЯСЬ будет вникать в ваше рукоблудство))

[bassoon48]

Akina, что мешает вынести в отдельную подсеть без VLAN это доистерическое говно которуе не умеет в TRUNK?

И дели хоть на /31 маску хоть 50 интерфейсов навешивай. Вряд ли кто-то захочет взломать это чудо техники или получить доступ.

Ну зарежь доступ на firewall. Я реалньо вот не понял юмора нахер делать ОДИН VLAN + маска в подсети.

Вот не пойму ваще. Удобство? Нет, один геморой.

Ладно бы я ещё понял несколько VLAN + маска в одной подсети мне понятно зачем это делается.

но то что сделано вами это один хрен можно и без VLAN было делать (всё в default или vlan1)

[Akina]

bassoon48,

Делай ТАК, чтоб потом было удобно ДРУГИМ.

То есть в первую очередь - полное документирование. Всё остальное - "это удобно, а это нет",- это дело десятое. Документация чётко показывает, что сделано, как сделано, как именно работает - этого достаточно на 100%. Если кому неясно, значит, либо невнимательно читал, либо знаний нехватает, третьего не дано.

что мешает вынести в отдельную подсеть без VLAN это доистерическое говно которуе не умеет в TRUNK?

Есть документация, которая чётко говорит, как должно быть сделано. Любые предложения сделать по-своему - это калитка на поле с граблями, велкам, самоуверенные идиоты.

Я реалньо вот не понял юмора нахер делать ОДИН VLAN + маска в подсети.

Неуправляемый коммутатор, через который бегает несколько подсетей, тебя тоже удивляет. как я понимаю? Ибо от одного VLAN с несколькими подсетями он не отличается вообще ничем.

можно и без VLAN было делать (всё в default или vlan1)

Я. по-моему, один раз уже сказал насчёт default VLAN.
А что такое vlan1 - опять непонятно. Если это снова бабкин слэнг, и имеется в виду VLANID=1, то тогда ладно.

Вот не пойму ваще. Удобство? Нет, один геморой.

Вы - яркий представитель общества, в котором постулат номер один - "Есть два мнения, одно моё, а другое неправильное".

На этом я прекращаю дискуссию. Всего вам хорошего.

[bassoon48]

Неуправляемый коммутатор,

оооооо! всё понятно

Answer 3

[Максим Гришин]

Frame challenge: а нафига они нужны? Надо L3 - бери роутер, не надо L3 - бери L2-свитч, строй на нем вланы, подключай роутер извне если надо, и на роутере управляй доступом, а свитч останется пакеты гонять, без лишнего функционала. ИМХО L3-свитч это "недо-роутер", зато с кучей портов, и нужен тем, кто не может поднять виртуалку хоть с routerOS хоть с линуксом, и делегировать роутинг на неё.

Comments

[bassoon48]

А ZyWall любишь?))

[bassoon48]

А континент, говнет, залупэко.... Что там ещё наши придумали?

Я вот не знаю стоит не стоит вникать в "наше" российское на будущее.

Цены там наверно на оборудование ого-го и держат в секрете

[Максим Гришин]

bassoon48, Континент - есть железка, давно отключена. По функционалу - внешний роутер. Ну и подключать её именно так, свитча для работы хватит и L2.

[bassoon48]

Максим Гришин, прикольно. А её наверно как впн сервер можно использовать чтоб Linux не поднимать

[bassoon48]

bassoon48, то есть поставить её за роутер основной и пусть там шуршит как сервер

[Станислав Бушуев]

L3-коммутатор это и есть коммутатор, только у которого в ASIC есть дополнительный шаг маршрутизации: по сути перекладка пакета из VLAN'а в VLAN по встроенной таблице. Некоторые ещё и в туннели умеют.
Преимущество его в том, что для стабильных маршрутов они эффективны и хорошо разгружают трафик внутри сети, где его особо не надо контролировать.
А остальной трафик они также спокойно по L2 донесут до полноценных маршрутизаторов.
Мне кажется, что для уровня доступа вполне нормальный выбор.

[bassoon48]

Станислав Бушуев, спасибо за ответ)

Единственно смущает геморрой со связью l3 комка и роутера.

Либо транком. Тогда надо полностью дублировать настройки вланов и на роутере и на коммутаторе (что при наличии мощного роутера теряет смысл)

Либо access, но тогда придётся делать подсеть дополнительную. А это емушки воробушки для админа когда надо будет туннели l3 делать (допустим ЧИСТЫЙ Ipsec который не умеет в маршрутизацию и тд)

Так что vlan это зачастую не про удобство когда мало подсетей. Чисто мой ИМХО. Достаточно просто разные подсети делать без вланов. Подсеть для телефон, подсеть для компов, подсеть для....

[Максим Гришин]

bassoon48, если у тебя хосты на роутере это гипервизоры, придется городить вланы для разных подсетей, которые не должны иметь L2-связность, и подключать роутер (если он вынесен) транком.
Станислав Бушуев таблица у таких коммутаторов динамическая, или её настраивать надо вручную? Если динамическая, тогда понятно, зачем нужен L3 - разгрузить роутер, если он на ограниченном канале, а роутить (и не НАТить) должен трафик, превышающий толщину его подключения. Правда, если на роутере поднят фильтр пересылки, придется такой же поднимать на коммутаторе, иначе он проигнорирует фильтр роутера при пересылке пакетов между вланами.

Answer 4

[Руслан Федосеев]

Нда... смешались в кучу кони люди...
Ну я же не просто так писал - учиться, учиться и еще раз учиться.

Comments

[bassoon48]

Centos говно.

Учись учись и ещё раз учись, что сказать...

Как видно тут 99% надо учиться. Так как ответов 0

Специально задаю провокационные вопросы