Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

pilligrimm,

Вланы нужны когда нужно несколько сетей L2

ну да, вланы нужна тогда, когда порты на маршрутизатое закончились ( для отдельных подсетей), а тебе надо сделать 20-30 VLANов.

Это моё скромное мнение. + Дрочь от безопасников если требуется и всё

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

pilligrimm, То есть я правильно понял.

Москва-офис. Там 10 VLANов.

Владивосток-офис. там 10 VLANов.

Хочешь сказать что они не будут друг друга видеть по IPSEC site-to-site?

Бред какой-то.

А EoIP вообще вредно использовать, там фрейм просто огромный (фрагментация). Единственное применение - это то что он пускает мультикаст по туннелю. Больше применений не нашёл (пока что(

Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

Drno, альтернативы?)

Что мощнее Zywall USG1900 или Mikrotik RB5009UPr+S+IN?

Drno, дак по кабелю это собаке понятно. Мне IPSEC надо 100-200 мегабит от ОФИСА к ЯДРУ

1С, камеры 90 штук

Что мощнее Zywall USG1900 или Mikrotik RB5009UPr+S+IN?

Drno, по воздуху значит по IPSEC от провайдера к провайдеру по белым IP адресам.

Из ондой части города в другую

Что мощнее Zywall USG1900 или Mikrotik RB5009UPr+S+IN?

Drno, щас дома RB5009UPr+S+IN, я знаю его возможности дял квартиры. Но как будет для офиса (выше указаноого я хз).

В теории хватит с огромным запасом на практике ХЭ ЗЭ

Щас повторюсь рулит всем Zywal USG1900 (заявлено 7000 мегабит коммутация 800 мегабит VPN)

RB5009 по бумаге в 2 раза мощнее.

НО у RB5009 4 ядра, а у Zywall 8 ядер.

Zywall загружаю максимум на 50% и всё.

Задача: 90-100 камер проброс делать (хоть просто проброс хоть по VPN ipsec)

20 пользаков по IPSEC до сервера 1С

вроде всё. Мне главное чтоб 100-200 мегабит было по воздуху и всё без Фаст Трах

Что мощнее Zywall USG1900 или Mikrotik RB5009UPr+S+IN?

Drno, не, HEX не прокачает 100 мегабит по воздуху там одноядерное говно.

У меня был RB2011, залупа коня.

без фасттрак овощь

Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

Drno, ZyWall проще, но есть некоторые нюансы которые мне не нравятся (не связаны с самим ZyWall)

Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

Drno, нет я не могу. Все таки возьму некротик
CCR2116-12G-4S+

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

proxy arp и arp spoofing

Это головная боль безопасников думать. Моя задача - обеспечить безопасность на уровне L0 - банально запереть шкафы и отключить лишние порты и розетки. ВСЁ!

Для шизов - привязка к MAC и все твои arp spoofing proxy arp и redirect автоматически идут нахер.

Кулхацкер получит писей по губам. Для остального придуманы доменные учётки и антивирус.

Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

Ziptar, потому что боюсь что не хватит sfp портов и придётся вешать медиаконвертеры и они мозолят глаза.

Но тут вижу такой выход - буду ставить коммутаторы

Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

Ziptar, везде я бы не стал его ставить. Вот вообще нет.

Слишком много геморроя. Нет волшебной кнопочки - сделать хорошо.

Там даже банальный интернет настраивается в 5ти отдельных вкладках +firewall.

Только после этого онп сделали start config или чёт такое для хомяков

Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

Ziptar, ну тут надо понимать стоит ставить микротик или нет.

Вот допустим у нас щас 3 офиса работают на ZyWall.

Нам надо подключить 4ый офис. Я и подумал как мне проще, на ZyWall ещё один офис или же купить Mikrotik, но тогда придётся все офисы переделывать.

И вместо 30 минут это займёт 3-4 дня. Другой вопрос если это никто не оценит то оно и не нужно.

Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

Drno, а ты знаешь ZyWall?) кстати - рекомендую. Настроек гораздо меньше, но зато все поднять у меня займёт максимум пол часа.

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

shurshur, вот как будет время ещё раз посиди на досуге и подумай В ЧЕМ РАЗНИЦА между

192.168.1.0/24 (vlan1) eth1
192.168.2.0/24 (vlan1) eth2
192.168.3.0/24 (vlan1) eth3
192.168.4.0/24 (vlan1) eth4

192.168.1.0/24 vlan10 eth1
192.168.2.0/24 vlan20 eth2
192.168.3.0/24 vlan30 eth3
192.168.4.0/24 vlan40 eth4

Я тебе даю 2 подсказки. Vlan1 там условен, вланов вообще не будет. Это я для удобства для тупых чтоб понимали о чем речь, а то они только по книгам думать умеют.

Во вторых - бриджей вообще НЕ БУДЕТ.

Спойлер! Разницы НЕ БУДЕТ. Минус только 1 - масштабируемость и гибкость.

Но если это нах не надо то оно не надо, верно? Вот буду я щас себе башку забивать какие порты под какие vlan отдать.

Ну ооочень удобно! Гораздо удобнее чем просто коммутатор зафигачить и как хочешь так и подключай

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

shurshur, и софтверный бридж вообще не нужен. Можно на отдельный интерфейс навешивать подсети.

ГДЕ ТЫ УВИДЕЛ СОФТВЕРНЫЙ БРИДЖ?)))

И если уж на то пошло то vlan там вообще не будет.

Ты хоть сам то понимаешь разницу между l3 коммутатором и роутером? И может сам на досуге почитаешь?

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

shurshur,

. fd, stp итд, паразитный трафик broadcast'ов во всех интерфейсах и всё такое

Всё такое)) вот ты сам и обосрался. Во первых бродкасты разделяются - иначе ты бы видел mac адреса другой подсети.

Какой паращмтный трафик?

Всё такое))

Stp и "все такое" также можно настроить. И это будут ОТДЕЛЬНЫЕ ПОЛНОЦЕННЫЕ но ФИЗИЧЕСКИЕ а не ВИРТУАЛЬНЫЕ VLAN

Ты понять простой вещи не можешь что vlan это логическое деление коммутатора а я делю ФИЗИЧЕСКИ. Прям вот отдельные порты выделяю и всё. И это тоже правильно когда мало сетей и нет требований

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

shurshur,

. ICMP Redirect это не про блокировку ICMP. Это про то, что любой шлюз в сети может посчитать, что ему не надо роутить трафик, а вместо этого попросить роутить в другой .

Ну дак это проблема L0. У тебя почему к шкафам имеют доступ? Порты лишние надо отключать это раз.

Во вторых я тебе ещё раз говорю. Чтобы не было arp spoofing и icmp redirect. - во первых в микротике есть галочка ARP SPOOFING.
Во вторых есть таблица белых mac адресов.
В третьих есть firewall, логи...

Для остального есть доменные учетки с обрезанными правами.

Всё остальное - твои выдуманные проблемы

Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

Drno, и я пришёл к выводу что проще ZyWall докупить. А потуги с перенастройкой на Микротик никто не оценит

Что лучше Mikrotik CCR2116-12G-4S+ или Zywall FLEX 700H?

Drno, инфраструктура на ZyWall вся.