Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Ziptar, да ты прав. Всё верно говоришь. Спасибо.

Нуууу, это уже тонкости и недостаток опыта + тестов. Мелочи жизни.

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Ziptar, ну значит будем вешать на порты хспе.

16 ядер хоть в бридже хоть без бриджа вывезут.

Там пропускная теоретическая 500 гигабит.

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев, эти вланы сейчас здесь? в одной комнате?

(это про меня)

Да су....бесят меня просто умникаи. ВЛАНЫ ВЛАНЫ ВЛАНЫ.

триггерит аж. попа горит.

Да пусть хоть каждый порт вланами назначают. Делают 4096 вланов. Пусть

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

IP телефоны в самом деле лучше изолировать в отдельный влан

Ну а принципиальная разница если их в отдельную подсеть изолировать в той же vlan1 в чём проблема?

Бродкасты и так и так будут ограничены подсетью. Не? чи шо?

кажи начальству "наймите сисадмина, я тут при чем?",

Я и есть сис админ, но проблема в том что я 1. И твои потуги с разделение 5-6 подсетей на отдельные 5-6 вланов НИКТО не оценит.

А нахрена?)

была бы цель сделать 50 подсетей в одном здании. Небудешь же ты покупать 100 коммутаторов? Бери и городи вланы.

Но для 5-6 подсетей зачем?

Безопасность можно и на AD уровне организовать и если я на Микроте разворачиваю подсети - можно и фаерволом бахать. Да дофига способов.

чё вы к этим влан привязались)))

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

В том, что vlan разделяет широковещательные домены канального уровня, а разные подсети - сетевого.

Это просто ЛОГИЧЕСКОЕ восприятие. На физическом уровне один хрен как делить.

Что L2 что L3. Как удобно так и дели. не?

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

VLAN - сложна, а штаны через голову надевать - нет. Забавно. Что сложного с vlan?

А зачем нужен VLAN тут?

В чём разница между:

1.0/24 vlan1
2.0/24 vlan1

и 1.0/24 vlan10
2.0/24 vlan20

Принципиальная разница в чём? Я всегда думал что ВЛАН нужен В ПЕРВУЮ очередь чтобы не городить 100 коммутаторов а более рационально распределять порты. Как матрёшка вместо 1 коммутатора у тебя условно 10-20.
И ещё когда у тебя суууупер много подсетей. Больше 15-20. И это не удалённые подсети а именно в одном здании.

Плюс когда это реально требуется по безопасности.

А так на кой хер вот ты мне скажи разница в чём?

И так и так будут бродкасты разделены и изолированы.

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

aleks-th, типа дофига разницы да?

192.168.1.1 vlan1
192.168.2.1 vlan1

Или 192.168.1.1 vlan10
192.168.2.1 vlan20.

Ты кого лечишь то. Разницы будет 0 целых хрен десятых на физическом уровне.

А вот на логическом будет разница
Но будет и геморрой. В моем случае мне vlan не нужны.

Просто на подсети разбиваешь и всё

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

aleks-th, в чем разница между разбивкой на подсети в одной vlan на межсетевом экране и в разных vlan на l3 коммутаторе?

Ни в чем!! Это просто удобство.

Вот если мне надо будет 50 подсетей внутри одного здания - я буду делить на vlan коммутатор.

А так то вланы головного мозга и проф деформация сетевиков

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

aleks-th, да чего уж там. Пиши сразу в миллион раз медленнее.

Надо вообще каждый порт коммутатора в отдельный влан.

Ты хоть знаешь зачем влан нужен в 99% случаев?

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев, ну вот скажи честно. чё реально мой вариант настолько херовый и бездарный?

Если опустим 2 момента: масштабируемость и безопасность. Нам сейчас это не нужно.

SFP1 - провайдер
SFP2 - провайдер2
SFP3 - подсеть1
SFP4 - подсеть2
SFP5 - подсеть3
SFP6 - подсеть.....

ПОнятное дело что а если у нас будет 20 подсетей, 100 подсетей? такой вариант уже не катит.

Но уменя будет МАКСИМУМ занято 4-5 SFP. ВСЁ!

ну? в чём прям такая критическая ошибка?

Мне тупо лень VLANами рулить ну лень кпец

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев, я и не претендую на 100% правильность. но знаешь мой вариант ГОРАААЗДо лучше чем когда в одном бродкасте и камеры и телефоны и компы и принтеры ... а потом?

ОЙ! А нам не хватает адресов! ОЙ а чой то сеть тормозит?

Поэтому я ЗА то чтоб разделять сеть, но делаю это по своему

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев, ну пусть без бриджей) Сразу весить на порт подсеть. Разницы то никакой.

Аппаратная разгрузка всё равно будет. Это же тупо логика ни на что не влияющая, практически.

Я не хочу заморачиваться с вланами. На 1 порте Роутера 10 sub интерфейсов вланов, потом транки сранки херанки...

ОНО МНЕ НАДО?))

Я не сетевик мне можна

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев, Руслан у этого микрота 16 ядер и пропускная теоеретическая 100 гигабит (ограничение сопроцессора свитча)

Даже если быть 100% криворуким его НЕВОЗМОЖНО нагрузить в моих задачах даже на 10%

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев, ну ЧТД, как всегда.

По книгам одно.

По практикам другое.

Одно дело в мастшабируемости.

Мой вариант - для этого говно. как и для безопасности. Да

Но если не трубется и это НЕ оплачивается и НИКТО не оценит.

Смысл? Я не сетевой инженер

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев,

Вот она будущая схема.

Везде БЕЛЫЕ АДРЕСА.

Я лишь указал будущие серые подсети.

Удалённые офисы будут стучаться на 192.168.0.0/18 и сразу будут видеть всю пачку /24 сетей в ядре.

Вопрос? Будут ли удалённые офисы видеть друг друга НА ГОЛОМ ipsec?

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев, То есть для удалённых офисов будет не какая-то одна /24 сеть.

А сразу /18

Чтобы обойти ограничение IPSEC - маршрутизация же не будет работать. Тока политики.

дак вот чтоб не делать GRE и не плодить 100 пиров политик. Нахера

на Zywal я так сделал и оно всё само работает годами

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев,

Вы используете CCR как роутер. Зачем вам пачки бриджей?

А зачем мне пачка VLAN? Масло масленное?

Делайте. Когда все сломается - чинить будет дороже.

ЧТо всё? Что сломается ты пишешь муйню)

какая религия запрещает вам разобрать нафиг дефолтовый бридж и просто навешивать адреса на интерфейсы?

Потому что мой способ проще и быстрее? Один порт, один бридж - однай подсеть.

Чё не так?

Зачем вам /18 сеть?

Чтобы удалённые офисы видели ВСЕ СЕТИ в ядре с /24 маской.

/18 сеть это сеть "заглушка" сабсеть или как её назвать. Чисто для Peer Ipsec

Еще раз прошу - изучите учебники по сетям

Вы и изучайте, мне это ни к чему я практик и знаю что мои схемы идеально рабочие.

Что такое VLAN мне читать не надо. спасибо я в курсе

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Руслан Федосеев, в гривнах не смогу да.

Дык щас на RHEL все мигригруют продакшн либо давно сидят там.

CEntos это же RHEL для бедных, щас ещё и кинули там комьюинити с поддержкой

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

У меня максимум будет занято 5-6 SFP.

навсегда.

Мне зачем влан? У меня не будет 4096 вланов. Никогда

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Мой план таков.

Берём CCR2216-1G-12XS-2XQ.

Далее:

QSFP1 - провайдер1
QSFP2 - провайдер2

Настроили резвервирования. Мы молодцы ок да.

Далее

SFP1 - подсеть 192.168.1.0/24, bridge1
SFP2 - подсеть 192.168.2.0/24, bridge2
SFP3 - подсеть 192.168.3.0/24, bridge3
SFP4 - подсеть 192.168.4.0/24, bridge4
SFP5....

Далее обмазывае это всё IPSEC ikev1 голым. Делаем псевдоподсеть 192.168.0.0/18 на ядре.

Удалённые офисы будут ломиться на сеть 192.168.0.0/18

Сети удалённых офисов будут c /24 маской.

Чё не так? вопросы?

П. С. единственно не знаю чё с маршрутизацией будет. на zywall всё работает и удалённые офисы видят друг друга.

А на Микротике хз. Если не взлетит придётся либо политки городить на каждый офис либо GRE, L2 инкапсулировать а это говно