Вот еще одна карта habrahabr.ru/company/cjdns/blog/198428/.
Физический интерфейс провайдера - один порт Ethernet.На месте провайдера было бы уместно, на мой взгляд, использовать unnumbered интерфейс и vlan на пользователя. Тогда бы с вашей стороны любого коммутатора хватило.
Использование только коммутатора без роутера чревато тем, что на стороне провайдера на мой коммутатор срабатывает бродкаст шторм и блокировка.Статические ARP-записи и фильтры широковещательного/многоадресного трафика вам могут помочь, хотя такой подход снизит удобство управления сетью.
create vlan 10 tag 10
create vlan 20 tag 20
!ввод 10 влана:
config vlan 10 add untagged 1:1
!ввод 20 влана:
config vlan 20 add untagged 1:2
!транк до другого коммутатора
config vlan 10 add tagged 1:48
config vlan 20 add tagged 1:48create vlan 10 tag 10
create vlan 20 tag 20
!ввод 10 влана:
config vlan 10 add untagged 1:1
!ввод 20 влана:
config vlan 20 add untagged 1:2
!транк до другого коммутатора
config vlan 10 add tagged 1:48
config vlan 20 add tagged 1:48Я прочитал что это можно сделать с помощью маршрутизации от источника, и в теории все просто, но как осуществить это на практике?Никак. Маршрутизация от источника использует IP options. Пакеты, содержащие IP options (в частности, LSRR/SSRR), рекомендуется по умолчанию фильтровать (BCP186, например), что и происходит в действительности.
Меня интересует как настроить путти для работы через eth-порт на компьютере и RS-232 на устройстве.Сомневаюсь, что этот путь приведет вас к успеху. Переходник RS-232/8p8c, как правило, используется для соединения COM-порта компьютера (или USB, через USB/RS232 адаптер) со специальным "консольным" 8p8c("RJ-45" на сленге)-разъемом сетевого устройства.
Будет ли клиент пинговать другого клиента с адресом 10.45.18.194 и почему?Да, пинги проходят:
ClientA#ping 10.45.18.194 repeat 10
Type escape sequence to abort.
Sending 10, 100-byte ICMP Echos to 10.45.18.194, timeout is 2 seconds:
!!!!!!!!!!
Success rate is 100 percent (10/10), round-trip min/avg/max = 20/34/48 msКлиент на маршрутизаторе меняет конфигурацию интерфейса на такую:
Interface e0/0
Ip address 10.45.18.15 255.255.255.128
Ip address 10.45.19.15 255.255.255.0 sec
No shutdown
!
Будет ли адрес 10.45.19.15 присутствовать в ARP таблице маршрутизатора провайдера?
shutdown, no shutdown), маршрутизатор провайдера получит ARP-пакет (т.к. ARP распространяется широковещательно), но вполне может не принять его во внимание, учитывая отсутствие маршрута до 10.45.19.0/24 через входящий интерфейс:ISP#sh arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.45.18.5 - 00ff.ffff.ffff ARPA FastEthernet0/0
Internet 10.45.18.15 24 00aa.aaaa.aaaa ARPA FastEthernet0/0
Internet 10.45.18.194 22 00bb.bbbb.bbbb ARPA FastEthernet0/0
ISP#
*Mar 1 01:24:18.735: IP ARP: rcvd rep src 10.45.18.15 00aa.aaaa.aaaa, dst 10.45.18.15 FastEthernet0/0
*Mar 1 01:24:18.739: IP ARP rep filtered src 10.45.19.15 00aa.aaaa.aaaa, dst 10.45.19.15 ffff.ffff.ffff wrong cable, interface FastEthernet0/0
*Mar 1 01:24:18.739: IP ARP: rcvd rep src 10.45.18.15 00aa.aaaa.aaaa, dst 10.45.18.15 FastEthernet0/0
*Mar 1 01:24:18.739: IP ARP rep filtered src 10.45.19.15 00aa.aaaa.aaaa, dst 10.45.19.15 ffff.ffff.ffff wrong cable, interface FastEthernet0/0
ISP#sh arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.45.18.5 - 00ff.ffff.ffff ARPA FastEthernet0/0
Internet 10.45.18.15 0 00aa.aaaa.aaaa ARPA FastEthernet0/0
Internet 10.45.18.194 23 00bb.bbbb.bbbb ARPA FastEthernet0/0floodingДа, при отправке фрейма с MAC-адресом назначения, не поместившимся в FDB (их всего примерно 100), фрейм будет скопирован во все порты (кроме того, на который он первоначально пришел).
forwardingДа, при отправке фрейма с MAC-адресом назначения, находящемся в FDB, фрейм будет направлен только в соответствующий порт.
filteringНе уверен, что именно подразумевается под этим термином. Если некая ACL-фильтрация, то ей в данном контексте проявиться негде. С другой стороны, коммутатор иногда называют фильтрующим мостом (FDB, между прочим, это filtering database), но и в этом смысле я не вижу причин для фильтрации (т.е. ни специальной фильтрующей записи в FDB, ни получения фрейма с MAC-адресом назначения A на порт, с которым этот адрес ассоциирован).
вот я хочу узнать, что же ждать от него?На мой взгляд, представляется конструктивным выделить функциональность, которая потребуется от устройства в рабочем режиме (в "продакшене") и затем каждый пункт протестировать отдельно. В частности, стоит проверить работу xSTP и его нюансов (BPDU guard и т.д.), ARP Inspection, фильтрации по MAC-адресам, ограничения широковещательного/многоадресного трафика (storm control), DHCP snooping, IGMP (если планируется использовать). Для этого может потребоваться собрать тестовый стенд и сгенерировать необходимый трафик (под linux рекомендую scapy для формирования специфичных пакетов/фреймов и hping для генерации интенсивного трафика).
Ищется универсальное средство по сбору конфигов(как + - со сравнением конфигов)rancid. Насколько знаю, есть модули для снятия конфигурации hp и dlink. Но будьте готовы к тому, что "универсальное" средство придется дорабатывать под ваши нужды.
Можно ли подключить к маршрутизаторы 5 коммутаторов,а каждому коммутатору подключены 12 пк?Можно, если хватит портов. Если правильно настроить (и оборудование поддерживает необходимые технологии), то еще и работать будет.
Что такое vlan?Технология (их несколько, на самом деле), позволяющая, с точки зрения перенаправления (форвардинга) фреймов, логически разделить один коммутатор на несколько "виртуальных" коммутаторов с тем, чтобы трафик в разных VLAN ("виртуальных коммутаторах") между собой не взаимодействовал. Наиболее распространенная реализация - port-based vlan (разделение коммутатора на виртуальные) и 802.1q trunking (трафик между коммутаторами).
Можно ли подключить два маршрутизатора находящиеся на расст. 1км с помощью оптики если у маршрутизатора нет интерфейся для оптики а только etherenet? т.е ему нужен(маршрутизаторы) медиаконвертор?Да, если есть пара подходящих медиаконвертеров. Есть еще вариант использовать атмосферную оптику, но лучше все же использовать оптоволокно.
Есть ли какая-нибудь официальная документация
Желательно на русском языке.Сильно сомневаюсь.
ресурс по управлению данным оборудованием?ссылка.
Падение линка не падение интерфейса. Подскажите как можно выкрутиться не прибегая к протоколам BGP.Или самому организовывать добавление/удаление маршрутов в зависимости от "доступности" (ping и прочая) противоположного конца тоннеля, или использовать динамическую маршрутизацию через туннельные интерфейсы (реализации RIPv2, если не ошибаюсь, есть почти под каждую из популярных ОС).
Очень краткая схема в первом комментарии выше.Если я правильно понял, то можно (нужно?) изменять маршрут по умолчанию (т.е. маршрутизировать трафик на OPENVPNSERVER1 или OPENVPNSERVER2) на 3750 в зависимости от работоспособности тоннеля?
Когда трава была зеленее я видел использованиe route map в зависимости от пинга, но не запомнил и информации сейчас нет.На мой взгляд, вам подойдет решение в виде статической маршрутизации вкупе с ip sla tracking. См. раздел Резервирование.
К сожалению со второй стороны также нужно отправлять пакеты, в свою очередь выбирая интерфейс. А там у нас чисто линуксовое решение.Я полагал, что хотя бы с одной стороны маршруты исчезают при нарушении работоспособности туннеля. Если нет, то остается RIPv2 (на 3 серверах с openvpn и на устройстве cisco).
Проблема заключается в том, что компьютеры, подключенные кабелем напрямую к главному хабу - видят друг друга и объединены в сеть. А компьютеры, подключенные ко второму маршрутизатору, изолированы от главной сети и видят только друг друга, но не видят остальных.DIR-300, скорее всего, получает IP-адрес для интерфейса, которым он подключен к коммутатору (который вы почему-то называете "хабом") и затем использует его как внешний адрес для NAT. Если вы хотите, чтобы все компьютеры в сети "видели друг друга", то наиболее простым решением, на мой взгляд, будет настройка DIR-300 в качестве бриджа (моста). Должен быть настроен бриджинг между интерфейсом, которым он подключен к коммутатору (предположительно, WAN-порт) и остальными (LAN- и WLAN-/WiFi) интерфейсами. В некоторых "домашних" маршрутизаторах подобный режим называется "режимом точки доступа". Если будете использовать подобное решение, на всякий случай не подключайте один хост (компьютер, моноблок) разными интерфейсами (Wi-Fi/LAN) одновременно.
При использовании любого из них, через некоторое время интернет регулярно пропадал у пользователей, а сам роутер сходим с ума от широковещательных рассылок, его лампочки на портах не прерывно мигали с большой скорость.Я не понял, при чем здесь широковещательные рассылки. О природе трафика логично рассуждать, имея дампы этого трафика или косвенные данные (счетчики широковещательных пакетов на интерфейсах). Насчет мигания лампочек не уверен.
Суть вопроса: почему роутер сходил с ума?Если предположить, что дело все-таки в широковещательном трафике, его источник логичнее всего искать в вашей локальной сети. Если у вас между WAN- и LAN- портами устройства была настроена маршрутизация, то широковещательный пакет с WAN- порта не должен быть перенаправлен на LAN-порты. Один из вариантов, у вас в локальной сети возникала L2-петля. Возможности для возникновения петли: бриджинг на сервере, бриджинг в IP-телефоне, бриджинг между LAN и WLAN на клиентском устройстве, если WiFi-точка доступа также настроена в режиме моста (бриджинга).
На компьютере не работает интернет, до тех пор, пока не запустишь команду "ping 192.168.5.16". Затем через какое-то время, минут 15, снова пропадает. Тут спасает только "ping 192.168.5.16 -t".Одна из возможных причин - наличие в L2-домене хоста с IP-адресом, совпадающим с вашим или целенаправленная подделка arp-ответов. Стоит пронаблюдать состояние arp-таблицы на маршрутизаторе. Кроме того, можно самостоятельно (hping, scapy) послать arp-запрос с вашим ipv4-адресом в качестве искомого, посмотреть, кто откликнется.
Насколько жизнеспособна подобная схема?Вполне жизнеспособна, для "домашнего" использования (если смотреть со стороны клиента во влане 2, download+upload в сумме ограничен гигабитом, хотя, думаю, гораздо раньше, чем вы упретесь в это ограничение, истощатся ресурсы cubieboard).
Есть ли какие-то принципиальные проблемы?Принципиальных нет, только нюансы. В случае использование оборудования cisco, например, я бы заменил влан 1 на любой другой.
Тут получается, что веб-интерфейс коммутатора будет доступен и в подсети провайдера. Насколько это небезопасно?Если будет доступен - то это небезопасно, с возможными последствиями от подбора пароля и изменения настроек вашего коммутатора до потенциальных DoS-атак. В качестве защиты или измените настройки доступа к веб-интерфейсу (уже упомянутый management vlan, acl, и т.д.) или вообще отключите его, если есть возможность настройки коммутатора через консоль.