» VLAN

roma
Они все равно DiffServ приоритеты приводят к 802.1p по определенной таблице. Не суть важно, приоритезация к этому топику не имеет особого применения.

мда.. истересная дискусия, жаль только половина не понял

Давно как то спросил какая разница между свичами L2, L3 и т.д. ? вроде сказали, что связан с OSI лайерами. Как бы OSI знаю, а вот читать про этих свичей какой лайер какие задачи решает - не нашел.

Ну и конечно про VLAN, тоже думал теорию знаю, а оказывается ничего не знаю опять (

goletsa

Цитата:

Не суть важно

суть в том что вроде бы второго уровня, а в ip заголовок смотрит.
это я вообще к вот этому всё

Цитата:

Cвич НЕ может смотреть в заголовок IP пакета

Цитата:

суть в том что вроде бы второго уровня, а в ip заголовок смотрит.
это я вообще к вот этому всё

Цитата:
Cвич НЕ может смотреть в заголовок IP пакета

Если вопрос касается качества обслуживания то тут идет путаница в понятиях, qos есть на 3 уровня (поле dscp/tos в пакете) а есть на 2, причем в обычном не тегированном фрейме места ему нет а вот в тегированном под него выделено несколько бит перед идентификатором вилана. Короче свич 2 уровня не заглядывает в IP-пакет, он может:
- получить параметры qos прочитав это поле во фрейме полученном через транковый порт (оставить его неизменным или переписать)
- получить нетегируемый фрейм с порта доступа, пометить его тегом и добавить параметры qos согласно настройке этого порта, или по умолчанию для всего свича
это будет так называемый внутренний DSCP и на его основании фрейм будет помещаться в различные очереди

В любом случае на выходе из коммутатора эти параметры сохранятся только в тегированном трафике, ни прочитать ни переписать значение dscp/tos в IP пакете свич не сможет.

Valery12

Цитата:

ни прочитать ни переписать значение dscp/tos в IP пакете свич не сможет.

какие-то конкретно модели не могут?

вот например dlink3526 может читать и IP-адреса и dscp и обслуживать трафик на основании этой инфы (ну например dscp менять) и это значение будет сохраняться на выходе.

каталист 2960 тоже может переписывать в ip заголовках dscp.
насчёт 2950 точно не скажу. но раз там есть команда mls qos trust dscp наверно читать то как минимум может.

Цитата:

какие-то конкретно модели не могут?

я всетаки считаю что коммутаторы третьего уровня

Цитата:

команда mls qos trust dscp наверно читать то как минимум может.

эта команда означает доверять dscp полученному по магистральному каналу.
вот нашел в документации

Цитата:

dscp—Classifies an ingress packet by using the packet DSCP value. For a non-IP packet, the packet CoS value is used if the packet is tagged; for an untagged packet, the default port CoS is used. Internally, the switch maps the CoS value to a DSCP value by using the CoS-to-DSCP map.

хотя видимо не все так просто - может 2960 заглянуть в IP пакет раз поддерживает расширенные ACL

Valery12

Цитата:

доверять dscp полученному по магистральному каналу.

ну чтобы чему-то доверять это что-то надо же посмотреть, логично?
а лежит это что-то (dscp) в заголовке ip
теперь развитие темы а что будет если не будет команды доверять dscp?

вообще я проводил эксперимент для выяснения что создатели DLink DES-2108 имели ввиду под приоритетами low medium high highest. точнее какие именно значения CoS (802.1p) они имели ввиду под этими названиями. я собрал следующую схему:

пингер -> аксесс -> 2108 -> транк -> 2960 -> аксес -> wireshark

порту 2108 к которому подключен пингер поочерёдно присваивал эти самые приорити, на входе вайрашрка смотрел ip заголовки - dscp менялись в соответствии с
Цитата:

CoS-to-DSCP map.

на 2960. так я собственно и выяснил чё чему на длинке соотвествует.
всё это делалось одной командой на транковом порту 2960 mls qos trust cos и если её убрать то dscp становилось равном нулю.
это я всё к чему - 2960 в заголовок ip смотрит и некоторые поля даже переписывает.

как бы всё это связать с названием темы теперь. чтобы не было оффтопика

так-так ! че то я отстал от темы

на самом деле почему СВИЧ НЕ умеет читать IP заголовки? ведь именно там находится MAC адрес. он смотрит туда и распределяет кому что.
хотя... с другой стороны это делает ARP таблица вроде ...

contrafack

Цитата:

ведь именно там находится MAC адрес.

мак адрес находится не в заголовке ip пакета. он находится в заголовке ethernet фрейма.
и абсолютное большинство свитчей L2 действительно анализируют именно только заголовки ethernet фреймов (макадрес источника, получателя, тэг вилана, кос)

но есть свитчи тоже по сути L2 только попродвинутее они уже заглядывают в ip заголовки и даже могут там что-то менять (какие-то мелочи типа dscp)
эти свитчи по прежнему занимаются коммутацией пакетов между своими портами на основании информации о макадресах и виланах


Цитата:

читать IP заголовки? ведь именно там находится MAC адрес. он смотрит туда и распределяет кому что.  
хотя... с другой стороны это делает ARP таблица вроде ...

ээээ. немножко каша какая-то. не очень верная

contrafack
RTFM
Этим все сказано

Цитата:

как бы всё это связать с названием темы теперь. чтобы не было оффтопика

качество обслуживания в виланах, никакого криминала! (правда 2960 этого не умеет, а вот в 3560 политику к вилану можно привязать)
roma "истина где-то рядом" Посыпаю голову пеплом.
порылся в документации, суть (как я понял )
внутренний dscp - это значение dscp которое ассоциируется с фреймом, и на основании которого делаются политики кос (очереди, дропы и др) внутри коммутатора. Для входящего пакета внутренний dscp присваивается с помощью мапов (если их не применять то dscp которым пометил IP пакет "пингер" конечно останется но приоретизироваться фрейм будет согласно внутреннему а не этому), либо на транковых портах копируется из оригинального фрейма (то о чем я писал, причем копируется CoS из 3 битного поля в теге фрейма и преобразуется CoS-to-DSCP). В процессе обработки фрейма внутренний dscp может меняться, маркироваться и т.д., и вот то что я не понимал - чтобы в исходящем фрейме, который улетает с коммутатора дальше, в пакете значение родного dscp заменилось значением внутреннего dscp делать ничего не надо - это делается автоматом а вот что бы этого не делалось нужна команда no mls qos dscp rewrite

может тогда скажете что за свичи L2, L3 ? и где можно о них читать? как их разлечить и для каких целей они?
на сайте D-LINK видел, но не понял арзницу между обычными smart управляющими свичами.

contrafack
Вот кратенькое изложение, надеюсь с буржуйским все в порядке, хотя бы на моем уровне.

contrafack На тот случай, если твой английский на том же уровне, что и технические познания, вот простенькая, но доходчивая статья по-русски : Ссылка

почитал и тот и другое да. на самом деле много чего надо учится.

а если учится до статуса CCNA - все это буду знать? или это высший пилотаж? (ну скажем CCIE например)..

contrafack Статус не прибавляет знаний, он только дает возможность махать красивой бумажкой перед носом работодателя, выторговывая повышенную зарплату. Так же как членство в Союзе композиторов не гарантирует умения писать хорошую музыку.

contrafack

Цитата:

между обычными smart управляющими свичами

Забудьте про web smart свичи для серьезных целей
Это обычные мыльницы с кнопочками.

Я тут сеня с одним 3com два дня lacp настраивал - типа линк есть а реально он не поднимался. Бага в прошивке, причем мануал по апдейту FW еще и опечатки содержал.

vlary

не, вы не поняли. я имел ввиду допустим если учится по программе. Учить именно, а не сдавать по дампам экзамен, то в курсе CCNA будет все это?

goletsa


Цитата:

Забудьте про web smart свичи для серьезных целей

D-link_и они да, не серьезные оборудование, но там, где я живу - на больше не хватает деньги организаций, чтоб купить что то посерьезнее.
Да и серьезных контор тут почти нету. разве контора из 60-70 компов серьезная, когда могут сидеть 3 дня без почты с заявлением: "упал exchange - ну и хрен с ним". И когда админу спрашиваешь: "а у вас сеть имеет контроллер домена?" на ответ получаешь: "да, конечно" и сразу в догонку вопрос: "А службу AD стоит запустить или нет? ".. не говорю еще, что нет никаких бекапов и т.п. примитивных вешей.. о каких серьезных дел может идти речь?
А раз речь не может идти - и мне негде щупать их
Просто каждый день ходить к клинтам переустановить windows XP, обновить антивирус и чистить компы - дела школьников. А на больше тут нечего делать.
Планирую уехать отсюда.

contrafack

Цитата:

D-link_и они да, не серьезные оборудование, но там, где я живу - на больше не хватает деньги организаций, чтоб купить что то посерьезнее.

Ну длинк-длинку рознь.
Есть удачные модели типа DES3526 а есть убогие аля DES3028.

Не знаю удачных и не удачных моделей от D-LINK.
из серьезных обарудований (если можено так сказать) я использовал в одном проекте свичи DES-1210-52
вроде удовлетворяли убогим требованием Но во время настройки 2 раза зависли. пришлось сбросить настройки и заново настроить. После настройки все вроде работает.

В Советские времена при производстве радиодеталей не всегда могли выдержать технологию поэтому на последнем этапе проводилась сортировка - те детали, которые соответствуют самым строгим допускам метились звездой и шли в оборонку (и техника там работала как часы), те у которых параметры "гуляли" - на гражданку, а те что ни "в какие ворота" в наборы радиолюбителя
Так вот у меня четкая ассоциация сложилась что та же cisco тоже таким отбором занимается, а d-link использует все без разбора - Отсюда при тех же технологиях получаем непредсказуемый результат.

contrafack По ходу изначального вопроса о безопасности VLAN вот есть интересная статейка: Virtual LAN Security: weaknesses and countermeasures

Здравствуйте уважаемые.

Ситуация выглядит так: есть 5 серверов видеонаблюдения жили они себе без сетки пару лет, но тут зам.диру понадобилось иметь и у себя на мониторе картинку, но не проблема, кинута сетка установлена клиентская часть все счастливы. Все эти сервера воткнуты в 1 свитч, включая комп зам.дира - в Linksys SLM248G - Г еще то... Ну хорошо хоть все в 1 свитче... В сети вообще не применяются VLAN.
Но с тех пор с видеосерверами начали происходить сбои. Отчасти вирусы (да в большой сети их тяжело отловить - все равно постоянно новые тащат юзвери), отчасти на них стали часто кривые руки лазить.
Решено хоть как-то это дело исправить и обезопасить видеосервера.

Сейчас настройка свитча выглядит примерно так: порты к которым подключены сервера выделены в отдельный VLAN2 и исключены из 1-го(стандартного). Порт компа зам.дира включен в оба VLAN (1U и 2U). Но доступ к сетке у него остался, а вот к серверам доступа нету. Друг с другом сервера прекрасно общаются внутри VLAN2.

Знаю что UnTagged порт не может входить в 2 VLAN, но не вдупляю как мне разрешить эту ситуацию только средствами коммутатора не трогая комп зам.дира и не настраивая на нем 2 VLAN. К тому же сетевуха у него встроенная и не факт, что поддерживает VLAN.

Alukardd
2 Сетевых карты?

goletsa
спс, конечно вариант... и каждую в свой VLAN)
а нельзя всё-таки это решить средствами коммутатора?

Alukardd

Цитата:

а нельзя всё-таки это решить средствами коммутатора?

Я честно говоря не представляю как это можно сделать.
Только если камп сможет принять два тэгированных vlan'а но под вендой это умеют только карточки от Intel'а вроде.
Или у вас везде linux?
Тогда никакой проблемы, немного шаманства с vconfig

goletsa
linux только у меня и на шлюзе)))
пока деньги на лицензии выделяются воевать с ними желания нету...
ладно завтра воткнем 2-ю карточку...

Alukardd
может на уровне маков какую-то фильтрацию сделать?

roma
была мысль но как это реализовать?) тем более на том что есть...

Добавлено:

Цитата:

Знаю что UnTagged порт не может входить в 2 VLAN

кстати у меня на свитче это выглядит нормально) строки принадлежности порта VLAN - 1U, 2U, где U - untagged) и не чего он не возмущался))) это значит они просто это не оценивают?

Alukardd
искать что-то типа ACL, но судя по http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps9994/ps10003/data_sheet_c78-504112.html
похоже он вообще мало чего умеет.

Цитата:

строки принадлежности порта VLAN - 1U, 2U, где U - untagged)

ну может строки то и есть а сами порты по pvid работают