СО
Ребят, я новичок, подскажите пожалуйста с чего лучше начать обучение и где можно найти курсы по микроту? Желательно бесплатные.
Size: a a a
2020 July 16
E
я писал " если этот хост подключен напрямую в микротик" - мы точно не сходимся во мнении?
даже в этом случае ты неправ, ибо до фаерволла "твоим путём" траффик не дойдет:)
СО
:) если бы все было так просто
Я не говорю что будет просто,и что броадкасты не завалят сеть, но вопрос изоляции клиентов по ИП друг от друга будет решен. Имел опыт получить такую сеть в обслуживание... около 150свичей, на них около 2К клиентов, все в ВЛАН 1 и одна сеть /8. На вопрос - КАК??? получил ответ что на микроте все блокируется и на свичах все изолировано, вот правди пришлось свичи агрегации 10ками включать, так как иначе глючило...
E
Сергій Охременко
Я не говорю что будет просто,и что броадкасты не завалят сеть, но вопрос изоляции клиентов по ИП друг от друга будет решен. Имел опыт получить такую сеть в обслуживание... около 150свичей, на них около 2К клиентов, все в ВЛАН 1 и одна сеть /8. На вопрос - КАК??? получил ответ что на микроте все блокируется и на свичах все изолировано, вот правди пришлось свичи агрегации 10ками включать, так как иначе глючило...
ну вот давай. у тебя 100 свитчей, тебе нужно изолировать одно устройство от остальных, как ты это сделаешь изоляцией на свитчах?)
E
Сергій Охременко
Я не говорю что будет просто,и что броадкасты не завалят сеть, но вопрос изоляции клиентов по ИП друг от друга будет решен. Имел опыт получить такую сеть в обслуживание... около 150свичей, на них около 2К клиентов, все в ВЛАН 1 и одна сеть /8. На вопрос - КАК??? получил ответ что на микроте все блокируется и на свичах все изолировано, вот правди пришлось свичи агрегации 10ками включать, так как иначе глючило...
л2 свитчи не оперируют ip-адресами, они про них ничего не знают.
E
у них всего 2 сущности: мак и порт
СО
На всех свичах включаю изоляцию, что б травик мог прийти только наверх.
верхний свич включен в роутер одним портом, никаких бриджей и аппаратных разгрузок на роутере - нет
на интерфейсе отключим АРП прокси
весь трафик попадет в Л3 на роутере, и дальше правила файрвола
верхний свич включен в роутер одним портом, никаких бриджей и аппаратных разгрузок на роутере - нет
на интерфейсе отключим АРП прокси
весь трафик попадет в Л3 на роутере, и дальше правила файрвола
E
и "изолировать" ты можешь только порт от другого порта на этом же свитче. как только мы уходим за аплинк свитча - усё, бяда
E
Сергій Охременко
На всех свичах включаю изоляцию, что б травик мог прийти только наверх.
верхний свич включен в роутер одним портом, никаких бриджей и аппаратных разгрузок на роутере - нет
на интерфейсе отключим АРП прокси
весь трафик попадет в Л3 на роутере, и дальше правила файрвола
верхний свич включен в роутер одним портом, никаких бриджей и аппаратных разгрузок на роутере - нет
на интерфейсе отключим АРП прокси
весь трафик попадет в Л3 на роутере, и дальше правила файрвола
в задаче - изоляция 1 клиента, а не всех ото всех
СО
л2 свитчи не оперируют ip-адресами, они про них ничего не знают.
если компы в одной сети /29 - /8, то без изоляции по Л2 на свиче, их трафик пойдет между соседними портами, и на роутер выходить не будет. поэтому да, свич не знает про Л3, но ему это и не надо
E
Сергій Охременко
если компы в одной сети /29 - /8, то без изоляции по Л2 на свиче, их трафик пойдет между соседними портами, и на роутер выходить не будет. поэтому да, свич не знает про Л3, но ему это и не надо
Ты невнимательно читаешь
СО
в задаче - изоляция 1 клиента, а не всех ото всех
ну так и изолировать этот один порт от других, что б его трафик только наверх шел
A
даже в этом случае ты неправ, ибо до фаерволла "твоим путём" траффик не дойдет:)
Намекни где об этом прочитать, только, пожалуйста, чуть более конкретно, чем "на вики" :)
СО
Ты невнимательно читаешь
в чем?
E
Сергій Охременко
ну так и изолировать этот один порт от других, что б его трафик только наверх шел
Как ты изолируешь этот порт от порта на другом свитче за аплинком?
E
Не изолируя всех остальных?
NY
Добрый день! Не подскажите ли по такому вопросу:
Можно ли ограничивать доступ в инет пользователям согласно группе доступа на AD?
Можно ли ограничивать доступ в инет пользователям согласно группе доступа на AD?
DL
На сквиде можно
E
Намекни где об этом прочитать, только, пожалуйста, чуть более конкретно, чем "на вики" :)
Почитай разницу л2 и л3
СО
если речь про одного клиента и каскад свичей - то тут да, не выйдет...
но как говорит в армии - надо делать хоть безобразно, но единообразно, поэтому если начали изолировать, то уже тогда всех от всех... а иначе потом сам не поймеш, кто и тебя изолируется, кто нет.
но как говорит в армии - надо делать хоть безобразно, но единообразно, поэтому если начали изолировать, то уже тогда всех от всех... а иначе потом сам не поймеш, кто и тебя изолируется, кто нет.