Назад | Перейти на главную страницу

несколько подсетей на одном коммутаторе (ах), как его изолировать?

Я ни в коем случае не эксперт, когда дело доходит до сетей, я унаследовал один, который, как я почти уверен, неправильный, и из-за отсутствия опыта я не знаю, как его очистить.

Сеть выглядит упрощенно:

К коммутаторам L2 подключено несколько устройств.

Некоторые устройства действуют как беспроводные мосты, которые подключаются к точкам доступа, к которым затем подключаются клиенты по беспроводной сети.

Важная часть состоит в том, что каждый коммутатор L2 состоит из нескольких подсетей. В этом примере

Устройства, входящие в эти сети, разбросаны случайным образом, но в конечном итоге оказываются на одном из коммутаторов L2.

Я наблюдаю такое поведение, как одноадресное наводнение. (Например, в wirehark, если я нахожусь в PC5)

not eth.addr == <MY_MAC_ADDRESS> and ip.addr != 10.10.10.2 and ip.addr != 10.10.10.255

Я могу видеть трафик из других сетей или предназначенный для них (10.10.20.0/24 и 10.10.30.0.24) - даже если хосты находятся в другом коммутаторе L2.

Не говоря уже о том, что это отрицательно сказывается на маршрутизаторе, что особенно заметно в часы пик (резкое падение пропускной способности).

Единственная мера безопасности, реализованная на переключателях, - это Port Isolation, но я не думаю, что он выполняет свою работу.

Что я мог сделать, чтобы исправить ситуацию?

Разве о VLAN не может быть и речи, потому что подсети разбросаны по коммутаторам L2?

Я могу удаленно менять клиентов (которые подключаются по беспроводной сети) для использования PPPOE протокол, но поможет ли это при таком одноадресном флуда?

Что ты предлагаешь?

Одноадресная лавинная рассылка сама по себе не является ненормальной. Определенный уровень одноадресной лавинной рассылки произойдет, когда MAC-адреса устареют из таблиц CAM (MAC-адресов) на коммутаторах. Если у вас слишком много одноадресной рассылки, я могу предположить, что у вас проблема с топологией связующего дерева вашей инфраструктуры коммутации. Первое, что я бы посоветовал, это посмотреть на все межкоммутаторные ссылки, чтобы определить текущую топологию STP и убедиться, что у вас нет петель коммутатора (нарисуйте их на листе бумаги, чтобы визуализировать их. ). Если вы используете какие-либо неуправляемые коммутаторы, я предлагаю заменить их управляемыми. Вы не хотите смешивать управляемые коммутаторы (которые поддерживают STP) с неуправляемыми коммутаторами (которые не поддерживают STP).

Что касается реализации VLAN, то в данном случае это, вероятно, хорошая идея. Это ограничит объем одноадресной лавинной рассылки и широковещательного трафика для каждой VLAN. Вам необходимо соответствующим образом настроить каналы между коммутаторами как магистральные порты для передачи трафика для всех VLAN. Вам также необходимо настроить маршрутизатор или коммутатор уровня 3 для маршрутизации трафика между каждой из сетей VLAN.