Dňa 25. 1. 2021 o 0:10 Dan Lukes napísal(a):
On 24.1.2021 22:04, Jozef Drahovsky (FreeBSD cz) wrote:
Ruzne VLANy se daji vzajemne jedinne routovat. Pokud bys je propojil na
L2 switchem, pak jsi z nich udelalo jeden VLAN. I kdyby mel v ruznych
castech topologie ruzne cislo.
Nie je to celkom tak i keď len rútovanie je zmysluplne. Dá sa medzi dve
VLAN umiestniť transparentný firewal / analyzátor. Tým je z tých dvoch
VLAN zasa LAN, ale to je už pre iný účel než štandardná prevádzka.
Problem sú malé 5 alebo 8 portové switche po kancelariách a tie IP
adresu nemajú. Na ASA ich vidím, ale vo FreeBSD nie, teda teraz už
ano, ak zapnem bridging
Vidis je jen pokud posilaji vlastni ramce, coz ty nejlacinejsi
nemanageovatelne nedelaji - nemaji co by posilaly a proc.
Prax je taká ak do cisco switchu pripojím nemenezovateľný switch a dám
show mac address table, tak ho tam vidím, čiže pakety zo svojou adresou
posielajú a to už pri link up.
A nakonfigurovat na FreeBSD bridge jen kvuli tomuhle mi pripada jako
overkill. Bridge mj. znamena sitovku trvale prepnutou do promiskuitniho
modu a s tim souvisejici vykonostni dopad (ledaze je ten router soucasne
i server a vetsina komunikace probiha tak jako tak s nim).
Ja bych se tomuhle teda spis vyhnul. Ale jestli to natolik potrebujes
musis samozrejme primarne vedet ty.
Bol to len experiment. Jednoduchšie je cyklicky sa zo scriptu opýtať
manažovatelného switchu. Navyše ten má lepší výhlad na sieť lebo je v
strede hviezdy. Ale je dobre vedieť, že u FreeBSD aj taká možnosť existuje.
Tahle cast uz s FreeBSD moc nesouvisi, tak jen velice strucne - bud' na
spolehlivosti te site moc nezalezi, pak je v poradku setrit na
infrastrukture. Nebo na jeji spolehlivosti zalezi, pak tam das to Cisco
(nebo neco podobneho) a na nem uz zaridis, ze to "skodicum" co si neco
nekam neautorizovane pripoji proste nebude fungovat.
Dan
Aby som to vysvetlil. Starám sa nielen o svoju sieť kde rozhodujem, ale
aj o množstvo sietí rôznych zákazníkov kde rozhoduje niekto iný a tam je
všehochuť zapojenia, druhov HW a požiadaviek.
V princípe nastupujem, až keď je to moc komplikované na domáceho admina,
často krát po jeho výmene bez zanechania dokumentácie.
Vtedy sa uplatní dočasne alebo aj natrvalo FreeBSD server s webom a
mojimi scriptami, ktoré individuálne upravujem podla konkrétnej
situácie. Potom domáci admin si môže zobrazovať čo potrebuje a v takom
tvare ako mu vyhovuje. Dá sa mu ľahko spraviť a udržiavať aj spomenutá
inventúra MAC a IP adries a získa prehlad nad svojou sieťou.
Jozef
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
