Доброго времени суток!

Когда-то встречал статью по настройке рутеров для ограничения трафа между пользователями, сидящими в одном vlan. В то время не сохранил, сейчас найти не могу -( ACL на коммутаторах - не подходит. Вирт.интерфейсы подняты на рутере(msfc).

Подскажите реализацию...

• Ограничение трафика между хостами в одном сегменте (vlan) сети,Valery12, 09:57 , 16-Июл-10
  • Ограничение трафика между хостами в одном сегменте (vlan) сети,peacemaker_it, 10:07 , 16-Июл-10
    • Ограничение трафика между хостами в одном сегменте (vlan) сети,Valery12, 10:40 , 16-Июл-10
      • Ограничение трафика между хостами в одном сегменте (vlan) сети,Barmaley, 10:52 , 01-Сен-10
        • Ограничение трафика между хостами в одном сегменте (vlan) сети,peacemaker_it, 11:27 , 01-Сен-10
          • Ограничение трафика между хостами в одном сегменте (vlan) сети,fantom, 11:44 , 01-Сен-10
            • Ограничение трафика между хостами в одном сегменте (vlan) сети,peacemaker_it, 12:10 , 01-Сен-10

>Доброго времени суток!
>
>Когда-то встречал статью по настройке рутеров для ограничения трафа между пользователями, сидящими
>в одном vlan. В то время не сохранил, сейчас найти не
>могу -( ACL на коммутаторах - не подходит. Вирт.интерфейсы подняты на
>рутере(msfc).
>
>Подскажите реализацию...

трудно представляю себе как роутер может ограничить трафик который через него не проходит, может имелось ввиду использование ip unnumbered на виртуальных интерфейсах, но там подсеть для всех клиентов одинаковая а вот виланы разные.
в любом случае это надо делать на коммутаторе:
там где есть функционал private vlan - на нем, там где нет то  Protected Port

>[оверквотинг удален]
>>рутере(msfc).
>>
>>Подскажите реализацию...
>
>трудно представляю себе как роутер может ограничить трафик который через него не
>проходит, может имелось ввиду использование ip unnumbered на виртуальных интерфейсах, но
>там подсеть для всех клиентов одинаковая а вот виланы разные.
> в любом случае это надо делать на коммутаторе:
>там где есть функционал private vlan - на нем, там где нет
>то  Protected Port

Как ограничить трафик внутри сегмента на уровне коммутации мне известно. Просто помню, когда занимался вопросом подобного рода, но именно для vlan'ов на коммутаторах, натыкался на статью об ограничении трафика на рутерах. :(

>[оверквотинг удален]
>>трудно представляю себе как роутер может ограничить трафик который через него не
>>проходит, может имелось ввиду использование ip unnumbered на виртуальных интерфейсах, но
>>там подсеть для всех клиентов одинаковая а вот виланы разные.
>> в любом случае это надо делать на коммутаторе:
>>там где есть функционал private vlan - на нем, там где нет
>>то  Protected Port
>
>Как ограничить трафик внутри сегмента на уровне коммутации мне известно. Просто помню,
>когда занимался вопросом подобного рода, но именно для vlan'ов на коммутаторах,
>натыкался на статью об ограничении трафика на рутерах. :(

тогда может быть все-таки это http://www.opennet.me/base/cisco/catalyst_ip_unnumber.txt.html
хотя там получается по вилану на каждый порт доступа, но с точки зрения конечного пользователя все в одном сегменте, а кроме роутера никого не видят.

Предлагаю яростно погуглить по поводу Private-VLAN

>Предлагаю яростно погуглить по поводу Private-VLAN

Цель была блокировать трафик на L3 :)

В таком варианте - траф через роутер (если роутер и коммутатор - РАЗНЫЕ железки) вообче не проходит (как уже отмечали выше), либо вам надо завернуть весь трафик через роутер, либо фильтровать на коммутаторе.

>В таком варианте - траф через роутер (если роутер и коммутатор -
>РАЗНЫЕ железки) вообче не проходит (как уже отмечали выше), либо вам
>надо завернуть весь трафик через роутер, либо фильтровать на коммутаторе.

Коммутаторы у меня работают сторого как L2. Все vlan'ы расписаны на рутере (MSFC). Pvlan - самый простой и вполне логичный вариант, но не мой...
Очень давно видел статью по поводу ограничения трафика, тематическую, теперь нигде не могу её найти.