Здравствуйте.

Дайте маячок как можно еще можно управлять трафиком между виланами, кроме ACL и PVLAN.
ACL - слишком громоздко, при плохом стечении обстоятельств списки могут сильно раздуваться, усложняется администрирование.
PVLAN - имеет слишком много ограничений. Например нельзя использовать voice vlan (который кстати сказать у нас используется) и еще много чего. Список большой.

Спасибо.

• Способы защиты сети,eek, 10:53 , 16-Авг-13
  • Способы защиты сети,magelan09, 10:58 , 16-Авг-13
    • Способы защиты сети,eek, 11:08 , 16-Авг-13
      • Способы защиты сети,magelan09, 11:14 , 16-Авг-13
        • Способы защиты сети,eek, 11:22 , 16-Авг-13
          • Способы защиты сети,magelan09, 11:47 , 16-Авг-13
            • Способы защиты сети,eek, 12:00 , 16-Авг-13
              • Способы защиты сети,magelan09, 14:42 , 16-Авг-13
                • Способы защиты сети,eek, 06:12 , 17-Авг-13
                  • Способы защиты сети,eek, 06:13 , 17-Авг-13

> Здравствуйте.
> Дайте маячок как можно еще можно управлять трафиком между виланами, кроме ACL
> и PVLAN.
> ACL - слишком громоздко, при плохом стечении обстоятельств списки могут сильно раздуваться,
> усложняется администрирование.
> PVLAN - имеет слишком много ограничений. Например нельзя использовать voice vlan (который
> кстати сказать у нас используется) и еще много чего. Список большой.

Одно с другим не вяжется "трафиком между виланами" это как бы про L3 и "PVLAN - имеет слишком много ограничений" - это по больше части про L2.

Задача какая?

Для решения вопросов безопасности как все мы знаем неплохо подходит устройство под названием файрвол.

> Одно с другим не вяжется "трафиком между виланами" это как бы про
> L3 и "PVLAN - имеет слишком много ограничений" - это по
> больше части про L2.

трафик существует на всех уровнях. поэтому не имеет значения какая технология будет применена, главное конечная цель - управлять/ограничивать трафик.

> Задача какая?

задача одну большую сеть подробить на маленькие и ограничить трафик между этими маленькими сетями. Как всегда есть интернет куда должны все ходить, есть севера, доступ к которым должен контроллироваться, есть люди у которых доступ который выходит за пределы политики одной подсети (например один человек в своем вилане/сети должен иметь доступ в другой вилан/сеть, а все отсльные из его вилана/сети не должны).

> задача одну большую сеть подробить на маленькие и ограничить трафик между этими
> маленькими сетями.

Файрвол.

Либо TrustSec SGA:
http://www.cisco.com/en/US/solutions/collateral/ns170/ns896/...

Я упустил одну важную деталь в своей теме. Прошу прощения.
В наличии маршрутизатор 3825 и свитчи 2960.

> Я упустил одну важную деталь в своей теме. Прошу прощения.
> В наличии маршрутизатор 3825 и свитчи 2960.

Людей сколько?

>> Я упустил одну важную деталь в своей теме. Прошу прощения.
>> В наличии маршрутизатор 3825 и свитчи 2960.
> Людей сколько?

приблизительно 100.

>>> Я упустил одну важную деталь в своей теме. Прошу прощения.
>>> В наличии маршрутизатор 3825 и свитчи 2960.
>> Людей сколько?
> приблизительно 100.

Если хочется обойтись тем железом что есть, то качайте софт и настраивайте zone based firewall на ios. Будет полегче, но фукнционал там значительно беднее чем на ASA.

тоесть какого-то изобретения от циски типа PVLAN больше порекомендовать не можете? Просто PVLAN подходит идеально судя по описанию, останавливают только его ограничения.

В любом случае спасибо. Почитаю про zone based firewall на ios.

.

.