同一个交换机上有多个子网,我怎么隔离呢?
在networking方面,我绝不是专家,我inheritance了一个我很确定是错误的,由于缺乏经验,我不知道如何清理它。
networking看起来像这样简化:
L2交换机有多个设备连接到它们。
一些设备充当连接到接入点的无线网桥,然后通过客户端以无线方式连接。
重要的是每个L2交换机由多个子网组成。 在这个例子中
- 10.10.10.0/24
- 10.10.20.0/24
- 10.10.30.0/24
这些networking中的设备是随机分散的,但最终会在其中一个L2交换机上结束。
我看到单播泛滥等行为。 (例如在wireshark,如果我在PC5 )
not eth.addr == <MY_MAC_ADDRESS> and ip.addr != 10.10.10.2 and ip.addr != 10.10.10.255
我可以看到其他networking( 10.10.20.0/24和10.10.30.0.24 )的stream量,即使主机位于另一个L2交换机。
更何况,这对路由器有负面影响,特别是在高峰时段(带宽急剧下降)。
在交换机上实现的唯一的安全措施是Port Isolation ,但我不认为这是做的工作。
我能做些什么来改善这种状况?
VLAN是不可能的,因为子网分散在L2交换机上?
我可以远程更改客户端(无线连接)使用PPPOE协议,但这会有助于这种单播泛滥吗?
你会build议什么?
单播泛滥本身并不是不正常的。 当MAC地址超出交换机的CAM(MAC地址)表时,将发生一定程度的单播洪泛。 如果你有过多的单播洪泛,那么我可能会认为你的交换基础设施的生成树拓扑有问题。 我build议的第一件事是,你看所有的交换机之间的链接,以确定当前的STP拓扑,并validation你没有任何开关循环(绘制在一张纸上,以便可视化他们)。 如果您使用的是任何非托pipe交换机,那么我的build议是将其replace为托pipe交换机。 您不希望将托pipe交换机(支持STP)与非托pipe交换机(不支持STP)混合在一起。
就实现VLAN而言,这可能是一个好主意。 这将限制单播洪泛和广播stream量到每个VLAN的范围。 您需要将交换机间链路正确configuration为Trunk端口,以承载所有VLAN的stream量。 您还需要configuration路由器或三层交换机,以在每个VLAN之间路由stream量。