Majklik píše:Z toho Zyxellu už jde linka k zákošovi a tvoji bedně každá vlastním ethernetem?
Ano.
Majklik píše:Pak je cesta nejmenšího odporu ten Zyxell vyhodit a dát tam něco, co tuší VLANy a umí je trochu řídit. Asi ti to dá i mikrotik RB250GS (pokud 5 portů stačí). Nastavíš, že směrem k zákazníkovi se pouští (a od něj bere) jen tagovaná VLANa 222 a ostatní je odřízlé (takže port v režimu trunk). Pokud máš šanci ukacet zákazníka, ať to změní, že dál už nebude mít na portu aktivní VLAN, ale jen přímo port bez tagu, tak mu z toho uděláš access port a na té RB250GS budeš odtagovávat/tagovat co jde tím portem. K danému portu přiřadíš jen VLAN 222 a žádnou jinou a ort bude v režimu filtrace jen povolených VLAN.
250GS tu nemám, tak to zkusím to nastavit na 450ce.
Majklik píše:Nicméně toto ti řeší jen to, co chodí jinými VLANama. Co se ti dostne přímo do té 222, to uvidí. V podstatě buď jde o ten Miktotikový Neighbor protokol (MNDP - UDP broadcast na port 5678). Ten se dá odfiltrovat v tom 250GS asi snadno.
Další věc e, co ti tam posílají jiné bedny. Může jit o Cisco CDP protokol a Mikrotik ho umí interpretovat a zobrazuje co v něm vidí v tom neighbor také. Ten nejde nad IP, posílá se na multicast MAC adresu 01:00:0C:CC:CC:CC. Tu bohužel používá řada jiných protokolů, které není vhodné moc blokovat, to je třeba filtrovat asi dle LLC AAAA03 (v RB250GS asi neuděláš). Nicméně HP switche CDP už tak 5 let neposílají, pokud tam nemáš něco historického, před cca 5-ti lety upgrade firmware vysílání CDP odřízl a nadále ho umí jen přijímat a zobrazovat (podobně jako ROS) a vysílají bonz o sobě pomocí normalizovaného LLDP. Ten jede také na MAC muticast adresy, používá jich několik v 01:80:c2:00:00:0x. Tam se nejlépe řeže pomoci ethertype 88CC. To by mohlo jít zaříznot.
Já vím, že bych měl mít u zákazníka předávací router (u většiny to tak máme), jen mě zajímalo, zda to jde řešit s bednama co máme po cestě na úrovni L2+.