как capsman изолирует сети

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Приветствую.

Есть capsman контролер с несколькими ssid и несколько точек доступа соединенных L2. Проблем с настройками нет, все работает. Но хотелось бы понимать как это работает.
Если кто знает, подскажите пожалуйста как capsman реализует изоляцию клиентов друг от друга подключенных к одной точке когда всем заправляет контроллер ? Получается на самой точке вообще никаких правил и туннелей. Как же это работает ?


Александр
po7eidon
Сообщения: 18
Зарегистрирован: 04 сен 2016, 23:25

В разделе datapath, client to client forwarding=no. Все клиенты при этом будут изолированны.


В домашнем хозяйстве:
RB941-2nD
RB951G-2HnD
RB433AH
RB411AR
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

po7eidon писал(а):В разделе datapath, client to client forwarding=no. Все клиенты при этом будут изолированны.

Это я знаю и это сделано.
Но как на самом деле это работает ? ведь провод один, а никаки vlan-ов или тунелей не используется.


Александр
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

На уровне маршрутизации на контроллере. 3 (а может и 4 уровень, кто знает??) уровень OSI.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

gmx писал(а):На уровне маршрутизации на контроллере. 3 (а может и 4 уровень, кто знает??) уровень OSI.

На контроллере понятно, разные бриджи и все такое.
А как на самой точке доступа, она же чистая, только капсман клиент включен и никаких бриджей и виланов ?

Могу предположить: что между контроллером и точкой доступа L2 уровень, а за точкой доступа L3, т.к. клиент никак не может влиять на преобразование L2<>L3 то вроде все как и защищено и изолированно. Это в общих чертах.

Понимаю что вопрос по большей части риторический, просто хочу понимать как все работает, а не довольствоваться обычным "работает и ладно"


Александр
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Так там два варианта: весь трафик через контроллер и если можно, то без контроллера.
Я думаю, что все это на 3 уровне происходит. Собственные таблицы (типа ARP) на каждой точке. Есть запись - трафик локальный, если не предписано иначе отправляем по назначению, нету записи (или настроено, что все через контроллер), отправляем в контроллер.


Ответить