Перейти к содержимому
Калькуляторы

Денис Креминский

Активный участник
 Просмотреть профиль  Активность

  • Публикации

    129

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Денис Креминский

  2. Опубликовано · Жалоба на ответ

    Денис Креминский

    Если строить нормальную иерархическую сеть, то все будет нормально и изоляция будет. Не надо придумывать нелепые ситуации. Идеальных железок не бывает, но как ни странно на них существуют нормальные решения.

     

    Возвращаемся к первому вопросу. "Нормальной иерархии" не бывает по определению "нормы", поэтому еще раз:

     

    1. Поддерживают ли AT-8024 802.1q VLAN tagging и 802.1x?

    2. Если нет, какие аналогичные по цене/функционалу устройства его поддерживают? Если можно, с названием модели :)

  3. Опубликовано · Жалоба на ответ

    Денис Креминский

    Грубо говоря - аппаратная изоляция трафика между портами свича. Порты находятся в одном port-based VLAN 1, но трафиком обмениваются только с выделенным uplink портом.

     

    Допустим, у нас есть два свича. Они объединены аплинк портами -- неважно, напрямую или через третий свитч.

     

    Абоненты, подключенные к первому и второму, в таком случае, легко смогут обмениваться фреймами друг с другом.

     

    Верно?

     

    Если да, это решение не подходит.

  4. Опубликовано · Жалоба на ответ

    Денис Креминский

    Описанная вами проблема как раз решается, только при нормальной структуре сети и именно с помощью данной функции.

     

    G.Y.S

    Есть новая серия AT-8500, там все функции можно конфигурить удаленно (через telnet, ssh).

     

    Так а что такое non-Q-compliant VLAN?

  6. Опубликовано · Жалоба на ответ

    Стоит задача сделать радиолинк на очень большое расстояние (~400км) между городами. Вполне возможно, например, разделить его на несколько отрезков (разместить оборудование в промежуточных городах). Так же нужно, что бы этот линк можно было впоследствии легализировать.

    Есть ли варианты, что бы можно было уложиться (только аппаратура) в несколько килодолларов? Есть ли фирмы (желаетльно, в Мск), готовые проконсультировать, дать попробовать оборудование?

     

    дык а требования по скорости передачи данных и возможности по радиочастотам каковы?

  7. Опубликовано · Жалоба на ответ

    Денис Креминский

    По поводу VLAN, в стандарте написано, что идентификатор может быть в пределах 4096, а сколько держит свич - зависит от производителя.

     

    AT-8024 держит 32 VLAN, но идентификатор (VID) ты можешь назначать любой в пределах 4096. А зачем вам больше VLAN? Если в сети куча VLAN, значит что-то непправильно спроектировано.

     

    Ну, попробую объяснить, может, поправите.

     

    В ветке software было обсуждение того, как можно избежать использования прокси у абонента, который подключен в свич, аналогичный AT-8024, и использует безлимитный тариф. Подобная схема позволяет пользователям фактически "воровать" трафик у оператора, пропуская его через единственного оплатившего эту услугу пользователя.

     

    Самым действенным техническим средством борьбы с этой проблемой обозначили использование тэгированных VLAN, ибо тогда защита от передачи трафика от абонента к абоненту минуя средства учета и безопасности возможна в рамках всего сегмента, а не только одного свича.

     

    Для изоляции пользователей друг от друга существует другой механизм, в AT-8024 есть так называемый non-Q-complient VLAN. То есть выделенные порты находятся в одном 1-м нетегированном VLAN, а изоляция трафика друг от друга производится аппаратно. Общаться они могут только с назначенным uplonk портом.

     

    я так понимаю, он будет работать в рамках одного конкретного свича? Тогда описанная выше проблема не решается полноценно или требует установки за каждым коммутатором маршрутизатора, а хотелось бы обойтись без этого.

  8. Опубликовано · Жалоба на ответ

    Уважаемые коллеги,

     

    Как правильно трактовать "до 32 VLAN" в описании AT-8024? Стандарт описывает "до 4096 (4094) tagged 802.1q VLANs на сегмент".

     

    Некоторые описания протокола 802.1x, например, это:

     

    http://www.nwfusion.com/research/2002/0506...06whatisit.html

     

    говорят о том, что при успешной аутентификации клиента (supplicant) сервер, допустим, radius (athentication server) может выдавать cвичу (authenticator) параметры для конфигурирвания клиентского порта. Вопросы такие:

     

    1. Можно ли в принципе выдавать при аутентификации по 802.1х VID для tagged-VLAN и устанавливать его на аутентифицирующийся порт?

     

    2. Если да, то умеет ли это делать AT-8024? В нем есть port security и поддержка tacacs/radius, а вот 802.1х не видно. Если нет, то какой близкий по функционалу/цене свич умеет?

     

    3. Если да, то какой сервер аутентификации лучше использовать? (с учетом того, что клиенты 802.1х -- либо freeware, либо встроенный в xp, либо установленный с microsoft.com в w2k)

     

    Заранее спасибо.

  9. Опубликовано · Жалоба на ответ

    УФ. Давно вяяснено эксперементальным путем, что два юзера с одинаковыми МАС и IP в сети на неуправляемых коммутаторах работать МОГУТ. Плохо, сессии будут рваться, но могут.

    Был на эту тему обзор даже года полтора назад. ;-)

    Скажем если один читает книгу или спит с включенным компом - второй более-менее нормально ворует. ;-)

     

    Но - это все на простой сети, без всяких ВПН и тегированных виланов. ;-)

     

     

    Спасибо, отче :) Рассудил :)

  10. Опубликовано · Жалоба на ответ

    Частично согласен. Не вспомню щас ссылку где видел, но ...

    Попробуй на виндовозной машине послушать траффик, с отключееными службами (Типа IE, Outlook Express и пр.) ... он тебя неприятно удивит.

     

    да ради бога :) сути не меняет.

     

    Тоже частично согласен, но где вы в наше время видели неуправляемые свичи ?

     

    ARP-таблица управляемого свича не имеет никакого отношения к решению "а куда же мне отправить вот этот вот фрейм..." ибо во фрейме не анализируется информация об IP-адресе. Строго говоря, оной там может и не быть (ipx видали у новелла? свичи его, между прочим, тоже неплохо передают :))

     

    Решение принимается на основании таблицы соответствия MAC и физических портов. И это не ARP-таблица.

     

    Но коннекта все равно не будет если в сети два компа с одним ИП-шником присутствуют. Попробуйте если не верите ...

     

    Натурально! Ибо если они существуют в одном сегменте, то одна из систем (Петина или Васина) объявит громогласно о конфликте адресов. Через ARP этот конфликт, кстати, определив.

     

    А если системы будут в разых сегментах, то IP-пакеты между ними не смогут маршрутизироваться, ибо маршрут -- это принятие конкретного решения, на какой интерфейс маршрутизатора отправить пакет :) на основании другой таблицы -- маршрутизации.

     

    Короче, ни маршрутизаторы, ни свичи не отправляют пакеты неконкретно куда-то или 50 на 50, как кто-то имел смелость заявить выше :) Строго говоря, ситуации с разными направлениями отправки пакета одному получателю возможны при наличии динамической маршрутизации, когда стечение обстоятельств изменяет маршрут для того или иного адресата. Но это не имеет к топику никакого отношения :)

     

    Да почему о должен двигать ? Откуда он узнает чей адрес правильный? по-моему произойдет что-то типа миррора портов. Оба должны получить пакет... ИМХО.

     

    Потому что соответствие порта и MAC будет меняться :)

     

    Ох, кто-то не понимает сути происходящих процессов :)

     

    Nag, подозреваю, что может начать двигать, но к пересылке фрейма это все равно привести не должно. Там скорее всего будет какое-то время "на устаканивание юзера", который быстро-быстро линк из порта в порт перетыкает :)) Но это тоже домыслы :)

  11. Опубликовано · Жалоба на ответ

    Кидаю камень... Товарисч конкретно спросил: "Что будет если у двух машин одинаковый IP-шник...", вот я вам про ИП-шники и стал говорить...

     

    ну, давайте разберемся с камнями :)

     

    Но ты АБСОЛЮТНО ПРАВ, свичи (не L3) и уж тем более хабы не оперируют IP-шниками, только МАС-адресами.

    Давай посмотрим как это работает.

     

    давайте :)

     

    Пусть свич только что включили и его АРП-таблица пуста.

    Тут Вася Пупкин включает свой комп(192.168.1.2) и его сетевая карта, с определенным интервалом начинает слать АРП-запросы (широковещательные).

     

    ARP-запросы вида who-has отправляются не периодически, а при формировании ip-пакета (tcp-сегмента, udp-датаграммы и т.д.) до хоста, с которым отправитель хочет пообщаться, ну а если адреса интерфейса и получателя по сетевой маске не совпадают -- до маршрутизатора по умолчанию. Определенных интервалов у таких запросов нет.

     

    Свич тоже начинает слать АРП-запросы.

     

    Это с каких, пардон, радостей? :) Если мы рассматриваем его как IP-устройство, которое вы, допустим, пытаетесь администрировать. Но мы же говорим о свиче как "бридже с дополнительными функциями", да?

     

    АРП-пакеты не маршрутизируются и "живут" только в своем Ethernet сегменте сети. То есть тебе не удастся узнать какой МАС-адрес у сервера www.microsoft.com, зато какой у Пети с Колей - пожалуйста.

     

    ну, очевидное не оспариваем :)

     

    ...

    Что же получилось ? На свиче образовалось две записи с одним ИП-шником, но разными МАС-адресами.

     

    хы хы :) кто-то в студии говорил, что свичи не оперируют IP-адресами? Так откуда там теперь соответствия-то :) Свич держит соответствие между *ВНИМАНИЕ* MAC-адресами и физическими портами. Улавливаете? :)

     

    В общем, дальнейшие рассуждения основаны на неверной предпосылке :)

  12. Опубликовано · Жалоба на ответ

    Мы вот решили просто unlim не вводить... Я не понимаю в чем тут требование времени! Вы наверное не раз видели ситуацию, когда из забугорья скачиваешь файл, то полоса зауживается до 50-60 KB/c. Если скачивать в несколько потоков, то будет значительно быстрее. Вот они издержки буржуйского анлима. Есть канальная коммутация, есть пакетная. Можно торговать каналами, можно торговать пакетами, т.е. трафиком. Стрим торгует инлимом не от хорошей жизни, а от плохой. И пускай себе торгует! Зачем с ним конкурировать? Они не в состоянии дать качество, я это утверждаю на основе своего сервера статистики, и надо этим пользоваться!!!

     

    Возражу только одним аргументом: определенная (и неслабая по объему) категория клиентов хочет заплатить некоторую сумму за доступ к Сети и, что называется, "не париться". Есть спрос -- будет предложение. Технология принципиально позволяет.

     

    Отсюда и веяния времени. Или рынка, если угодно.

  13. Опубликовано · Жалоба на ответ

    анлимы станут требованием времени, ибо мы не придумываем велосипед, а следуем тенденциям, которые не у нас зарождаются.

    технология будет следовать за рынком, а не наоборот. поэтому и топик. технический.

    Вы совершенно правы!

    Тогда Вы сначала решите организационно-экономические проблемы (скоростью, числом TCP сессий, отсутствием локала, ...), а потом думайте, как реализовать это решение технически. Иначе не понятно, что собственно надо, что бы не воровали на анлимах.

     

    нутк мы решаем :) но не здесь же!

  14. Опубликовано · Жалоба на ответ

    Денис Креминский,

    спасибо за совет :) но это, пардон, оффтоп.

    можно еще думать о прицельных попаданиях метеоритов в аппаратную :)

    Это совсем не оффтоп, прочтите Ваше же название темы. Это именно по теме, только не с технической, а с экономической стороны.

    Просто вводя анлимы Вы очень во многих случаях сами закладываете базу для воровства. И Вы это прекрасно видите, иначе и не открывали бы эту тему тем сообщениям.

     

    анлимы станут требованием времени, ибо мы не придумываем велосипед, а следуем тенденциям, которые не у нас зарождаются.

    технология будет следовать за рынком, а не наоборот. поэтому и топик. технический.

  15. Опубликовано · Жалоба на ответ

     

    Еще вопрос. Что-нибудь дешевле, чем USD600 за 802.1q на 24 порта для решения такой проблемы бывает?

     

     

    Э... Да вы это чего удумали?

    Сейчас новые китайцы идут от 200-от баксов за 24 порта с 802.1q

    А от 300-400-от уже приличные Телесины, Длинки и прочая...

    Дороже 600 - это уже только сиска да люцент с нортелем...

     

    осознал :) спасибо!

  16. Опубликовано · Жалоба на ответ

    Денис Креминский, перед тем, как что то делать, подумайте на досуге, а что будет, когда в доме появится альтернативная сеть, подключенная через 1-го анлимитчика.

    Понятно, что проложить кабели только по дому - это не проблема, это вопрос, причем элементарный. Посмотрите на число обычных/спутниковых антенн на крышах некоторых домов...

     

    спасибо за совет :) но это, пардон, оффтоп.

    можно еще думать о прицельных попаданиях метеоритов в аппаратную :)

  17. Опубликовано · Жалоба на ответ

    ... Если' date=' например, у двух ...

    Все вышесказанное справедливо для сети из старых хабов, где все хосты "слушают" траффик всех. В нынечних свичах эту проблему разрулит сам свич..[/quote']

     

    эм... киньте в меня камнем, но почему-то речь о хабах, а про ARP ни слова. ни хабы, ни свичи не оперируют ни ip, ни тем более tcp. они -- MACами. а MACи -- из ARPа :)

  18. Опубликовано · Жалоба на ответ

    Да, тегированные виланые есть не только на каталистах. ;-)

     

    Спасибо :)

     

    Еще вопрос. Что-нибудь дешевле, чем USD600 за 802.1q на 24 порта для решения такой проблемы бывает?

  19. Опубликовано · Жалоба на ответ

    > Что и как может помешать абоненту в нашем доме, подключенному по

    > безлимитному тарифному плану, пропускать через себя трафик всех

    > заинтересованных соседей, фактически оплачивая его по тарифу "безлимитный

    > для одного пользователя" в убыток оператору?

    Только закрытие его в "особый" VLAN.

    Все остальное обходится - более или менее просто.

     

    В случа catalyst можно конечно прописать правило с MAC рутера - другие MAC будут недоступны. Но криво это. Правильно - для unlim - другой VLAN.

     

    Ну, vlan -- это вроде понятно. А если каталист включен в маршрутизатор, как и абоненты соседнего дома с аналогичной структурой сети, то как тогда запретить пользователю пропускать через себя трафик из, скажем, соседнего дома? Не каталистом же единым. Я правильно понимаю суть предложенного решения?

     

    "А, собственно, фильтром по ip на маршрутизаторе и закрывать." -- подумал я :)

     

    Спасибо.

  20. Опубликовано · Жалоба на ответ

    > Что и как может помешать абоненту в нашем доме, подключенному по

    > безлимитному тарифному плану, пропускать через себя трафик всех

    > заинтересованных соседей, фактически оплачивая его по тарифу "безлимитный

    > для одного пользователя" в убыток оператору?

    Только закрытие его в "особый" VLAN.

    Все остальное обходится - более или менее просто.

     

    В случа catalyst можно конечно прописать правило с MAC рутера - другие MAC будут недоступны. Но криво это. Правильно - для unlim - другой VLAN.

     

    Ну, vlan -- это вроде понятно. А если каталист включен в маршрутизатор, как и абоненты соседнего дома с аналогичной структурой сети, то как тогда запретить пользователю пропускать через себя трафик из, скажем, соседнего дома? Не каталистом же единым. Я правильно понимаю суть предложенного решения?

  21. Опубликовано · Жалоба на ответ

    Уважаемые коллеги!

     

    Предположим, что имеем 100baseTX сеть внутри жилого дома. Скажем, стоит там пусть даже catalyst на, допустим, 24 порта. Включенный одним портом в какой-нибудь волоконный или беспроводной аплинк. (Как вариант: включенный в небольшой домовой маршрутизатор.)

     

    В сети существуют безлимитные тарифные планы. В доме есть один пользователь, который по этому неограниченному плану работает. Кроме него в доме еще с десяток пользователей, у них у всех тарифные планы другие.

     

    Технически дано: каждый абонент каким-то образом получает айпи-адрес. Допустим, динамически через dhcp. Далее думаю про три возможных варианта:

     

    1. Адрес выдается из 192.168./172.16./10., в Интернет абонент пускается через proxy. Допустим, прокси с логином/паролем для целей биллинга.

     

    2. Адрес выдается из 192.168./172.16./10., в Интернет абонент пускается через vpn, которые пользователь создает до некоего сервера в аппаратной провайдера, получая поверх vpn полноценный ip-адрес. Закрепленный за абонентом для целей биллинга.

     

    3. Адрес сразу выдается полноценный, анонсируемый и маршрутизируемый в Интернете. По какому-то там признаку закрепляясь за абонентом для целей биллинга. Хотя ума не приложу как это сделать правильно, но пусть у кого-то будет.

     

    Внимание, вопрос!

     

    Что и как может помешать абоненту в нашем доме, подключенному по безлимитному тарифному плану, пропускать через себя трафик всех заинтересованных соседей, фактически оплачивая его по тарифу "безлимитный для одного пользователя" в убыток оператору?

     

    Заранее спасибо за деление опытом.

  22. Опубликовано · Жалоба на ответ

    Коллеги!

     

    А кто как следит за состоянием оборудования? Ну там, аптайм, уведомления инженерии при падении аплинков и все такое.

     

    Интересующий масштаб -- примерно сотня управляемых свичей, пара десятков рутеров и сервера, штук пять-семь.

     

    Заранее спасибо!

  23. Опубликовано · Жалоба на ответ

    Мое почтение!

     

    В прошлый раз сильно напутав с адресами, повторно хочу спросить -- не сталкивался ли уважаемый олл с вендором из сабжа и его беспроводными железками?

     

    Интересуют продукты multilink III и netlink III -- опыт внедрения и вообще любой опыт :)

     

    заранее спасиба.

  24. Опубликовано · Жалоба на ответ

    avm,

    2-ой гетвей это только локальная сеть провайдера.

    1-ый гетвей интернет + локальная сеть провайдера.

     

    То есть хочеться иметь постояное подключение через 1-ый но также через программу если такая есть и 2-ой гетвей использовать дополнительную скорость по локальной сети провайдера. =)

     

    Читайте про прокси-сервера.

  25. Опубликовано · Жалоба на ответ

    Коллэги!

     

    А кто что может сказать по поводу subj?

     

    Интересует: есть ли примеры использования для построение крупных сетей точка-многоточка, как с сертификацией, где лучше покупать и вообще какие могут быть подводные камни :)

     

    травка или порошок?

     

    ручки :)) альтернативно -- днк :)

    еще раз мои искренние :))