Jump to content
Калькуляторы

G.Y.S.

Активный участник
  • Content Count

    141
  • Joined

  • Last visited

Everything posted by G.Y.S.


  1. А я думаю, что уже в следующем году появятся средние коммутаторы (l3), которые кроме роутинга прекрасно будут терминировать 200-500 PPPoE на каждом порту (аля Рапир от АТ - только мощнее и обкатаннее) с учетом трафика И вопрос с ПППоЕ для широкополоски будет решен уже окончательно. ;-)))
  2. в HP еще есть и web-base авторизация - клиент заходит на web сервер коммутатора, авторизируется без клиента, ручками набирая логин и пароль на самом деле все равно что там шлется. Суть - чтобы коммутатор узнал - ага с этим маком на этом порту я могу работать! (это имхо и называется мак-based в отличии от порт-based)
  3. а как вам схема авторизации по 802.1x: упр свич (узел доступа) --- неупр. свич (на доме) -1 влан абоненты (дома где неупр свич) авторизуются на порту управляемого свича по 802.1x благо mac-based 802.1x позволяют задать до 16 маков на порт у длинка до 32 у хьюлетов до ?? у байстэков
  4. не заметил ответ. 1. Потрясающе. На дня обязательно сам проверю. Спасибо.
  5. 1. говорить о о конкретных ценах я не хочу. В любом случае с PPPoE и единственным неуправляемом свичем в доме (далее он подключен у упр-мому) будет дешевле ЗЫ через 5 лет - оборудование уже 1-2 раза придеться поменять. 2. оптимизация саппорта мало зависит от кого упр ли в доме свич или нет. ЗЫ мне думается что Паше с такой жизненной позицией (к черту PPPoE) проще продавать упр. железо в бол. колчествах =)
  6. не в 10,а в первый ! -) - см. выше если каждый абонент воткнут в порт управляемого коммутатора - то проблемм нет. Но (как в рекламме): "нет сынок - это фантастика" + А внутренний трафик чтобы счтать - это коммутаторы с netflow покупай ? (иногда гигабитные) Дорого. Очень дорого.
  7. Вот. Смотри. Твоя схема: 1. используем DHCP - правильно ? (иначе работать с vlan практически невозможно). 2. Ip addr -ss абоненту DHCP дает в зависимасти от мак (в твоей схеме). 3. Абонент меняет мак. Все - он не авторизован. Можно настроить ДХЦП давать какой нить ip из "гостевого пула" вновь появившемуся маку в влане. Но это не спасет. Мониторить ? - ну отмониторил.... В доме стоит неупр свич. Дом подключен к порту упр свича. На упр. свиче появился новый мак. Что дальше ...? ПОВТОРЯЮ Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=)
  8. Прочитал. Других аргументов к сожалению не увидел. Vlan на юзера - идеально, быстро, контролируемо. Но дорого и трудоемко. Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=)
  9. О кривых системах

    предлагаю провести грань между маленьким и большим? дешевле чем мы - не продает никто =) Про вири уже писал
  10. О кривых системах

    а что приводить в порядок то? Ну пусть юзеры в пределах влана делют что хотят. Тарелочники? - не большой вред при разумной тарифной политике борльшого оператора. Вири? - лечаться асцессами портах l2 свичей Атаки соседа? - нет tcp/ip на интерфесе - нет атаки Что еще? У вас сот. телефон - но оператор не может заст-ть вас не уст gsm-шлюз или не пользоваться рацией . Это накем - проше надо отноститься к неуправляемому сегменту - ничего страшного внем нет. И не делать из мухи слона. я бы не назвал бы adsl2 - низкоскоростным. Ладно ... не тема обсуждения.
  11. по существу - про proxy-arp - это имхо изврат. если денег хватило на упр железку в доме - узайте .1q на абонента или группу. Портовые vlan - тоже можно - тогда выдавайте /30 абонетам чтобы два соседа могли соединиться др с др-м. Если не хватает денег на .1q на абонента - тогда PPPoE. Другого решения я не вижу...?
  12. автору топика: А что собственно вы хотите контролировать в сегменте? Юзера отключить за неуплату: без упр. железок может только монтажник. Напр-ть через себя инет трафик на др-х юзеров - мало выгодно - при грамотной тариф политике. Вирусы можно порезать поставивь пару l2. + пару гигабит линков - чтобы легче было жить с тунелями PPPoE.
  13. согласен. Но еще и трудоемко! (хотя работать мы не боимся=) уверен! Особенно звонков из серии: я купил себе новый комп (ко мне пришел друг с ноутом) и проч - забейте пожалуйста мой новый мак Приведите пример. Будете по snmp рулить acl на l3 свичиках ? Или как ? -вирусы? плодятся везде (и в бол и в мал вланах). Согл-н что в бол. вланах чуть быстрее, НО фильтраваль порты можем и на l2 свичах внутри бол. влана. -атаки? абонент тебя атакуют внутри влана? Защитись! или удали протокол tcp/ip на интерфесе! - к тарелочникам у нас спокойной отношение. Опятьже мал влан тут мало поможет Что есть в каждой винде - согласен. а) А как маршруты юзерам передовать на друг-ие подсети ? DHCP - можно только для XP. И то кривовато - масками /24. Просить запускать файлик - тоже можно - но эт не очень хорошо. б) как всеже контролировать доступ в другие подсети? Аргументы на самом деле хоршие. Жду еще...
  14. ага точно - спать надо больше =))
  15. надо уточнить - имеется ввиду 1 Гигабайт! в секунду, т.е. 80Гигабит/c
  16. #242. Сеть микрорайона.

    Вариант 2 (Лепестки) - неп понимаю имхо неправильное суждение что строить резервные связи по уходящему кабелю - поднимет надежность. если нет кольца (то что нарисовано пунктиром (а его нет и этим этот вариант отличается от вар-та "классика"): то надежности никак не прибавиться. поврежден приходящий кабель - узел не рабоатет пропало электропитание на узеле - узел тоже не работает или предусмотрены др варианты аварий ??
  17. возможноли запроектировать и получить РЭ ФСНСС на узел связи в состав которого входит одна железка сервер ТМС (ССС), к примеру inpro, на котором установлена ip-pbx Asterisk под open sourse OS и на котором оказываются услуги VOIP. Железка стыкуется e1-м c оператором и fastethernet-m с другим оператором.
  18. WDM по многомоду

    Сегодня слышал что у людей заработало. Конвертеры Планет 100TX-100FX. Расстояние 1000 метров. Думаю тоже попробовать. У кого-нибудь есть опыт подобных экспериментов?
  19. 2 Kuzmich 1. Количество динамических правил - относиться ко всей системе сетевой защиты (ipfw) не-а. Too many dynamic rules возникает только тогда, когда флуд идет через любые динамические правила, к коим относится и limit. Кузмич, было бы очень интересно! Вспомни. Прошу. А так.. в счастье слабо пока вериться )) 2. Конечно. Задача fw - фильтровать пакетики. А не следить за количество открытых соединений различных прикадных протоколов. Согласен? И те фичи которые суют в ipfw имхо бесполезны. А свид - хоть он и прокси, способен выполнять поставленную автором топика задачу.
  20. Kuzmich 1. Что будет при флуде, пробовали смотреть? too many dynamic rules и ... все ост динамические правила "впролете", да их можно увеличить sysctl переменной, но это не спасет отца демократии. А флуда - хоть отбавляй: и вири и сетевые сканеры. Никуда от них не денешься. 2. ограничивать количество сессий, имхо, отнють не задача фаервол. Это уже прикладной уровень. Надо юзать сквид. Он для этих целей и сделан. Подругому никак. согласен
  21. 2flashwolf - не годиться. 2vic~ - только на прикладном уровне. Например сквид.
  22. меня интересует сколько ip адресов нужно для того чтобы пропускать через (ipnat) НАТ определенное количество юзеров? соотношение, скажет 1/20 или 1/100 ?