G.Y.S.
Активный участник-
Публикации
141 -
Зарегистрирован
-
Посещение
Все публикации пользователя G.Y.S.
-
про 802.1x
тему ответил в GM пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
в HP еще есть и web-base авторизация - клиент заходит на web сервер коммутатора, авторизируется без клиента, ручками набирая логин и пароль на самом деле все равно что там шлется. Суть - чтобы коммутатор узнал - ага с этим маком на этом порту я могу работать! (это имхо и называется мак-based в отличии от порт-based) -
про 802.1x
тему ответил в GM пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
а как вам схема авторизации по 802.1x: упр свич (узел доступа) --- неупр. свич (на доме) -1 влан абоненты (дома где неупр свич) авторизуются на порту управляемого свича по 802.1x благо mac-based 802.1x позволяют задать до 16 маков на порт у длинка до 32 у хьюлетов до ?? у байстэков -
Раскирикуйте схему построения ДС. Авторизация PPPoE
тему ответил в G.Y.S. пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
без комментариев. Во всем виноват Чубайс... -
Ограничение кол-ва сессий с одного IP
тему ответил в vic~ пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
не заметил ответ. 1. Потрясающе. На дня обязательно сам проверю. Спасибо. -
Раскирикуйте схему построения ДС. Авторизация PPPoE
тему ответил в G.Y.S. пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
1. говорить о о конкретных ценах я не хочу. В любом случае с PPPoE и единственным неуправляемом свичем в доме (далее он подключен у упр-мому) будет дешевле ЗЫ через 5 лет - оборудование уже 1-2 раза придеться поменять. 2. оптимизация саппорта мало зависит от кого упр ли в доме свич или нет. ЗЫ мне думается что Паше с такой жизненной позицией (к черту PPPoE) проще продавать упр. железо в бол. колчествах =) -
Раскирикуйте схему построения ДС. Авторизация PPPoE
тему ответил в G.Y.S. пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
не в 10,а в первый ! -) - см. выше если каждый абонент воткнут в порт управляемого коммутатора - то проблемм нет. Но (как в рекламме): "нет сынок - это фантастика" + А внутренний трафик чтобы счтать - это коммутаторы с netflow покупай ? (иногда гигабитные) Дорого. Очень дорого. -
Раскирикуйте схему построения ДС. Авторизация PPPoE
тему ответил в G.Y.S. пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Вот. Смотри. Твоя схема: 1. используем DHCP - правильно ? (иначе работать с vlan практически невозможно). 2. Ip addr -ss абоненту DHCP дает в зависимасти от мак (в твоей схеме). 3. Абонент меняет мак. Все - он не авторизован. Можно настроить ДХЦП давать какой нить ip из "гостевого пула" вновь появившемуся маку в влане. Но это не спасет. Мониторить ? - ну отмониторил.... В доме стоит неупр свич. Дом подключен к порту упр свича. На упр. свиче появился новый мак. Что дальше ...? ПОВТОРЯЮ Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=) -
Раскирикуйте схему построения ДС. Авторизация PPPoE
тему ответил в G.Y.S. пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Прочитал. Других аргументов к сожалению не увидел. Vlan на юзера - идеально, быстро, контролируемо. Но дорого и трудоемко. Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=) -
предлагаю провести грань между маленьким и большим? дешевле чем мы - не продает никто =) Про вири уже писал
-
а что приводить в порядок то? Ну пусть юзеры в пределах влана делют что хотят. Тарелочники? - не большой вред при разумной тарифной политике борльшого оператора. Вири? - лечаться асцессами портах l2 свичей Атаки соседа? - нет tcp/ip на интерфесе - нет атаки Что еще? У вас сот. телефон - но оператор не может заст-ть вас не уст gsm-шлюз или не пользоваться рацией . Это накем - проше надо отноститься к неуправляемому сегменту - ничего страшного внем нет. И не делать из мухи слона. я бы не назвал бы adsl2 - низкоскоростным. Ладно ... не тема обсуждения.
-
pppoe или сегменты
тему ответил в mav пользователя G.Y.S. в Программное обеспечение, биллинг и *unix системы
по существу - про proxy-arp - это имхо изврат. если денег хватило на упр железку в доме - узайте .1q на абонента или группу. Портовые vlan - тоже можно - тогда выдавайте /30 абонетам чтобы два соседа могли соединиться др с др-м. Если не хватает денег на .1q на абонента - тогда PPPoE. Другого решения я не вижу...? -
Блеск и нищета PPPoE.
тему ответил в San пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
автору топика: А что собственно вы хотите контролировать в сегменте? Юзера отключить за неуплату: без упр. железок может только монтажник. Напр-ть через себя инет трафик на др-х юзеров - мало выгодно - при грамотной тариф политике. Вирусы можно порезать поставивь пару l2. + пару гигабит линков - чтобы легче было жить с тунелями PPPoE. -
Раскирикуйте схему построения ДС. Авторизация PPPoE
тему ответил в G.Y.S. пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
согласен. Но еще и трудоемко! (хотя работать мы не боимся=) уверен! Особенно звонков из серии: я купил себе новый комп (ко мне пришел друг с ноутом) и проч - забейте пожалуйста мой новый мак Приведите пример. Будете по snmp рулить acl на l3 свичиках ? Или как ? -вирусы? плодятся везде (и в бол и в мал вланах). Согл-н что в бол. вланах чуть быстрее, НО фильтраваль порты можем и на l2 свичах внутри бол. влана. -атаки? абонент тебя атакуют внутри влана? Защитись! или удали протокол tcp/ip на интерфесе! - к тарелочникам у нас спокойной отношение. Опятьже мал влан тут мало поможет Что есть в каждой винде - согласен. а) А как маршруты юзерам передовать на друг-ие подсети ? DHCP - можно только для XP. И то кривовато - масками /24. Просить запускать файлик - тоже можно - но эт не очень хорошо. б) как всеже контролировать доступ в другие подсети? Аргументы на самом деле хоршие. Жду еще... -
#----Краткое лирической отступление---- Использовать ли PPPoE ? + 1) нет проблемм присущих "ip протоколу" в сети Ethernet: конфликты и подмена ip адресов. Необходимость их контроля. 2) прекрасная система авторизации. Нет необходимости контролировать абонентсикий порт, привязываться к макам и проч... что экономит время, также уменьшает число звонков в саппорт. 3) можно контролировать не только доступ в Интрнет но и доступ к другим vlan-м (подсети, сервисы, пиринговые сети) -: 1) оч. большой трафик через ядро сети. 2) стоимость машинок, которые терминируют pppoe 3)...не получается задействованы ресурсы L3 коммутации (l3 свичи) - а "мир" развивается в этом направлении #----Итак схема----- в core стоит гигабитный коммутатор (l2!), к нему подключены: 1. гигабитные линии на мирорайоны (к примеру штук 5-7) 2. 3-4 pppoe сервера, присоединены к коммутатору транковыми (taged) линкам - транком:2xгигабит etherchannel (простите за каламбул=) Эти 3-4 машинки делют между собой лоад-банансинг +роутят между юзеров между vlan-ми. На одной их них поднят DHCP, который раздает ip абонентам в VLAN-ы. Это нам нужно для того, чтобы абоненты внутри влана, могли гонять трафик между собой (а не через core, немного разгружая его) Машинки с PPPoE мошут быть как PC-роутеры, так и аппаратные (cisco 3845) 3. центральный маршрутизатор (можно ether-channelx2GB)(между ним и pppoe серверами поднят ospf). 4. vlan серверов телематики (барахло больших объемов+web и проч) 5. бордерный роутер в интернет ----# дополнение при разрастании vlan-а (микрорайона) более чем 500-1000 компов для того чтобы уменьшить кол-во броудкаста в нем --- машинка с пппое двигается в этот "большой влан", далее он делиться на 2-3 маленьких влана, которые роутятся этой машинкой. Роутить полученные 2-3 маленьких влана в core -- нельзя, - жадко полосы - гигабтного аплинка на этот микрорайон Нужна конструктивная критика.. =)
-
Софт-роутер
тему ответил в Солнечный КОТ пользователя G.Y.S. в Программное обеспечение, биллинг и *unix системы
ага точно - спать надо больше =)) -
Софт-роутер
тему ответил в Солнечный КОТ пользователя G.Y.S. в Программное обеспечение, биллинг и *unix системы
надо уточнить - имеется ввиду 1 Гигабайт! в секунду, т.е. 80Гигабит/c -
Вариант 2 (Лепестки) - неп понимаю имхо неправильное суждение что строить резервные связи по уходящему кабелю - поднимет надежность. если нет кольца (то что нарисовано пунктиром (а его нет и этим этот вариант отличается от вар-та "классика"): то надежности никак не прибавиться. поврежден приходящий кабель - узел не рабоатет пропало электропитание на узеле - узел тоже не работает или предусмотрены др варианты аварий ??
-
Asterisk ip-pbx и РЭ ФСНСС
тему добавил G.Y.S. в Работа с бумагами
возможноли запроектировать и получить РЭ ФСНСС на узел связи в состав которого входит одна железка сервер ТМС (ССС), к примеру inpro, на котором установлена ip-pbx Asterisk под open sourse OS и на котором оказываются услуги VOIP. Железка стыкуется e1-м c оператором и fastethernet-m с другим оператором. -
Сегодня слышал что у людей заработало. Конвертеры Планет 100TX-100FX. Расстояние 1000 метров. Думаю тоже попробовать. У кого-нибудь есть опыт подобных экспериментов?
-
Ограничение кол-ва сессий с одного IP
тему ответил в vic~ пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
2 Kuzmich 1. Количество динамических правил - относиться ко всей системе сетевой защиты (ipfw) не-а. Too many dynamic rules возникает только тогда, когда флуд идет через любые динамические правила, к коим относится и limit. Кузмич, было бы очень интересно! Вспомни. Прошу. А так.. в счастье слабо пока вериться )) 2. Конечно. Задача fw - фильтровать пакетики. А не следить за количество открытых соединений различных прикадных протоколов. Согласен? И те фичи которые суют в ipfw имхо бесполезны. А свид - хоть он и прокси, способен выполнять поставленную автором топика задачу. -
Ограничение кол-ва сессий с одного IP
тему ответил в vic~ пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Kuzmich 1. Что будет при флуде, пробовали смотреть? too many dynamic rules и ... все ост динамические правила "впролете", да их можно увеличить sysctl переменной, но это не спасет отца демократии. А флуда - хоть отбавляй: и вири и сетевые сканеры. Никуда от них не денешься. 2. ограничивать количество сессий, имхо, отнють не задача фаервол. Это уже прикладной уровень. Надо юзать сквид. Он для этих целей и сделан. Подругому никак. согласен -
Ограничение кол-ва сессий с одного IP
тему ответил в vic~ пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
какая чушь -
mpd-3.18 как pppoe-сервер. Непонятки в логах.
тему ответил в Tofer пользователя G.Y.S. в Программное обеспечение, биллинг и *unix системы
аналогичный вопрос -
Ограничение кол-ва сессий с одного IP
тему ответил в vic~ пользователя G.Y.S. в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
2flashwolf - не годиться. 2vic~ - только на прикладном уровне. Например сквид. -
меня интересует сколько ip адресов нужно для того чтобы пропускать через (ipnat) НАТ определенное количество юзеров? соотношение, скажет 1/20 или 1/100 ?