Включайте юзеров в управляемые свичи типа Dlink des-3526 которые умеют бороться с arp spooof-ингом аппаратно (15$ за порт и полное отсутствие гемороя это не так уж и дорого). Если сеть посторена на неуправляемых мыльницах то тут правильно подсказали - запускайте ipsec тунели, с вытекающим отсуюда гемороем в виде неконтролируемых лагов в сети.
2 Tt002: а что за модель с 4-мя комбо портами ? Есть какоето название у нее ?
Бы был в 3526 датчик вращения вентилятора и датчик температуры как на писюках то цены б им не было.
Есть такие перловые модуля позволяющие писать и исполнять скрипты на циске через телнет и ssh. Во FreeBSD даже порт есть /usr/ports/net-mgmt/p5-Telnet-Cisco
мой приятель весьма поверхностно знакомый с ИОС-ом (спрашивал у меня команды как добавить и удалить из аксес-листа запись) за пол часа наваял скрипт который с веб морды посредством этого модуля телнетится на циску и управляет аксес-листами.
По поводу ограничений по количеству ACL упомянутых выше - так никто не мешает сменить sdm profile с default на access с количеством ACE в 2000.
Так что идея автора топика отнють не утопическая.
У многих прооизводителей которые заявляют что их свичи умеют нарезать полосу подразумевается нарезка с помощью rate-limit а не shaping. смотрите не наступите на эти грабли.
В dot1.x не силен, поэтому возник вопрос - а если на одном порту свича который поддерживает dot1x висит 5-ти портовый тупой свич ? Допускается в этом случае аутентификация отдельных МАК-адресов а не порта в целом ?
grama дело говорит, ставьте на аксес DES-3526 и не парьтесь. Это идеальный вариант:
привязка ip-mac-port
защита от левых dhcp
защита от arp spoofing-а
ограничение broadcast/multicast траффика
dot1.q
dot1.x
RSPT
MST
цена от $11 до $15 за порт (в зависимости от обьема покупки и продавца)
циска с аналогичным функционалом защиты это не менее Catalyst3560 с ценой в 10 раз больше.
Тросс должен быть самым слабым местом в системе и в экстремальных ситуациях он должен порваться до того как разрушатся элементы крепления. Одно дело когда на когото или на чтото упадет кабель, другое дело металические элементы крепления.
Мне удалось скрестить во Flowc-1.6 netflow collector и радиус в одном демоне. Уже второй год работает без проблем. Правда у меня не PPPoE а PPTP (но это вроде не принципиально) и самопальный радиус поддерживает только CHAP аутентификацию. Могу сбросить исходники. Доки по настройке еще нет.
"Не возьмусь читать Вам лекцию о последовательных и паралельных колебательных контурах...добротности... емкости ... резонансах...гармониках... и прочих аспектах РАДИОТЕХНИКИ." - это из серии я знаю кунгфу, карате, джиу-джитсу и много других страшных слов.
PS: Колебательные контура настроеные в резонанс на 50Гц.... ню-ню... хочу на это посмотреть. масса и габариты должны впечатлить.
За электроэнергию еще ниразу не платил, (дом не принят Киевэнерго на учет) поэтому реальное потребление даже не знаю :). Завтра беру на тестирование Dlink-овские powerline железки, по результатам тестирования отпишу.
Ради эксперимента отключил только что провода от своего счетчика, никаких других коммутаций и кроссировок не делал, все работает. Если я несу ересь как сий факт объяснят знающие электротехнику и радиотехнику (последняя кстати тут абсолютно не причем) ?
Есть необходимость промаршрутизировать траффик нескольких VLAN-ов с общим числом юзеров около 500 с возможностью роста до 1000. Траффик сейчас на уровне 100Мбит/c но будет расти. Кроме маршрутизации тазик должен держать NAT (PAT), таже планируется установка IDS (snort).
Что лучше выбрать в качестве платформы, Intel или AMD? Будет ли большой выиграш от использования многоядерных процов по сравнению с одноядерными ?