Come

Посмотрите еще Qtech QSW-2500 A http://www.qtech.ru/catalog/metro/42/info.htm по ценам немного дороже рубитеха, но по качеству значительно лучше.

Тут у вас больше вопрос в бюджете, поскольку 8 переприемов внесут большое затухание. И поэтому понадобятся SFP с большой мощностью - 30-35дБ. Такие только у QTECH видел.

-VLAN на клиента? очень желательно -Контроль mac-IP на доступе? (если VLAN на юзера, то в этом нет необходимости) -прожуёт ли 3612 столько вланов? прожует, но для 1000 клиентов он маловат, может не справится. DES 3016 - не стоит, если ставить Dlink то 3526, но придется все VLAN ручками настраивать. как вариант из Dlink 3627G + 3526 на доступ, в топологии звезда работать будет: интернет и локальный интернет. Все остальное IPTV, VoIP с большим трудом.

Видимо ее и нет, удивляюсь как люди мучаются, изобретают велосипед (хотя это интересно), но пытаются всех засунуть в один VLAN :(

Вот гляньте в аттачменте файлики, прислали сегодня. В принципе все подробно расписано, может и поймете как зачем и почему :) Часть 2 часть 1 Часть 3 Технологии_построения_сетей_Metro_Ethernet_часть_1.pdf Технологии_построения_сетей_Metro_Ethernet_часть_2.pdf Технологии_построения_сетей_Metro_Ethernet_часть_3.pdf

Пока у вас даже технология старая и забудьте про айпи тв и телефонию с таким оборудованием на доступе :)

Да уж, такой анализ и готовые сети и бесплатно... думаю и за деньги Вы мало что сможети получить - это же конкурентное преимущество и раздвать его всем какой смысл?

Алексей, так все таки сколько ACL нужно для безопасной жизни абонента в одном в одном VLAN? где не только интернет нужен?

Конечно, этот адрес в ARP-пакете будет расположен с другим смещением, нежели чем в IP-пакете, если вы об этом. Если говорить конкретно об ACL в DES-3526, то считал. У меня получилось 5 "основопологающих" Access-profile : permit ARP, deny ARP, permit IP, deny IP, deny DHCP. Еще есть в запасе 4 access-профиля, на 2 пары permit-deny. В ограничение на правила на порт вообще трудно упереться, там около 200 правил на группу (октет) портов. Вполне хватает, чтобы обезопаситься от злонамеренных действий пользователя. А от непреднамеренных действий пользователя (вирусов и т.п.) вы и с BRAS не очень-то убережетесь - все равно будет пролезать там, где есть локалка. Пользователям проще растолковать про firewall, чем все новые заразы отслеживать и в центре зарубать. Насчет дешевизны схемы VLAN-per-client и т.п. - предложите решение дешевле для моих объемов (40 домовых коммутаторов, маленький район) - 40 * DES-3526 + 2 * DGS-3627G + 80 * SFP = 550 000 руб (это грубо так). Только железо, понятно, должно быть новое. И чтобы не загиналось на 1000 SVI со всеми вашими ACL в центре. А сколько всего ACL вам будет нужно, что бы:1) закрыть все дырки и защитится от атак. 2) выставить приоритеты на трафик VoIP, на Интернет, на IP TV .. Не знаю как Вы считали, у меня есть цены GPL от кьютека (уже давал раньше ссылки), так подобное решение стоит 603 000 рублей. Это так не грубо, а по рознице... Может я чего не понимаю, но ведь тестили, работает.

Точно, доводов оппонента не понимают и не принимают. ARP-спуфинг можно исключить с помощью ACL. В теле ARP-пакета прописан IP-адрес, именно его вы и фильтруете так же, как и source IP в IP-пакетах. Именно он и подменяется злоумышленником на IP-адрес другого компьютера. да почти все верно, только ARP пакет это не IP пакет...проверю на следующей недельке с 3526. но ACL тоже не выход, вы считали сколько их вам на порт нужно создать? для разного трафика, для защиты от небиоса и т.д.? А следить, что бы в 1000 и более свичей это все будет выставленно? :) в общем еще раз повторюсь, дорого делать сеть на одних ACL да и не персперктивно.

скажу так, отвлекаясь от оборудования и методов защиты, чем меньше сегмент и чем их больше, тем меньше шанс в один прекрасный момент один очень умный/глупый долбоёб положит как можно большее количество машин очередной L2 атакой. Можете привести пример такой атаки? Мне что-то в голову не приходит. От подделки IP-адреса в IP и ARP-пакетах защитит ACL, от source-MAC-спуфинга - небольшое максимальное количество MAC на порт, от broadcast/mcast - storm control, от петель - loopback detection и STP. Что еще этот ваш долбоёб на L2 сможет сделать? Мне кажется глупо спорить, если никто не принимает во внимание доводы опонентов :) (в ARP атаке ничего не меняется ни IP ни MAC на порту абонента. Учите матчасть :) а ACL вносят небольшую, но задержу. можно еще раз дать ссылку http://xgu.ru/wiki/ARP-spoofing и в принципе можно и Dlink использовать, только кольца не стройте на нем, а включайте в свич L3. просто строить сети с MAC, IP привязкой ДОРОГО, а так же их ДОРОГО обслуживать и персперктив у них в будующем НЕТ. Про IPV6 - конечно нафиг он не нужен и пугают им уже много лет.

всмысле не работает :) у меня на стенде всё работает, в том числе с MVR и IGMP Fast Leave. всё корректно обрабатывает. волшебный экземпляр или с очередной новой прошивкой? (решающей старые баги и добавляющей новые) суть проблемы - данный свич походу вообще с мультикастом не дружит, и копирует мультикаст не на конкретный порт, а на все куда разрешен мультикаст (посмотрите на них активность). Fast leave не отрабатывает - отрубается 10 секунд по таймауту.С MVR все нормально, но на фоне бесплатной рассылки на порты соседей это не важно.

Как вариант поменять там где много юриков на циску а задача какая? юрика со свича отдельным виланом до ядра сети довести?

Edge-Core ES3526 - дырявая железка, в ней мульткаст до сих пор не работает, хотя если он нужен и денег нет, то в длинк уже лучше Dlink, там хоть дырки зализали. вообще у еджекоре с софтом все как то не очень пока :( (пока длится года полтора :) ) если хотите дешево, и клиентов мало, возьмите на доступ по свичу хотя бы с 2 vlan на порт (из диапазона 4к), и в центр поставьте нормальную молотилку с QinQ selective (писал уже тут про это, нужен с гигабитами аналог ME3400). Собственно получите и VLAN на пользователя (но с ручной настройкой), и VLAN на юриков еще останется и на менеджмент. А делать 1 Vlan на всех и с ACL- как уже тут писали -это полный писец и ахтунг. Экономия тут может вылится в большие потери.

и что? а если пользователей под 10 и более тысяч -? привязка в ручную, да и фильтры ARP не навсех свичах.Плюс все равно фильтрация ARP спасает не на 100% Да никак они друг друга не видят, представьте что они в разных коммутаторах :) и увидят друг друга только через L3 свич или BRAS. Если Вы этого захотите :) используйте QinQ простой, но не очень удобный - будет 16 миллионов абонентов :) (правда траблов много, QoS будет на абонента, и все сервисы от абонента будут с одинаковым приоритетом, что убивает саму фичу) или QinQ selective - то 90 000+ не проблема на один сегмент, а если уже VLAN на сервисы давать (что правильнее), то 40 000 + сегмент. Столько достаточно? :) тут уже и с QoS все получше и с настройками все быстрее, да и в обслуживании проще. Фактически это QinQ VLAN на свич.