Sergey Shubin

Удалось настроить? На support@qtech.ru писали?

Может быть вирус IP scan по ночам бродит? :) Сканирует сеть в смысле...

рисую картину - у тебя есть конкурент который хочет ухудшить работу твоей сети или как вариант кулхацкеры которые юзают только локалку и хотят на халяву чужой инет поюзать, я так понимаю пппое сервер поднять сложнее чем впн? ктонибудь занимался подменой пппое серверов, какие проги для этого под виндой используются и вообще реально ли с форточки поднять пппое сервер? или нужны никсы и соотвецтвующие знания? Под винду надо установить драйвер www.raspppoe.comДелается элементарно

http://forum.dlink.ru/viewtopic.php?t=65676 мне интересно зачем на доступе в _домовых сетях_ это надо? надо весь исходящий траф от абонов ставить CoS=0, а на аггрегации prec=0 для каких таких целей его раскрашивать на доступе, или у вас исход перегружен с дома? http://forum.nag.ru/forum/index.php?showto...st&p=354381

Вы на этих железка работали? Как впечатление? Очень уж подозрительная цена... Железки отличные! А цена вполне адекватная. Они еще не очень известны, цены не задирают.

Зачем все так усложнять? При VLAN на всех имеем - ARP spoofing, DHCP spoofing, подмена MAC и IP. И т.д. Все решения - DHCP snooping, relay, IP-source-guard, op 82, MAC-port binding основаны ТОЛЬКО на управляемом железе При VLAN на пользователя - все будет работать идеально. Доп вопросы- что делать с терминацией VLAN и т.п решаются исходя из вопроса - как делаем доступ. Либо наоборот выбираем ядро и делаем доступ. Надо от чего-то отталкиваться при обсуждении конкретных схем и их критике.

QTECH QSW-2900

Ну если про мультикаст и VOIP забыть навсегда, то может быть и пофигу что умеют свичи на доступе...

Не все коммутаторы умеют options82. У нас вот стоит много nortel 450. Хорошие коммутаторы, еще бы умели opt82 - так цены бы не было ;) И вот никак понять не могу зачем на L3 объединять пользовательские vlanы в еще один ? У меня наоборот vlan терминируются и с L3 уходят в ядро безо всяких вланов. Для того, чтобы экономить IP интерфейсы на L3 агрегаторе- их как правило не хватает :) А если пользователь поставит свой IP какой ему вздумается, как защетиться от этого? Нормальные свичи доступа ДОЛЖНЫ уметь DHCP_relay+snooping+op82+IP_source_guard. Иначе нахрен вообще ставить управляемое железо на доступ?...

А в чем прикол "красоты"??? ;) Думаю лучше выдавать IP по options82 и обьединять на агрегации все пользовательские VLAN в Supervlan через arp-proxy. Многие L3 железки это умеют.

Смотря какой роутер... :)

На доступе есть кольца? Если один свич- один порт на агрегаторе, то как вариант:-прописать на всех свичах доступа разные VLAN per port (например 1,2,...,24) -на агрегаторе делать QinQ - каждый порт в разные внешние VLAN. На роутере соответсвенно QinQ терминация. Это если совсем не хочется делать разные настройки на свичах доступа.

Есть еще интересный вариант с использованием PPPoE для доступа в инет и DHCP для доступа в локалку. В этом случае некоторые свичи "умеют" локальный трафик гнать по основному local-VLAN (per user) и перенаправлять PPPoE трафик от абонента в другой VLAN. Причем этот другой pppoe-VLAN может быть использоваться например per-switch. Таким образом локальный трафик маршрутизируется (local-VLAN терминируется) на агрегации-ядре (как душа желает), а PPPoE идет в ядро по выделенному VLAN. Экономия VLAN и IP адресов - оптимальная. Ну и со всеми вкусностями учета-ограничения-безопасности.... это что-то типа protocol vlan ? Да, но в данном случае один порт принадлежит и работает в двух (и более) VLAN. Это очень новая фишка и поддерживается далеко не на всех свичах. На доступе- очень перспективная вещь, кто использует (или планирует) вилан на пользователя. В этом случа на пользователя открывается не один, а несколько виланов. Но некторые (например local trafic VLAN) дальше агрегации могут не уходить, а нужные идут дальше на BRAS.

Есть еще интересный вариант с использованием PPPoE для доступа в инет и DHCP для доступа в локалку. В этом случае некоторые свичи "умеют" локальный трафик гнать по основному local-VLAN (per user) и перенаправлять PPPoE трафик от абонента в другой VLAN. Причем этот другой pppoe-VLAN может быть использоваться например per-switch. Таким образом локальный трафик маршрутизируется (local-VLAN терминируется) на агрегации-ядре (как душа желает), а PPPoE идет в ядро по выделенному VLAN. Экономия VLAN и IP адресов - оптимальная. Ну и со всеми вкусностями учета-ограничения-безопасности....

Лучший вариант- изоляция по локальному трафику через агрегирующий свич.