yakuzzza

Сам уже задумался над такой услугой. Из наработок вижу: Windows 7 + OpenDNS.com + parentalcontrolbar.org (есть и аналоги) + PBR на прокси с squidGuard и черными списками + отчеты по посещенным страницам + отдельный логин для детей (с контролем ч-з биллинг для родителей когда можно работать детям,а когда нет) + отдельный девайс (типа домашнего маршрутизатора DIR-300/400) для запрета лишних портов. Гемора много, но на рельсы поставить можно в принципе и такое. А спрос при нормальном маркетинге думаю будет. Дома сыну организовал, работает сносно. Ну и на youtube сделал аккаунт для сына, и включил безопасный режим. PS: Parental Control.

3750 упрется в количество вланов.vlan-per-user рекомендую использовать на юрлиц. На домашних абонентов вполне сносно будет работать и Option 82 + IP Source Guard без расточительства вланов.

3028 имеет проблемы хеша.

По минимуму в поддержку Option 82 + IP source guard на доступе и NAT-шейпер. И то если не отдавать сразу реальные IP-адреса абонентам. Если сможете построить без PPPoE/VPN - стройте конечно же. Схема IPoE более удобная в плане обслуживания однозначно.

Топикстартеру почитать: http://www.nag.ru/articles/reviews/15693/t...ey-chast-1.html http://www.nag.ru/articles/reviews/15743/t...ey-chast-2.html http://www.nag.ru/articles/reviews/15712/t...ey-chast-3.html Размалевать бизнесплан. Начтите с этого. Много рисовать считать и думать по поводу оборудования и топологии. Здесь в форуме все сто раз обсуждалось. Пройдитесь по архиву. Строить на оптике. Стараться использовать заземление и качественное электропитание. Очень стараться использовать моновендорность на активе. Изначально все документировать насколько можно подробно.

Думаю ASR 1000 серии. По ценам - к коммерсам. У меня академический интерес ;) PS: не зацикливайтесь на Cisco. Есть и другие вендоры: Juniper, Alcatel-Lucent, Redback и др.

Есть рекомендация: как можно меньше использовать неоднозначность в технических вопросах. Например нат - существует большое количество технологий и протоколов, с наток не дружащих и требующих дополнительных настроек. Второй пример - View или как раньше "расщепление горизонта". Про второй скажу так. Если есть 1 сервис лучше, чтобы у него была 1 точка конфигурирования (в данном случае DNS-запись). Не стоит порождать сущности если можно обойтись без этого. В реальной жизни при нормальных руках все будет работать в любом из вариантов.

http://www.cisco.com/en/US/docs/ios/12_3t/.../gtunvlan.html Лупбеков столько сколько надо. Достаточно одного для начала. Зависит от задач. Важно понять сам принцип IP unnumbered: вместо отдачи сети с маской во влан на одном из интерфейсов (например loopback123) настраиваете IP 10.10.10.1/24 и на других вланах указываете этот интерфейс в качестве IP unnumbered. В чем плюс: вместо дробления сети (например) /24 на маски /25 /29 /30 вы оперируете сетью (в нашем примере /24) и выдаете клиентам столько IP, сколько необходимо, не тратя лишние адреса. Каждый абонент сидит в своем влане. У абонента может быть 1 3 5 6 7 23 45 123 IP-адреса из вашей сети /24. Есть возможность ограничить абонентов между собой не используя ACL - просто отключив proxy-arp на интерфейсе. Многое не надо делать в плане антиспуфинга. В принципе в документации все разжевано. Использование IP unnumbered вижу идеальным для предоставления услуг юрлицам и при развитой инфраструктуре провайдера (вариант вланперюзер и мощный L3 в центре). Перевод на IP unnumbered можно проводить постепенно на одном и том же маршрутизаторе.

От каталиста предлагаете пачку 100-мегабитных конвертеров? Я бы так не советовал бы. В первоначальной схеме кстати есть кольцо. Я бы от кольца отказался бы в случае использования оборудования разных вендоров (а так часто и строят). Стараться сводить все волокно в центр. Но думаю в итоге будет витая пара между домами ;)

Варианты на выбор: 1. PPPoE/VPN - отдавать абоненту при подключении из пула реальный IP. При отключении абонента IP освобождается. 2. IPoE - отдавать абонентам сразу реальный IP, используя тот же IP unnumbered. Все остальное оверхед и от лукавого (читай NAT).

Веб-дизайнер пусть занимается дизайном. Работает годами и такая схема с пробросом ч-з нат. DNS не путается, а делает то, как его сконфигурировали. Если создается 2 A-записи, то он будет отдавать их по очереди. Я сделал бы так: отдать web-серверу реальный IP. На 3550 сделать маршрут на этот реальный IP (а не на всю подсеть реальных IP-адресов провайдера), чтобы абоненты могли ходить на него как на локальный ресурс. На веб-сервере, если у него 2 сетевые не забыть про маршрут в локальную сеть обратно. Все должно работать.

Для 1-3-5 серверов или сервисов - нет конечно. Само собой ведение документации подразумевается. Для 10-20 уже хуже. Лучше изначально строить правильно, чтобы потом ничего не переделывать в случае чего.

Пользователи локалки должны видеть реальный IP-адрес web-сервера. Для этого на маршрутизаторах укажите правильно маршруты. Если нарисуете подробно схему - укажу что именно подправить. View лучше не использовать - нарушается логика и надо помнить о внешних и внутренних IP. Как вариант (но опять же, подробно не описана вся ситуация) можно web-серверу отдать серый IP из домашней сети, а на маршрутизаторе Интернет настроить трансляцию адресов.

Чисто из любопытства пишу. Может придется в будущем. А как оно в принципе работать будет? Дефолт у веб-сервера (80 порт скорее всего веб-сервер думаю) будет внутренний интерфейс кошки. Допустим дефолт на диалер0. Пришел пакет с диалер0 - перенаправился веб-сервер ответил и ответ уледет в диалер0. А пришел пакет с диалер1 - перенаправился, а назад куда? Правильно, в дефолт для самой кошки - на диалер0. Надо или маркировать пакеты шоб потом отправлять туда, откуда пришло, или что-то думать. По вопросу почему такое выскочило - я вообще думал что оно учитывает при создании еще и SRC. Ну если что то можно апач повесить на 2 IP или на 2 порта и для каждого внешнего интерфейса писать свой порт/свой IP. Просьба ответить если все заработало или не заработало. Удачи.

Кроме перфорации ничего раньше не было. Все с передней части: порты, консоль, блоки питания. Здесь есть и про размеры - http://www.cisco.com/en/US/docs/switches/l...0/03instal.html Внимательнее с охлаждением. Удачи.

Не спорю. Рассуждаю. При правильном построении такая проблема в принципе отсутствует. Сеть работает более стабильно и прозрачно. Убирается лишнее колено. Броадкаст надо лимитить на портах абонентов или хотя бы на агрегации. Не думаю, что у вас в 1 широковещательном домене более 500 машин, хотя и это в свое время работало без проблем при вменяемом управлении и быстром отключении зараженных ПК. А у вас из-за нелогичного и непрозрачного решения появилась или петля или баг в работе релея. А дальше сами делайте выводы в архитектуре или нет проблемы.

Это как следствие. Не затыкайте дыры - делайте правильно.

Подписываюсь под каждым словом. Актуально. Хотелось бы видеть простой софт, который бы принимал видео от IP-камер и писал его и раскладывал или архивировал по заданному плану. Но пока ничего нет. Самому лезть и ковыряться смысла особого не вижу.

PPPoE-сервер должен быть включен во все Вланы пользователей. Классика жанра.

У вас есть ADSL-модем в CO-исполнении? Бугага. Батарейки для модемов - вообще lol. 10mbps получаем на SHDSL.bis 4-х проводном или на VDSL/VDSL2.

Очевидно Open HA Cluster. Почитайте это http://www.google.com.ua/url?sa=t&sour...Xl5AbMtk3Ar5CSg

Между роутерами - HSRP. Для балансировки, а это только исходящий трафик, который косвенно влияет и на входящий - PBR. Для отслеживания шлюзов - IP SLA. Все должно работать. Рекомендую переходить на BGP.

/16 Стоп. Так через шлюз видны или на шлюзе есть еще и бриджинг между интерфейсами (bad practice)? Если за шлюзом, тогда все ограничивается к-вом маков в одном броадкастовом домене. А что вообще тревожит? Лучше про L2 волнуйтесь.

До 500 точно не будет. Проверено. Да и что там может случиться, динамические ARPы чистятся по тайм-ауту. Вроде 10 минут. Еще в DHCP можно выставить Netbios Node Type и поднять WINS. Ну а вообще надо на портах доступа фильтровать как можно больше всего. В домашней сети проводить работу по удалению всех протоколов и клиентов для сетей.., кроме TCP/IP.

Спрашивали про 24 порта... А edge-core указанный вами не умеет ACL на VLAN-интерфейсе. Да и все функции L3 мягко выражаясь - кастрированные. Тогда такой L3 - маркетинговое фуфло. Но как L2+ вполне пройдет.