Перейти к содержимому
Калькуляторы

yakuzzza

Активный участник
 Просмотреть профиль  Активность

  • Публикации

    333

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем yakuzzza

  1. Опубликовано · Жалоба на ответ

    Не подходит для случая, когда не всегда есть доступ и приходится использовать remote-hands. Пару раз глючили порты (то-ли патчи кривые, толи еще чего, не стали разбираться) - после пары срочных перетыканий руками сапорта датацентра таблица кроссировки перестала соответствовать действительности. Вписать новые данные конечно же "забыли" по запаре. В итоге через пару месяцев "Ох, е, а чей-та у нас в 31 порту торчит?" - пошли расследовать по мак-адресу.

     

    Ну что здесь сказать - грустно. Порядок - это процесс. И за ним надо просто следить. Все время.

  2. Опубликовано · Жалоба на ответ

    Будет интересно - скину пару фоток

    , скиньте пожалуйста, хотелось бы увидить пример)

     

    Да легко. Несколько примеров. Ну и немножко описания. Думаю, будет интересно.

    https://dl.dropbox.com/u/15559697/Frunze/pics/nets/DSCN5558.JPG - шкаф открыли для удобства работы. ИБП в серединке с фильтрами для удобства. В процессе набивки. В ходе монтажа многое придумывали. Переделывали. Все самостоятельно бригадой в 4 человека. Сразу все документировали. Делали для себя. Сами же потом все косяки и вылавливали.

     

    Центральный узел удаленной площадки. Здание в то время на 550-600 портов.

    https://dl.dropbox.com/u/15559697/Frunze/pics/nets/img_2253.jpg - было.

    https://dl.dropbox.com/u/15559697/Frunze/pics/nets/img_2254.jpg - в процессе.

    https://dl.dropbox.com/u/15559697/Frunze/pics/nets/img_2260.jpg - в процессе, не сдаемся!

    https://dl.dropbox.com/u/15559697/Frunze/pics/nets/img_2268.jpg - первые результаты.

    https://dl.dropbox.com/u/15559697/Frunze/pics/nets/img_2271.jpg - крупный план.

    https://dl.dropbox.com/u/15559697/Frunze/pics/nets/img_2272.jpg - еще ближе. Да, каждый кабель еще и стяжечкой решили скрутить. Менять коммутатор удобно. Выткнул все порты. Залил с бекапа конфиг в новый коммутатор. Поменял коммутатор. Включил назад.

    https://dl.dropbox.com/u/15559697/Frunze/pics/nets/IMG_2688.JPG - еще какой-то узел сети.

     

    Новое.

    https://dl.dropbox.com/u/15559697/Frunze/pics/nets/IMG_3444.JPG - настолько обнаглели, что брали 0.5м патч-корды и не снимая упаковочных скруток просто втыкали. Очень быстро и удобно.

     

    Выводы: Очень удобно в обслуживании и не требует подробной документации. Все однозначно и просто. Работы выполняет любой вменяемый работник. Если подписаны панели то вообще все быстро включается. Нет жмутов кабеля и легко идентифицировать порт.

    Из минусов - их 2. Горит порт - меняли коммутатор или перекоммутировали краснючим каблом. Меня аж выворачивало от этого, но деваться некуда. По секрету - мы могли себе позволить заменить коммутатор на новый без сгоревших портов. И второй минус - расходование портов коммутаторов в случае, когда порты патч-панелей не 100% используются. Мы могли себе позволить заполненность актива не на 100%. Также перед заходом в узел, когда наводились порядки мы просто переобжимали все порты узла и выстраивали все с нуля.

     

    Удачи!

  3. Опубликовано · Жалоба на ответ

    Точно нельзя использовать 1 линию на VDSL2 или SHDSL?

    Просто я представляю эту пачку модемов, коммутатор с вланами, софтроутер/cisco с мегаправилами.

    Не стОит оно того, ох не стОит...

  4. Опубликовано · Жалоба на ответ

    А мы в свое время выработали простые правила:

    На доступе используются панели в 24 порта.

    На доступе используются 24- и 48-портовые коммутаторы.

    Кросс при использовании 24-портового коммутатора: первый порт панели подключается в первый порт коммутатора. И так все 24 порта.

    Кросс при использовании 48 портового коммутатора: одному 48-портовому коммутатору соответствует 2 24-портовые патч-панели. Далее делаем гамбургер. Используется 5U пространства. Первый и пятый юнит на патч-панели. Третий на коммутатор. Четные порты вниз, нечетные вверх. Выходит строгое соответствие между портами коммутатора и патч-панелями.

    В нагруженных коммутационных узлах в шкаф 42U помещается 6-7 коммутаторов доступа, ИБП, магистральный коммутатор, оптический кросс.

     

    Так работает сеть на крупном заводе в 2000-2500 уже и не знаю сколько там портов. Монтажники никогда не путаются. Админы довольны. Везде порядок. Будет интересно - скину пару фоток.

     

    Удачи!

  5. Опубликовано · Изменено пользователем yakuzzza · Жалоба на ответ

    IES1000 позволяет привязку фильтрацию маков, 802.1х, вланы...

    По сути он и называется DSL-коммутатор.

    Другое дело, что плотность портов в нем низкая по сравнению с тем же 1248 и 2 эзернет порта надо на 2 линейных карты... Но это совсем другая история.

    Кстати, зачем привязывать мак к порту в ADSL - для меня осталось загадкой. На кроссе конкретная пара идет к конкретному абоненту и все.

  6. Опубликовано · Изменено пользователем yakuzzza · Жалоба на ответ

    В схеме, предложенной с пробросом вланов в офисную сеть есть косяк.
    где?

    ну вот смотрите, пришли у вас вланы 100-200 на интерфейс сиськи к стороне офиса

    офис со всеми приблудами у вас работает с интерфейсов вланов 300-400;

    что мешает ограничить взаимодействие между 100-200 и 300-400 ? вариантов ограничений полный вагон - acl/nat/policy

    ну даже если вас смущает то что все к одному порту идет, - возьмем циску с поболее портов - 7301 для начала. g0/0 - аплинк к ядру, g0/1 - собираем управлялки, g0/2 - офис.

    Вы еще 65 поставьте туда. Вам никто не даст туда 7301, а если даст - то в голове пусто.

    Мы сейчас просто рассуждаем. Завалить 2800 кошку думаю можно будет. Чисто задосить.

     

    У меня предложение продолжать дискуссию не в деструктивной струе, как я и Иван, а наоборот - как правильно все-таки сделать. Вот на сегодняшний день я не вижу как все правильно можно сделать - давайте выстраивать решение вместе!

  7. Опубликовано · Жалоба на ответ

    Врезаются в кабель до ящика - у тебя на уходящем порту на выщестоящем оборудовании событие link down/link up, и твое оборудование ушло.. дальше реагируешь по обстановке.
    А электричество никогда не пропадает?

    Линии 100% надёжны?

    Уверен 99% ложных срабатываний подорвут доверие к оной.

     

    Помимо всего, ты можешь фильтровать управляющие вланы по спискам доступов по макам и ip.
    И что мешает по старинке подсмотреть и поставить себе такие как надо?

     

    Но доступ в смысле "попинговать" :).
    Тут говорили и положить вроде можно, а может и инет чейто поюзать или абонентов поломать.

    Или ложить всё доступное оборудование по очереди, кроме того куда врезались, чтобы ТП побегала.

     

    Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен.
    см выше, менять не обязательно или менять в точке вреза.

    Ну вот под каждым словом Ивана я могу подписаться. Именно так. Это в разрезе, когда начинают рассказывать про безопасности итд итп.

  8. Опубликовано · Жалоба на ответ

    Если врежутся или вломятся в ящик, то получат доступ только к коммутаторам этого ящика и далее по дереву. В случае если это "волокно в дом" то максимум к 2-3 коммутаторам. Но доступ в смысле "попинговать" :).

     

    Если подберут/вызнают пароли и изменят конфигурацию это будет продетектировано системой управления доступом (сверки конфигурации портов/vlan/скоростей/фильтров реальной и той, что должна быть). Будет сообщение об невозможности прочитать конфигурацию коммутаторов или сообщение об отличии конфигурации + приведение ее в норму. Факт внезапного изменения конфигурации или невозможности ее прочитать будет проанализирован и проверен.

     

    Так что собственно сети ничего не угрожает пока не взломали базу системы управления сетью. А достучаться до системы управления очень непросто. Нужны знания о ее устройстве.

    Если у вас все то, что написано работает - респект и уважуха. Если только...

  9. Опубликовано · Жалоба на ответ

    В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда? Все равно он прибежал к вам в офисный свитч.

    То есть в итоге есть дырка.

    терморектальный анализ...

    только так. если хакеры нашли уязвимость - значит ее кто то допустил на этапах проектирования/интеграции.

    если злые хакеры попали в управляющий влан из общей сети - значит кому то надо оторвать руки, и вставить в то место, откуда они должны расти, а так же отказаться от использования того оборудования, которому gvrp ingress checking/802.1q ingress filter не удается правильно отработать.

    Попытка номер 2. Физический доступ получили к ящику - подключились в влану ч-з врезку итд. В схеме, предложенной с пробросом вланов в офисную сеть есть косяк. И не более того. А руки всем отрывать - сил не хватит. Лучше предложите действительно правильное решение.

  10. Опубликовано · Жалоба на ответ

    берем отдельный роутер (ту же 28ую циску например), одним бортом смотрим в ядро сети, белыми адресами например, другим бортом цепляемся в коммутатор, к нему отдельным шнурком с ядра заводим управляющие вланы до второго борта циски.

    отдельными вланами с этого же борта циски и коммутатора рисуем вланы своего офиса (серверы, бухгалтерия, базы и пр.), от "офисного" борта внаружу рисует nat, и красиво зарезаем ацесс-листами весь мусор. в частности - рисуем ацесс-листы чтоб на интерфейсы управляющих вланов можно было стучать только с офисного борта.

    Перечитал трижды. Не въехал. Читать дальше? На ночь. До просветления? :)

    хм, нарисовал примерную схемку (извините за кошмарность, рисовать не умею), может с ней как то понятнее выйдет.

    В случае если на доступ попадут злые хакеры и получат ваш контрол влан, что тогда? Все равно он прибежал к вам в офисный свитч.

    То есть в итоге есть дырка.

  11. Опубликовано · Жалоба на ответ

    А что будет, если при реализации схемы влан на свич отдавать свичу IP например 10.10.10.1 адрес из подсети пользователей без всяких вланов управлений итд?

    пинг на свич от абонента - проверка доступности свича.

    Пинг на свич от оператора - проверка доступности свича.

    Остальные пинги зарезать (для параноиков).

     

    У кого-то такое есть? То есть строить старый добрый сеть с маршрутизируемыми интерфейсами. Ваше мнение, господа.

  13. Опубликовано · Жалоба на ответ

    И такие люди, как топикстартер, строят сети.... А что еще более страшно - админят...

    Мне страшно за наше будущее..

     

    Не посмотреть элементарно оборудование в шопе у Нага... или еще где...

     

    А вообще круто будет - 20 волокн по гигабиту и одной витухой в сервак :) еще бы 5й категории и двупарник :)

    Замечательно будет работать :)

    Та троллит жеж, сабака! Шо вы в самом деле.

    Про "а вообще круто"... А что не так? 20 волокон по гигабиту в Л3 коммутатор и витухой в сервак. Замечательно все будет работать.

  14. Опубликовано · Жалоба на ответ

    Да я вообще проблемы не вижу.

    Надо все учитывать - не важно есть система или нет. Главное понятные действия, которые могут быть описаны именно как бизнес-процесс. Можно все и вручную учитывать - никто не помешает.

  15. Опубликовано · Жалоба на ответ

    зайдя на сайт mail.ru и отправив письмо с его вебинтерфейса - письмо через ваш релей уйдет? научите, я у себя так же сделаю...

    А вообще - фиксируется время и +- 15 минут от указанной даты смотрится, кто был на веб интерфейсе mail.ru... Полученный список отдается запросившим, дальше уже их работа...

    Некто отправил письмо на мейл.ру... Вообще у меня логика железная - отправил письмо=использовать SMTP.

    Использовал веб-интерфейс? Смотреть в заголовках от кого отправлено - того и пинать. Нет аккаунта? Простите. Не используется SMTP - см выше совет по Netflow. Не надо передергивать.

     

    PS: давайте только не будем сейчас еще вспоминать об анонимных прокси итд. Смотрим на вопрос ТС.

  16. Опубликовано · Жалоба на ответ

    Система техучета - какая система (пример)?
    Правильный биллинг (читай допиленный или самописный)

    Кесарю кесарево.

    В биллинге по логике не должно быть техучета.

     

    Это система техучета + бухгалтерия.

    Спасибо, Капитан Очевидность! :) У нас бухгалтерия и фин.служба - разные вещи. Система техучета - какая система (пример)?

    Вторая попытка.

     

    Какая-то система техучета - хоть на 1С + какая-то система контрактно-договорного учета - хоть на 1С. Все зависит от количества точек и частоты переезда.

     

    А теперь от "капитана следующие вопросы":

    У вас есть какая-то информационная система, которая уже работает?

    Финслужба что у вас считает? Она оплатит ваши счета и оформит платежи по контракту или договору. А в бухгалтерию это все сваливается и остаются все акты работ и налоговые накладные.

  17. Опубликовано · Жалоба на ответ

    IPoE+Netflow+помегабайтный пакет - ну очень плохая идея. Уж простите.

    Вроде как есть возможность продолжать вести RADIUS-аккаунтинг на IPoE, или вы принципиально не используете RADIUS?

  18. Опубликовано · Жалоба на ответ

    чтобы убрать NAT нужно иметь некоторое кол-во свободных адресов для клиентов, а их только заказали, сколько будет телится RIPE я не знаю, а вот проблема есть прямо сейчас.

    PS поделитесь плиз инфой как вы вы разгребаете проблемы с незапрошенным трафиком на клиентский адрес(который уже без NAT) когда клиент сидит на помегабайтке а на его адрес сыпиться говнецо из инета(при этом у клиента комп выключен)

    Э. Проблему вашу понял.

    Скажите, а вы не используете RADIUS-аккаунтинг? Ведь учет трафика должен идти до той поры, пока у вас поднят туннель. Старт=стоп ну и при необходимости алайв-пакеты. Туннель уничтожился и трафика нет - что там может досчитываться? Роутинга на этот реальный IP тоже нет - он должен уходить в Null0 в терминах Cisco.

    В принципе есть и второй вариант - IPoE. Но как по мне, то использование помегабайтных тарифов вкупе с IPoE - не Даовэй.

    А если нет, то скажите, как считаете трафик? Нетфловом? Счетчиком в правилах пакетного фильтра?

    Заранее благодарен за комментарии.

  19. Опубликовано · Жалоба на ответ

    Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт.

    Некто отправил письмо с майлвру, что и где можно увидеть в заголовках ? Правильно, - только Ip вашего ната.

    Если конкретно письмо и наш нат, то письмо отправят от нас только через наш релей - это раз, логи покажут кто отправлял - это два.

    Ну и не путайте уже письма-аськи с натом и netflowом.

  21. Опубликовано · Изменено пользователем yakuzzza · Жалоба на ответ

    Почему?

    Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт.

    Так вроде как спецслужбы у топикстартера

    1. Не дали ни портов ни IP другой стороны. А только IP его. ВСЕ.

    2. И ответ > 1 абонента их, вроде как тоже не устроил.

     

    У него технических вариантов ровно 2. или нат 1:1 или реальники. Нужно чтобы в каждый момент времени внешний IP был только у одного абонента.

     

    Если же есть другая сторона и порты, то тогда да, или снятие трафика до ната или сама таблица ната спасет положение. Но это нужно договариваться со спец службами, чтобы дали доп. информацию и не полоскали моск.

    Что значит не устраивает? Есть запрос от спецслужб - вот ответ. Уточнить хотите - давайте дополнительные данные. Не настолько там тупые ребята, как все думают. Это даже из личного опыта общения с тем же СБУ (Украина).

    Нат 1 в 1, реальники и проч - это не спецслужбам решать как проектировать сеть, еще раз повторяю.

  22. Опубликовано · Жалоба на ответ

    А вот вопрос.

    Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход.

    Надо порты - дополнительная услуга.

    Надо нат 1 в 1 - дополнительная услуга.

    Надо статик реалIP - допуслуга.

    Надо антивирус - допуслуга.

    Надо контент сканнер - допуслуга.

    Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP.

     

    Вроде все логично.

    Так и делают, в сотовых сетях например. А в ШПД слишком много игроков, не договориться.

    А пока слияния/поглощения пройдут уже IPv6 будет, идея станет мало привлекательной.

    Каких игроков? Не понял.

    В байки про IPv6 не верю. Ну не смогут все перейти сразу на IPv6, затратное это дело, ребята + будет вылазить такое, чего никто не ожидает.