sdkikilo

В общем то, я думаю что дело действительно не в экстеншенс. Мне кажется что ваша циска регистрируется не в том контексте.

Извините, но насколько я помню, оператор не имеет права ограничивать связность абоненту. То есть, сами по себе такие ограничения не законны, и я бы просто подал в суд, на такого поставщика услуг. З.Ы. Вы можете за денежку предоставлять сервис фильтрации трафика, на предмент наличия вирусов и прочего вредоносного ПО, однако, для подобных целей надо использовать специальные(!) потоковые антивирусные системы, которые стоят опеределенных денег. И потом, я не думаю что данная услуга будет пользоваться популярностью, да и потом, если клиент чего подхватит, разбиратья с ним будете долго нудно и упорно, а потому проблемы вирусов = проблемы абонента = за вашу денежку к вам придёт мальчик - сервисный инженер и спасёт вашу душу от напавшего на вас вируса.

Вы сами ответели на свой вопрос. У вас там вообще что угодно может быть. Касательно STP повторяю ещё раз, в циске STP per-Vlan, а в обычных коммутаторах per-Port. Лично я думаю, что причина кроется в этом. В блоге на http://www.internetworkexpert.com/ описано как ведёт себя STP между двумя каталистами, если между ними гирлянда коммутаторов других производетелей (раздел CCIE Blog).

Есть такая ком***:vlan dot1q tag native Она позволяет сделать native vlan тагированным, но, вопервых, она глобальна для коммутатора (тоесть он на всех интерфейсах станет тегированным), и во вторых, native vlan используется для передачи служебных сообщений, и если вы его затегируете, то ряд протоколов у вас просто перестанет работать, например, тот же LACP (проверено на практике). Собственно в виду этого, я бы рекомендовал вам отказатся от использования VLAN 1 в качестве менеджмент влан. Собсвенно, согласно тому же Cisco SAFE так и рекомендуется поступить. Касстельно проблемы с переодическим пропаданием пингов, хотелось бы увидеть show logging и show version с обоих коммутаторов. Да, и мне непонятно, каким образом вы воткнули ОПТИЧЕСКИЙ патчкорд, в порт Catalyst 3550? По поводу Spanning-tree, да вы правы, такое действительно возможно, поскольку данная технология в каталистах реализована per-vlan, а не per-port. Попробуйте откллючить spanning для 10 vlan, на обоих коммутаторах: no spanning-tree vlan 10 Если ситуация изменится, то надо искать кольцо. Ещё я бы советовал вам отключить spanning-tree на тех интерфейсах, которые используются для подключения оконечного оборудования.

По моему личному опыту эксплуатации сервера доступа на базе построенного на FreeBSD 7.0-RELEASE + mpd5, могу сказать, что за почти год эксплуатации подобных проблем не наблюдалось. Клиентов правда немного было (150-200 в онлайне), и не pptp использовался (ума не приложу, зачем его для этих целей вообще применять...), а pppoe. Попробуйте для начала выкинуть весь тот огород из фаерволов, который у вас там есть, и взять один, например pf, и использовать только его. Функционала вам хватит с головой. Дополнительно можно добавить polling. З.Ы. А вообже, я согласен с господином Jab-ом... Вот только убийство, это грех. :-) З.Ы.Ы. Резать скорость в "точке доступа клиента" не всегда правильно, поскольку вы можете продавать клиенту интернет анлимом, а внутренние ресурсы отгружать помегабайтно и без лимитирования трафика. Если вводить подобные ограничения в точке доступа при помощи фаервола, получится огород из правил.