[sergeyjob]

Вот сейчас думаю о том, как правильно считать локальный трафик. Есть идея разделить всех пользователей VLAN'ами так, чтобы весь трафик проходил через сервер. Но тут возникает интересный вопрос с безопасностью. Если, например, у двух пользователей будут одинаковые ip-адреса, то пакет от сервера до пользователей будет идти 50/50 - правильно? (это при использовании технологии VPN). Решит ли эту проблему технология PPPoE и как вообще посоветуете лучше сделать?

[Roman Ivanov]

Вот сейчас думаю о том, как правильно считать локальный трафик. Есть идея разделить всех пользователей VLAN'ами так, чтобы весь трафик проходил через сервер. Но тут возникает интересный вопрос с безопасностью. Если, например, у двух пользователей будут одинаковые ip-адреса, то пакет от сервера до пользователей будет идти 50/50 - правильно? (это при использовании технологии VPN). Решит ли эту проблему технология PPPoE и как вообще посоветуете лучше сделать?

 

Нет неправильно.

Тупой свитч может сделать только одно: послать одному.

Умный - может блокировать если не тот ip.

[Roman Ivanov]

Вот сейчас думаю о том, как правильно считать локальный трафик. Есть идея разделить всех пользователей VLAN'ами так, чтобы весь трафик проходил через сервер. Но тут возникает интересный вопрос с безопасностью. Если, например, у двух пользователей будут одинаковые ip-адреса, то пакет от сервера до пользователей будет идти 50/50 - правильно? (это при использовании технологии VPN). Решит ли эту проблему технология PPPoE и как вообще посоветуете лучше сделать?

 

бррр.

тут даже дело на Layer 3.

 

зависит от многих факторов. - что где и как.

[sergeyjob]

бррр.

тут даже дело на Layer 3.

 

зависит от многих факторов.  - что где и как.

 

Вот хотелось бы решить это без L3. L3 для меня - слишком дорого... Но мне, к сожалению, так и не ответили на мой вопрос.. Повторюсь. Пусть все пользователи друг друга не видят (VLAN). Тогда если я сделаю VPN и у двух пользователей будут одинаковые IP, то насколько я понимаю нефига хорошего из этого не выйдет? И что будет в данном случае при использовании PPPoE ?

[Nag]

sergeyjob,

Пусть все пользователи друг друга не видят (VLAN). Тогда если я сделаю VPN и у двух пользователей будут одинаковые IP, то насколько я понимаю нефига хорошего из этого не выйдет?

 

Не могу не вспомнить притчу.

У крутого японского ниндзи спрашивают - как избежать гибели, если окажешься один на дороге между двух гор, и на обоих будут враги?

Ниндзя подумал и ответил - да никак, конечно... Только вот в упор не понимаю, какой черт меня понесет на эту самую дорогу?

;-)

[sergeyjob]

sergeyjob,

Пусть все пользователи друг друга не видят (VLAN). Тогда если я сделаю VPN и у двух пользователей будут одинаковые IP, то насколько я понимаю нефига хорошего из этого не выйдет?

 

Не могу не вспомнить притчу.

У крутого японского ниндзи спрашивают - как избежать гибели, если окажешься один на дороге между двух гор, и на обоих будут враги?

Ниндзя подумал и ответил - да никак, конечно... Только вот в упор не понимаю, какой черт меня понесет на эту самую дорогу?

;-)

 

По-моему я не просил рассказывать сказки и не писал своё сообщение в какие-нить разделы флейма на форуме. Я задал конкретный технический вопрос. Попрошу отвечать по существу или воздержаться от глупых комментариев.

[Nag]

sergeyjob, это только Вам кажется, что задан КОНКРЕТНЫЙ вопрос. На мой взгляд вопрос на столько не корректный с технической точки зрения, что я не представляю, как него технически отвечать. ;-) Только шутить, благо 1 января оно само напрашивается... :-)

 

Во-первых, вообще не понятно как связаны виланы и ВПН. Это в общем разные вещи, которые работают совершенно независимо друг от друга.

Во-вторых, трафик ВПН в любом случае ходит через центр. Как на ситуацию влияют виланы - не понятно.

В-третьих, у Вас VPN святым духом образуется, что одинаковые адреса в них могу устанавливаться на разных пользователей да еще в разных виланах? :-))))

В-четвертых, не понятно к чему приплетен ПППоЕ.

 

Так что потрудитесь задавать правильные вопросы, если хотите получать ответы по делу. ;-) Можете начать с http://nag.ru/goodies/book/2ch6-3.html - а то у меня есть подозрение, что термин VLAN Вы как-то странно себе представляете...

 

Потому что иначе и вопроса бы не было. ;-) потому что неправильный IP (не подходщий к тегированному VLAN) будет очень хорошо обеспечивать безопасность - 100% не будет работатать. :-))))

Но вот как он туда попадет - хоть убей не представляю. ;-))))

[sergeyjob]

sergeyjob, это только Вам кажется, что задан КОНКРЕТНЫЙ вопрос. На мой взгляд вопрос на столько не корректный с технической точки зрения, что я не представляю, как него технически отвечать. ;-) Только шутить, благо 1 января оно само напрашивается... :-)  

Если непонятно - всегда можете задать конкретный вопрос.

 

Во-первых, вообще не понятно как связаны виланы и ВПН. Это в общем разные вещи, которые работают совершенно независимо друг от друга.

 

Грубо говоря, есть свитч. Пусть в каждый порт воткнут один клиент, а в один порт - сервер. Клиенты разбиты на VLAN'ы так, что могут общаться только с сервером... Этим мы добиваемся того, что весь локальный трафик будет идти через сервер. Теперь о VPN. Каждый клиент может ставить себе разные IP (т.к. привязку по IP может делать только L3, а это довольно дорого) и для того, чтобы как-то авторизовать клиетов используются VPN-соединения с сервером.

 

Во-вторых, трафик ВПН в любом случае ходит через центр. Как на ситуацию влияют виланы - не понятно.

VLAN нужен для запрета локального трафика (см. выше).

 

-третьих, у Вас VPN святым духом образуется, что одинаковые адреса в них могу устанавливаться на разных пользователей да еще в разных виланах? :-))))

Нет. В VPN соединения адреса разные и они назначаются сервером... Но VPN-соединение образуется поверх каких-то других локальных адресов... Вот эти друге адреса (на стороне клиента) могут совпадать.

 

В-четвертых, не понятно к чему приплетен ПППоЕ.

PPPoE коннектится совсем не к IP-адресу... Поэтому мне и интересно как он работает. Если он посылает пакеты на mac, то, насколько я понимаю - это решает проблему с подменой локального IP.

 

Так что потрудитесь задавать правильные вопросы, если хотите получать ответы по делу. ;-)  

 

 

Можете начать с  http://nag.ru/goodies/book/2ch6-3.html - а то у меня есть подозрение, что термин VLAN Вы как-то странно себе представляете...

Если Вам как-то непонятен вопрос, то это вовсе не означает, что я вообще не разбираюсь в обсуждаемой теме.

 

Потому что иначе и вопроса бы не было. ;-) потому что неправильный IP (не подходщий к тегированному VLAN) будет очень хорошо обеспечивать безопасность - 100% не будет работатать. :-))))

VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть несколько видов настроек стандартных и они переключаются перемычками. Вот я сомневаюсь, что в таких свитчах есть какие-либо привязки к IP. Если это будет просто необходимо, то подскажите недорогие свитчи на 16 портов, у которых есть подобная привязка.

 

Но вот как он туда попадет - хоть убей не представляю. ;-))))

Я понимаю, что на каком-нить Cisco Catalyst или 3Com можно сделать очень много всего и в их возможностях я не берусь с Вами спорить... Но неужели уместно "рассказывать сказки" вместо того, чтобы уточнить вопрос и помочь человеку?

[Roman Ivanov]

>> В-четвертых, не понятно к чему приплетен ПППоЕ.

> PPPoE коннектится совсем не к IP-адресу... Поэтому мне и интересно

> как он работает. Если он посылает пакеты на mac, то, насколько я

> понимаю - это решает проблему с подменой локального IP.

PPPoE работает именно с MAC адресами. До IP юзера ему фиолетово.

Хотя... Если юзер поставит свой IP = выдаваемый ему PPPoE...

но это будет его личное горе.

 

> Если Вам как-то непонятен вопрос, то это вовсе не означает, что я

> вообще не разбираюсь в обсуждаемой теме.

Вас никто не оскорблял. Nag дал ПРАВИЛЬНУЮ ссылку. Если бы Вы пошли по ней и прочитали всю книгу (раза 4) - то этого вопроса не было бы.

 

> VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть

> несколько видов настроек стандартных и они переключаются

> перемычками.

Гыыыы. Уверен на 50%, что 2 юзера, знающие комманду "ARP -s" легко обойдут такой "умный" свитч.

 

>Но неужели уместно "рассказывать сказки" вместо того, чтобы

>уточнить вопрос и помочь человеку?

Уместно. Если правильно обдумать и сформулировать вопрос, то большой шанс, что задавать его не надо. Вы сами ответ найдете, пока думать будете.

[Nag]

sergeyjob,

VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть несколько видов настроек стандартных и они переключаются перемычками. Вот я сомневаюсь, что в таких свитчах есть какие-либо привязки к IP.

 

Становится понятнее. По крайней мере речь не о тегированных виланах, а о портовом извращении. :-) Поэтому и говорю - для корректного ответа нужен корректный вопрос.

В общем, говорить о портовых виланах почти бессмысленно, для построения сети они малоприменимы. Разве что смотреть на случаи сетей из одного коммутатора.

Далее, многие производители понимают "портовые виланы" по разному. :-) Как и кто это делает точно - даже разбираться не хочу - этот китайский венигрет не интересен.

 

Но неужели уместно "рассказывать сказки" вместо того, чтобы уточнить вопрос и помочь человеку?

 

Может хоть сказки наконец подвигнут человека изучить хотя бы азы темы? ;-)

Иначе, повторюсь, мы просто будем говорить о разных вещах. И то - только в длинные выходные, когда есть немного свободного времени.

 

В VPN соединения адреса разные и они назначаются сервером... Но VPN-соединение образуется поверх каких-то других локальных адресов... Вот эти друге адреса (на стороне клиента) могут совпадать.

 

Вот сначала надо задать себе вопрос, поверх каких именно адресов строится ВПН. Глядишь и вопросы в форум отпадут... Вот, например, немого про ВПН тут - http://nag.ru/goodies/book/2ch6-4.html

Как клиентские адреса будут совпадать - я понимаю. ;-) Но вот как это влияет на безопасность (которая в этом случае обеспечивается совсем другими методами) - не представляю. :-)

[sergeyjob]

> Если Вам как-то непонятен вопрос, то это вовсе не означает, что я  

> вообще не разбираюсь в обсуждаемой теме.

Вас никто не оскорблял. Nag дал ПРАВИЛЬНУЮ ссылку. Если бы Вы пошли по ней и прочитали всю книгу (раза 4) - то этого вопроса не было бы.

 

Документация конечно хорошая, с рисунками... Но слишком обзорная... Многие вещи (как и в любых обзорных доках) порождают вопросы "а что если сделать ...". Для человека у которого есть под рукой свитчи L3 эти вопросы разрешаются простым экспериментом и ему после этого дока кажется очевидной и полностью правильной. Для меня же - намного сложнее судить о том, что можно делать и на каком уровне это будет работать на дорогом и дешевом оборудовании.

 

> VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть  

> несколько видов настроек стандартных и они переключаются  

> перемычками.

Гыыыы. Уверен на 50%, что 2 юзера, знающие комманду "ARP -s" легко обойдут такой "умный" свитч.

 

Тут уже можно сделать привязку mac'а к порту.. Есть же версии китайский свитчей у которых легко можно сделать привязку mac'а к порту, но нельзя сделать привязку ip к порту... Это уже не L2, но ещё далеко и не L3-свитчи. Другими словами - это более дешевое решение.

 

>Но неужели уместно "рассказывать сказки" вместо того, чтобы  

>уточнить вопрос и помочь человеку?

Уместно. Если правильно обдумать и сформулировать вопрос, то большой шанс, что задавать его не надо. Вы сами ответ найдете, пока думать будете.

Я задаю вопрос на основе своего опыта и возможностей... Разве не очевидно, что если бы у меня были какие-нить Cisco Catalyst под рукой, то я бы без проблем сам разобрался и экспериментально нашёл ответ на интересующие меня вопросы ? Согласитесь, что знать в теории и попробовать руками - разные вещи... Когда пробовал сам и эксперементировал, то тогда уже легче говорить о теории.

[sergeyjob]

В общем, говорить о портовых виланах почти бессмысленно, для построения сети они малоприменимы. Разве что смотреть на случаи сетей из одного коммутатора.

Далее, многие производители понимают "портовые виланы" по разному. :-) Как и кто это делает точно - даже разбираться не хочу - этот китайский венигрет не интересен.

Вот и я о том же... Мне в китайском винегрете просто приходится разбираться... Конкуренты сейчас идут на очень сильный демпинг и прходится находить дешевые, но работающие решения.

 

В VPN соединения адреса разные и они назначаются сервером... Но VPN-соединение образуется поверх каких-то других локальных адресов... Вот эти друге адреса (на стороне клиента) могут совпадать.

 

Вот сначала надо задать себе вопрос, поверх каких именно адресов строится ВПН. Глядишь и вопросы в форум отпадут... Вот, например, немого про ВПН тут - http://nag.ru/goodies/book/2ch6-4.html

Как клиентские адреса будут совпадать - я понимаю. ;-) Но вот как это влияет на безопасность (которая в этом случае обеспечивается совсем другими методами) - не представляю. :-)

 

Касательно VPN - тут я себе получше представляю ситуацию, т.к. я сам настраивал VPN на серверах и писал биллинг для него. Если возьмём обычную сеть со свитчами L2, то у каждого пользователя есть локальный IP (в том числе и сервера). Между этими адресами поднимается туннель и по нему бегают пакетики. Теперь предположим, что у нескольких клиентов одинаковые локальные ip-адреса. В этом случае, насколько я понимаю, у каждого из таких (с такими адресом) клиентов будут проблемы. Вот и получается, что один человек может помешать другому поставив его ip-адрес.

[Nag]

sergeyjob,

Документация конечно хорошая, с рисунками... Но слишком обзорная... Многие вещи (как и в любых обзорных доках) порождают вопросы "а что если сделать ...". Для человека у которого есть под рукой свитчи L3 эти вопросы разрешаются простым экспериментом и ему после этого дока кажется очевидной и полностью правильной.

 

в ссылках НИЧЕГО нет про свитчи L3. Вообще ничего. :-) VLAN - это функция 2-го уровня, к IP никак не привязанная.

Может быть стоит еще раз прочитать? Причем начиная с предыдущих глав, где про модель ОСИ написано. ;-)

 

Есть же версии китайский свитчей у которых легко можно сделать привязку mac'а к порту, но нельзя сделать привязку ip к порту... Это уже не L2, но ещё далеко и не L3-свитчи. Другими словами - это более дешевое решение.

Это, извините, некоторое непонимание сути вопроса. :-)

 

Я задаю вопрос на основе своего опыта и возможностей... Разве не очевидно, что если бы у меня были какие-нить Cisco Catalyst под рукой, то я бы без проблем сам разобрался и экспериментально нашёл ответ на интересующие меня вопросы ?

 

Ага. Т.е. если в школе преподают, скажем, опыты Резерфорда, то без золотой пластинки Вы не сможете ничего понять о строении ядра?

Мы ведь не о тонких особенностях IOSа говорим, а о совершенно общих вещах... Без которых, правда, до IOSа подпускать нельзя. :-)

 

Касательно VPN - тут я себе получше представляю ситуацию, т.к. я сам настраивал VPN на серверах и писал биллинг для него. Если возьмём обычную сеть со свитчами L2, то у каждого пользователя есть локальный IP (в том числе и сервера). Между этими адресами поднимается туннель и по нему бегают пакетики. Теперь предположим, что у нескольких клиентов одинаковые локальные ip-адреса.

 

Этож как надо было настраивать VPN.... :-)

Тут опять надо догадываться что речь идет не о VPN, а о PPTP, так? Или нет?

С шифрованием или нет? Как, черт возьми, Вы авторизовали клиентов, если НАСТРАИВАЛИ VPN?

Что-то мне кажется, что Вы его только с клиентской стороны настраивали. ;-)

Потому что правильных вопросов нет все еще...

[Roman Ivanov]

>> VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть

>> несколько видов настроек стандартных и они переключаются

>> перемычками.

>Гыыыы. Уверен на 50%, что 2 юзера, знающие комманду "ARP -s" легко >обойдут такой "умный" свитч.

 

> Тут уже можно сделать привязку mac'а к порту.. Есть же версии

> китайский свитчей у которых легко можно сделать привязку mac'а к

> порту, но нельзя сделать привязку ip к порту...

Вам надо рубить локальный траффик. В 50% дешевых свитчей - они делают не полноценный VLAN, а рубят только ARP.

Если оба юзера на таком свитче , при помощи комманды ARP впишут друг друга - они будут работать в обход вашего сервера.

 

Никакая привязка MAC не поможет, они его не меняют ;)

 

>Это уже не L2, но ещё далеко и не L3-свитчи.

Нет, это L2 свитчи. L3 там даже не пахнет.

[sergeyjob]

sergeyjob' date='

Касательно VPN - тут я себе получше представляю ситуацию' date=' т.к. я сам настраивал VPN на серверах и писал биллинг для него. Если возьмём обычную сеть со свитчами L2, то у каждого пользователя есть локальный IP (в том числе и сервера). Между этими адресами поднимается туннель и по нему бегают пакетики. Теперь предположим, что у нескольких клиентов одинаковые локальные ip-адреса. [/quote']

Этож как надо было настраивать VPN.... :-)

Тут опять надо догадываться что речь идет не о VPN, а о PPTP, так? Или нет?

С шифрованием или нет? Как, черт возьми, Вы авторизовали клиентов, если НАСТРАИВАЛИ VPN?

Что-то мне кажется, что Вы его только с клиентской стороны настраивали. ;-)

Потому что правильных вопросов нет все еще...

 

Опять Ваше предвзятое отношение... VPN разве не может быть построена на основе pptp? По-поводу шифрования - mppe 128 бит, но не понимаю зачем здесь это надо.. если про возможность перехвата трафика (в плане безопасности), то я тут это и не обсуждал - мои вопросы не про это были. может гуру просветит при чём тут mppe?

 

Вообще, наверняка я знаю намного больше Вас в определенных областях, но лично я не бью себя пяткой в грудь и людям не кричу на форумах фразы вроде "Да ты наверное клавиатуру ни раз в руках не держал!". Я же как человек попросил Вас воздержаться от комментариев не по существу... Неужели сложно уважительно относиться к посетителям сайта?

[Гость]

В общем, говорить о портовых виланах почти бессмысленно, для построения сети они малоприменимы. Разве что смотреть на случаи сетей из одного коммутатора.

Далее, многие производители понимают "портовые виланы" по разному. :-) Как и кто это делает точно - даже разбираться не хочу - этот китайский венигрет не интересен.

Вот и я о том же... Мне в китайском винегрете просто приходится разбираться... Конкуренты сейчас идут на очень сильный демпинг и прходится находить дешевые, но работающие решения.

 

гы :)) коллега :)

 

я так понял что стоит задача user-per-vlan и обсчет этого трафика, ну и фильтры всякие между делом, так?

 

ну тогда нужен vlan от юзера до нехилой машинки в центре, которая и будет все это делать ... а какая именно машина - не скажу, ибо этот вариант я отмел почти сразу, главная причина - очень большая цена, хоть и фич можно много включить и продать много всякого сервиса ... но плотность народа и район не позволят

 

сейчас думаю над еще более тупым железом (которое просто выкинут через 2 года использования) на домах юзеров, которое сводится на один "нормальный" коммутатор с гигабитным кольцом ... но все равно дороговато получается :)

 

__________

ky

[sergeyjob]

В общем, говорить о портовых виланах почти бессмысленно, для построения сети они малоприменимы. Разве что смотреть на случаи сетей из одного коммутатора.

Далее, многие производители понимают "портовые виланы" по разному. :-) Как и кто это делает точно - даже разбираться не хочу - этот китайский венигрет не интересен.

Вот и я о том же... Мне в китайском винегрете просто приходится разбираться... Конкуренты сейчас идут на очень сильный демпинг и прходится находить дешевые, но работающие решения.

 

гы :)) коллега :)

 

я так понял что стоит задача user-per-vlan и обсчет этого трафика, ну и фильтры всякие между делом, так?

именно.

 

ну тогда нужен vlan от юзера до нехилой машинки в центре, которая и будет все это делать ... а какая именно машина - не скажу, ибо этот вариант я отмел почти сразу, главная причина - очень большая цена,

Цена чего? по идее - при таком подходе необходимость какого-либо шифрования при том же pptp отпадает, что позволяет пропустить уже напорядок больше трафика. Плюс локальный трафик в таком случае оплачивается и пользователи не будут качать терабайтами (а если и будут, то на выручку можно купить тачку получше :).

 

хоть и фич можно много включить и продать много всякого сервиса ... но плотность народа и район не позволят

 

Это да... Плотность народа в небольших городах пока что очень маленькая.. С одной стороны, построение хорошей сети - это вложение в будущее, т.к. сегодня это не будет востребовано в полной мере и не окупится... С другой же стороны - тоже самое оборудование в будущем будет стоить напорядок дешевле))) Поэтому приходится искать какие-то решения... По сути, выгоднее купить более дешевое оборудования, а при росте сети его апгрейдить.. При маленькой сети проблемы решать не так уж и сложно... А при большой - оборудование помогает не создавать проблемы. Вот и получается, что выгоднее купить дешевую железку, а завтра железку покруче (чем сразу накупать кучу крутых железок), т.к. они имеют тенденцию дешеветь.

Однако у нас в городе все пытаются сейчас захватить рынок... Т.е. несмотря на малое кол-во клиентов - все вдруг начали тянуть сети. Я конечно понимаю того же nag'а - он поставил какой-нить свитч 3Com или Cisco Catalyst и не парится... Он его практически в тот же день окупает.. А вот небольшим городам намного труднее находить недорогие, но при этом качественные решения.

 

сейчас думаю над еще более тупым железом (которое просто выкинут через 2 года использования) на домах юзеров, которое сводится на один "нормальный" коммутатор с гигабитным кольцом ... но все равно дороговато получается :)

Да, дороговато... Но тут тоже есть интересные идеи.. А ты из какого города?

[Nag]

Я конечно извиняюсь, но там где я говорил про эксперименты с L3 я имел ввиду далеко не только VLAN... Есть много вопросов, которые легко решаются экспериментами. Вы вместо того, чтобы помочь человеку опять начинаете цепляться к словам и "подкалывать" его...

 

Заданные вопросы не требуют экспериментов.

Нужно просто понимать азы темы, о чем спрашиваете - не более того.

 

Понять в общих чертах и понять так как хочешь - разные вещи...

 

Совершенно верно. Надо сначала понять вопрос в целом. А потом переходить к частностям. Иначе мы просто будем говорить о разных вещах... Впрочем, уже говорим о разных вещах. А это пустая потеря времени. :-)

 

Опять Ваше предвзятое отношение... VPN разве не может быть построена на основе pptp? По-поводу шифрования - mppe 128 бит, но не понимаю зачем здесь это надо.. если про возможность перехвата трафика (в плане безопасности), то я тут это и не обсуждал - мои вопросы не про это были. может гуру просветит при чём тут mppe?

 

Да уж какое предвзятое...

Ну надо же хоть немного думать, что если устанавливается ТУННЕЛЬ с ШИФРОВАННЫМИ пакетами (или заголовками), то с другого IP этом туннеле не будет работать НИКОГДА (пока шифр не сломан, разумеется). Собственно, чужой IP работать не будет по РРР в штатных услових и без шифрации - другой уровень...

 

А вот теперь если подумать - твой вопрос изначальный самому не кажется смешным уже? :-)))

 

Я же как человек попросил Вас воздержаться от комментариев не по существу... Неужели сложно уважительно относиться к посетителям сайта?

 

Ха. А не подумали, как надоело пытаться объяснить то, что давно описано, выложено, а? И как меня обижает такое тотальное не желание даже пытаться читать и понимать вопрос... Ну не нравится моя книга - прочитайте Олиферов тех же, Гука...

Или вот хороший материал - http://www.nag.ru/goodies/netbook/index.html - Максима Мамаева, который в вопросах протоколов разбирается куда лучше меня.

Все, на халяву, только читать надо!!!

 

Но нет, надо задавать ламерские вопросы и обижаться. ;-)

 

Да в общем мне не жалко - в этой ветке у вас будет масса приятных коллег-собеседников. Только уж увольте - я в обсуждении учавствовать не буду. ;-) Лучше устрою небольшую провокацию (что бы побольше и поострее писали) в ветке Нортел против Сиско - там есть чему поучиться у знающих людей.

[Гость]

гы :)) коллега :)  

 

я так понял что стоит задача user-per-vlan и обсчет этого трафика' date=' ну и фильтры всякие между делом, так?

[/quote']

именно.

 

тогда глянь на серию hp 9300 ... посчитай этого монстра по всяким нужным модулям, а не только одну корзину ... ну как? еще продолжаешь хотеть user-per-vlan?

конечно можно взять cisco catalyst 3550 и вставить в мою схему, в смысле на него будет сходится китайский гуано-винегрет с vlan`ами, а он будет соединятся кольцом с себе подобными ... вот тебе и cisco в домашних сетях, может оно и окупится :)

 

ну тогда нужен vlan от юзера до нехилой машинки в центре' date=' которая и будет все это делать ... [skip']

очень большая цена,  

Цена чего?

 

той машины, которая в центре ... вон выше я только что написал

 

сейчас думаю над еще более тупым железом (которое просто выкинут через 2 года использования) на домах юзеров' date=' которое сводится на один "нормальный" коммутатор с гигабитным кольцом ... но все равно дороговато получается :)

[/quote']

Да, дороговато... Но тут тоже есть интересные идеи.. А ты из какого города?

 

ага, на 24 дома 25 килобаксов и 24 порта в доме, 100 мб/с из дома, кольцо 1G через "узел" - это посчитано без работы

 

про город не скажу - спать хочу спокойно :) маленький он, я вот сегодня метнулся осмотреть район где сеть будем строить, уложился за 3 часа включая поездку из дома в район, обход периметра и домой приехать успел, а живу почти в разных частях города

 

__________

ky

 

ps: вот блин словоблудие одно :)

[sergeyjob]

Заданные вопросы не требуют экспериментов.

Нужно просто понимать азы темы' date=' о чем спрашиваете - не более того.

[/quote']

Лично я понимаю что я спрашиваю...

 

Да уж какое предвзятое...

Ну надо же хоть немного думать' date=' что если устанавливается ТУННЕЛЬ с ШИФРОВАННЫМИ пакетами (или заголовками), то с другого IP этом туннеле не будет работать НИКОГДА (пока шифр не сломан, разумеется). Собственно, чужой IP работать не будет по РРР в штатных услових и без шифрации - другой уровень...

 

А вот теперь если подумать - твой вопрос изначальный самому не кажется смешным уже? :-)))

[/quote']

Ничуть не кажется... Просто Вы невнимательно читаете... объясняю на пальцах...

 

Пусть есть два IP. Возьмем, например, 192.168.0.1 (сервер) и 192.168.0.2 (клиент). Путь между ними создан туннель и там адреса 10.0.0.1 и 10.0.0.2. Ясно, что пакеты от 10.0.0.1 до 10.0.0.2 фактически ходят между адресами 192.168.0.1 и 192.168.0.2. Естественно, что дарес 10.0.0.2 никто не сможет подделать... Теперь предположим, что у нас появился ещё один человек с адресом 192.168.0.2.(обозначим его 192.168.0.2s) После того, как он посылает пакет таблица mac на свитчах обновляется... Теперь сервер пытается послать пакет клиенту (10.0.0.2), но он шлёт его от 192.168.0.1 к 192.168.0.2. Поскольку на коммутаторах уже другие записи в mac-таблице получаем что пакет попадает к другому человек, а именно к 192.168.0.2s. Он конечно не взломает этот пакет и просто проигнорирует, но pptp-соединение у 192.168.0.2 разорвётся, т.к. не будет ответа то сервера. А теперь Вы подумайте, правильно ли Вы меня понимали и справедливы ли были Ваши слова?

 

Ну не нравится моя книга - прочитайте Олиферов тех же' date=' Гука...

Или вот хороший материал - http://www.nag.ru/goodies/netbook/index.html - Максима Мамаева, который в вопросах протоколов разбирается куда лучше меня.

Все, на халяву, только читать надо!!!

 

Но нет, надо задавать ламерские вопросы и обижаться. ;-)

[/quote']

Опять вы не разобравшись кричите "ЛАМЕР". Я же Вас так не называю и отношусь уважительно... Неужели обязательно надо себя показать?

 

Да в общем мне не жалко - в этой ветке у вас будет масса приятных коллег-собеседников. Только уж увольте - я в обсуждении учавствовать не буду. ;-) Лучше устрою небольшую провокацию (что бы побольше и поострее писали) в ветке Нортел против Сиско - там есть чему поучиться у знающих людей.

 

Помните, что эти люди тоже относятся к Вам уважительно и не говорят, что Вы ламер и ничего не знаете, хотя вполне обоснованно могут это сделать..

[Roman Ivanov]

### цитирую ###

Пусть есть два IP. Возьмем, например, 192.168.0.1 (сервер) и 192.168.0.2 (клиент). Путь между ними создан туннель и там адреса 10.0.0.1 и 10.0.0.2. Ясно, что пакеты от 10.0.0.1 до 10.0.0.2 фактически ходят между адресами 192.168.0.1 и 192.168.0.2. Естественно, что дарес 10.0.0.2 никто не сможет подделать... Теперь предположим, что у нас появился ещё один человек с адресом 192.168.0.2.(обозначим его 192.168.0.2s) После того, как он посылает пакет таблица mac на свитчах обновляется... Теперь сервер пытается послать пакет клиенту (10.0.0.2), но он шлёт его от 192.168.0.1 к 192.168.0.2. Поскольку на коммутаторах уже другие записи в mac-таблице получаем что пакет попадает к другому человек, а именно к 192.168.0.2s. Он конечно не взломает этот пакет и просто проигнорирует, но pptp-соединение у 192.168.0.2 разорвётся, т.к. не будет ответа то сервера. А теперь Вы подумайте, правильно ли Вы меня понимали и справедливы ли были Ваши слова?

###

 

Самый большой бред, который я вижу.

Ибо:

1) PPPoE плевать на IP. он ходит от MAC на MAC, а не от 192.xx до 192.xx.

2) Обычному L2 свитчу плевать на IP. Он коммутирует по MAC.

Какое обновление MAC при появлении дубликата IP?

Коммутация по IP Это L3 и НАМНОГО дороже.

 

> Опять вы не разобравшись кричите "ЛАМЕР". Я же Вас так не

> называю и отношусь уважительно... Неужели обязательно надо

> себя показать?

Вы не ламер. Вы НЕУЧ, а это хуже. Сувать нос не прочитав документацию...

 

P.S. Подскажите, где такую траву дают...

[sergeyjob]

гы :)) коллега :)

 

я так понял что стоит задача user-per-vlan и обсчет этого трафика' date=' ну и фильтры всякие между делом, так?

[/quote']

именно.

 

тогда глянь на серию hp 9300 ... посчитай этого монстра по всяким нужным модулям, а не только одну корзину ... ну как? еще продолжаешь хотеть user-per-vlan?

конечно можно взять cisco catalyst 3550 и вставить в мою схему, в смысле на него будет сходится китайский гуано-винегрет с vlan`ами, а он будет соединятся кольцом с себе подобными ... вот тебе и cisco в домашних сетях, может оно и окупится :)

 

Самая дешевая сеть - сеть на одного пользователя )))

 

но время окупаемости ...

Зависит от винегрета) Дорогие решения' date=' к сожалению, китайцы пока не умеют подделывать)

 

имхо, построение сети - это вложение на сегодня, а будущее (завтра) - это прибыль ... вопросы и головная боль инвесторов - когда же завтра наступит уже сегодня :))

это я к слову :) не обращай внимания :)

Да всё правильно... Но не всегда просто объяснить инвестору ситуацию на рынке)

 

чего делать в таком случае? я думаю китайский гуано-винегрет нас спасет

Предлагаешь помочь китайцам в изготовлении винегретов? )

 

про город не скажу - спать хочу спокойно :) маленький он' date=' я вот сегодня метнулся осмотреть район где сеть будем строить, уложился за 3 часа включая поездку из дома в район, обход периметра и домой приехать успел, а живу почти в разных частях города

[/quote']

 

Ты думаешь, что не будешь спокойно спать от того, что скажешь город? ) Я хотел написать тебе личную мессагу с этим вопросом, но ты просто пишешь от Гостя...

[sergeyjob]

1) PPPoE плевать на IP. он ходит от MAC на MAC, а не от 192.xx до 192.xx.

Мы говорили про реализацию VPN через pptp, а не через PPPoE. Почитайте пожалуйста повнимательнее... Про свитч - стормозил.. Имел ввиду, что arp-таблица на стороне сервера обновится.

[ky]

Самая дешевая сеть - сеть на одного пользователя )))

 

к интересным выводам ты пришел' date=' когда посчитал стоимость этого монстра :)

 

чего делать в таком случае? я думаю китайский гуано-винегрет нас спасет

Предлагаешь помочь китайцам в изготовлении винегретов? )

 

неа, они сами по себе, а мы сами

 

Ну почему же ошибаюсь? День - это конечно условно... Но суть в том, что окупаемость напорядок быстрее чем у тебя или у меня.. Я могу на 24-портовый свитч в доме набрать, в среднем, например, 5 пользователей в то время когда nag в среднем наберёт 10-15.

 

у нас плотность ниже и железо дешевле, у них плотность выше и железо дороже,

вопрос лишь в пропорциях

 

Ты думаешь, что не будешь спокойно спать от того, что скажешь город? ) Я хотел написать тебе личную мессагу с этим вопросом, но ты просто пишешь от Гостя...

 

могу и нет от гостя :)

[Vicus]

802.1x - спасет отца

правда я пока не видел клиентского софта

из проприетарного софта AEGIS Client есть...

 

2 sergeyjob:

На самом деле раздражение Нага мне понятно. Не задавайте вопросов, ответы на которые имеются в любой даже самой вшивой книжке об основах построения сети... не зря в среде юниксоидов на подобные вопросы дается краткий и лаконичный ответ: RTFM! Никто не хочет тратить свое личное время, за написанием для вас краткого изложения основ построения сети или протокола TCP/IP...