sergeyjob Опубликовано 31 декабря, 2004 · Жалоба Вот сейчас думаю о том, как правильно считать локальный трафик. Есть идея разделить всех пользователей VLAN'ами так, чтобы весь трафик проходил через сервер. Но тут возникает интересный вопрос с безопасностью. Если, например, у двух пользователей будут одинаковые ip-адреса, то пакет от сервера до пользователей будет идти 50/50 - правильно? (это при использовании технологии VPN). Решит ли эту проблему технология PPPoE и как вообще посоветуете лучше сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 31 декабря, 2004 · Жалоба Вот сейчас думаю о том, как правильно считать локальный трафик. Есть идея разделить всех пользователей VLAN'ами так, чтобы весь трафик проходил через сервер. Но тут возникает интересный вопрос с безопасностью. Если, например, у двух пользователей будут одинаковые ip-адреса, то пакет от сервера до пользователей будет идти 50/50 - правильно? (это при использовании технологии VPN). Решит ли эту проблему технология PPPoE и как вообще посоветуете лучше сделать? Нет неправильно. Тупой свитч может сделать только одно: послать одному. Умный - может блокировать если не тот ip. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 31 декабря, 2004 · Жалоба Вот сейчас думаю о том, как правильно считать локальный трафик. Есть идея разделить всех пользователей VLAN'ами так, чтобы весь трафик проходил через сервер. Но тут возникает интересный вопрос с безопасностью. Если, например, у двух пользователей будут одинаковые ip-адреса, то пакет от сервера до пользователей будет идти 50/50 - правильно? (это при использовании технологии VPN). Решит ли эту проблему технология PPPoE и как вообще посоветуете лучше сделать? бррр. тут даже дело на Layer 3. зависит от многих факторов. - что где и как. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 1 января, 2005 · Жалоба бррр.тут даже дело на Layer 3. зависит от многих факторов. - что где и как. Вот хотелось бы решить это без L3. L3 для меня - слишком дорого... Но мне, к сожалению, так и не ответили на мой вопрос.. Повторюсь. Пусть все пользователи друг друга не видят (VLAN). Тогда если я сделаю VPN и у двух пользователей будут одинаковые IP, то насколько я понимаю нефига хорошего из этого не выйдет? И что будет в данном случае при использовании PPPoE ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 1 января, 2005 · Жалоба sergeyjob, Пусть все пользователи друг друга не видят (VLAN). Тогда если я сделаю VPN и у двух пользователей будут одинаковые IP, то насколько я понимаю нефига хорошего из этого не выйдет? Не могу не вспомнить притчу. У крутого японского ниндзи спрашивают - как избежать гибели, если окажешься один на дороге между двух гор, и на обоих будут враги? Ниндзя подумал и ответил - да никак, конечно... Только вот в упор не понимаю, какой черт меня понесет на эту самую дорогу? ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 1 января, 2005 · Жалоба sergeyjob, Пусть все пользователи друг друга не видят (VLAN). Тогда если я сделаю VPN и у двух пользователей будут одинаковые IP, то насколько я понимаю нефига хорошего из этого не выйдет? Не могу не вспомнить притчу. У крутого японского ниндзи спрашивают - как избежать гибели, если окажешься один на дороге между двух гор, и на обоих будут враги? Ниндзя подумал и ответил - да никак, конечно... Только вот в упор не понимаю, какой черт меня понесет на эту самую дорогу? ;-) По-моему я не просил рассказывать сказки и не писал своё сообщение в какие-нить разделы флейма на форуме. Я задал конкретный технический вопрос. Попрошу отвечать по существу или воздержаться от глупых комментариев. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 1 января, 2005 · Жалоба sergeyjob, это только Вам кажется, что задан КОНКРЕТНЫЙ вопрос. На мой взгляд вопрос на столько не корректный с технической точки зрения, что я не представляю, как него технически отвечать. ;-) Только шутить, благо 1 января оно само напрашивается... :-) Во-первых, вообще не понятно как связаны виланы и ВПН. Это в общем разные вещи, которые работают совершенно независимо друг от друга. Во-вторых, трафик ВПН в любом случае ходит через центр. Как на ситуацию влияют виланы - не понятно. В-третьих, у Вас VPN святым духом образуется, что одинаковые адреса в них могу устанавливаться на разных пользователей да еще в разных виланах? :-)))) В-четвертых, не понятно к чему приплетен ПППоЕ. Так что потрудитесь задавать правильные вопросы, если хотите получать ответы по делу. ;-) Можете начать с http://nag.ru/goodies/book/2ch6-3.html - а то у меня есть подозрение, что термин VLAN Вы как-то странно себе представляете... Потому что иначе и вопроса бы не было. ;-) потому что неправильный IP (не подходщий к тегированному VLAN) будет очень хорошо обеспечивать безопасность - 100% не будет работатать. :-)))) Но вот как он туда попадет - хоть убей не представляю. ;-)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 1 января, 2005 · Жалоба sergeyjob, это только Вам кажется, что задан КОНКРЕТНЫЙ вопрос. На мой взгляд вопрос на столько не корректный с технической точки зрения, что я не представляю, как него технически отвечать. ;-) Только шутить, благо 1 января оно само напрашивается... :-) Если непонятно - всегда можете задать конкретный вопрос. Во-первых, вообще не понятно как связаны виланы и ВПН. Это в общем разные вещи, которые работают совершенно независимо друг от друга. Грубо говоря, есть свитч. Пусть в каждый порт воткнут один клиент, а в один порт - сервер. Клиенты разбиты на VLAN'ы так, что могут общаться только с сервером... Этим мы добиваемся того, что весь локальный трафик будет идти через сервер. Теперь о VPN. Каждый клиент может ставить себе разные IP (т.к. привязку по IP может делать только L3, а это довольно дорого) и для того, чтобы как-то авторизовать клиетов используются VPN-соединения с сервером. Во-вторых, трафик ВПН в любом случае ходит через центр. Как на ситуацию влияют виланы - не понятно. VLAN нужен для запрета локального трафика (см. выше). -третьих, у Вас VPN святым духом образуется, что одинаковые адреса в них могу устанавливаться на разных пользователей да еще в разных виланах? :-)))) Нет. В VPN соединения адреса разные и они назначаются сервером... Но VPN-соединение образуется поверх каких-то других локальных адресов... Вот эти друге адреса (на стороне клиента) могут совпадать. В-четвертых, не понятно к чему приплетен ПППоЕ. PPPoE коннектится совсем не к IP-адресу... Поэтому мне и интересно как он работает. Если он посылает пакеты на mac, то, насколько я понимаю - это решает проблему с подменой локального IP. Так что потрудитесь задавать правильные вопросы, если хотите получать ответы по делу. ;-) Можете начать с http://nag.ru/goodies/book/2ch6-3.html - а то у меня есть подозрение, что термин VLAN Вы как-то странно себе представляете... Если Вам как-то непонятен вопрос, то это вовсе не означает, что я вообще не разбираюсь в обсуждаемой теме. Потому что иначе и вопроса бы не было. ;-) потому что неправильный IP (не подходщий к тегированному VLAN) будет очень хорошо обеспечивать безопасность - 100% не будет работатать. :-)))) VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть несколько видов настроек стандартных и они переключаются перемычками. Вот я сомневаюсь, что в таких свитчах есть какие-либо привязки к IP. Если это будет просто необходимо, то подскажите недорогие свитчи на 16 портов, у которых есть подобная привязка. Но вот как он туда попадет - хоть убей не представляю. ;-)))) Я понимаю, что на каком-нить Cisco Catalyst или 3Com можно сделать очень много всего и в их возможностях я не берусь с Вами спорить... Но неужели уместно "рассказывать сказки" вместо того, чтобы уточнить вопрос и помочь человеку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 1 января, 2005 · Жалоба >> В-четвертых, не понятно к чему приплетен ПППоЕ. > PPPoE коннектится совсем не к IP-адресу... Поэтому мне и интересно > как он работает. Если он посылает пакеты на mac, то, насколько я > понимаю - это решает проблему с подменой локального IP. PPPoE работает именно с MAC адресами. До IP юзера ему фиолетово. Хотя... Если юзер поставит свой IP = выдаваемый ему PPPoE... но это будет его личное горе. > Если Вам как-то непонятен вопрос, то это вовсе не означает, что я > вообще не разбираюсь в обсуждаемой теме. Вас никто не оскорблял. Nag дал ПРАВИЛЬНУЮ ссылку. Если бы Вы пошли по ней и прочитали всю книгу (раза 4) - то этого вопроса не было бы. > VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть > несколько видов настроек стандартных и они переключаются > перемычками. Гыыыы. Уверен на 50%, что 2 юзера, знающие комманду "ARP -s" легко обойдут такой "умный" свитч. >Но неужели уместно "рассказывать сказки" вместо того, чтобы >уточнить вопрос и помочь человеку? Уместно. Если правильно обдумать и сформулировать вопрос, то большой шанс, что задавать его не надо. Вы сами ответ найдете, пока думать будете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 1 января, 2005 · Жалоба sergeyjob, VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть несколько видов настроек стандартных и они переключаются перемычками. Вот я сомневаюсь, что в таких свитчах есть какие-либо привязки к IP. Становится понятнее. По крайней мере речь не о тегированных виланах, а о портовом извращении. :-) Поэтому и говорю - для корректного ответа нужен корректный вопрос. В общем, говорить о портовых виланах почти бессмысленно, для построения сети они малоприменимы. Разве что смотреть на случаи сетей из одного коммутатора. Далее, многие производители понимают "портовые виланы" по разному. :-) Как и кто это делает точно - даже разбираться не хочу - этот китайский венигрет не интересен. Но неужели уместно "рассказывать сказки" вместо того, чтобы уточнить вопрос и помочь человеку? Может хоть сказки наконец подвигнут человека изучить хотя бы азы темы? ;-) Иначе, повторюсь, мы просто будем говорить о разных вещах. И то - только в длинные выходные, когда есть немного свободного времени. В VPN соединения адреса разные и они назначаются сервером... Но VPN-соединение образуется поверх каких-то других локальных адресов... Вот эти друге адреса (на стороне клиента) могут совпадать. Вот сначала надо задать себе вопрос, поверх каких именно адресов строится ВПН. Глядишь и вопросы в форум отпадут... Вот, например, немого про ВПН тут - http://nag.ru/goodies/book/2ch6-4.html Как клиентские адреса будут совпадать - я понимаю. ;-) Но вот как это влияет на безопасность (которая в этом случае обеспечивается совсем другими методами) - не представляю. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 1 января, 2005 · Жалоба > Если Вам как-то непонятен вопрос, то это вовсе не означает, что я > вообще не разбираюсь в обсуждаемой теме. Вас никто не оскорблял. Nag дал ПРАВИЛЬНУЮ ссылку. Если бы Вы пошли по ней и прочитали всю книгу (раза 4) - то этого вопроса не было бы. Документация конечно хорошая, с рисунками... Но слишком обзорная... Многие вещи (как и в любых обзорных доках) порождают вопросы "а что если сделать ...". Для человека у которого есть под рукой свитчи L3 эти вопросы разрешаются простым экспериментом и ему после этого дока кажется очевидной и полностью правильной. Для меня же - намного сложнее судить о том, что можно делать и на каком уровне это будет работать на дорогом и дешевом оборудовании. > VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть > несколько видов настроек стандартных и они переключаются > перемычками. Гыыыы. Уверен на 50%, что 2 юзера, знающие комманду "ARP -s" легко обойдут такой "умный" свитч. Тут уже можно сделать привязку mac'а к порту.. Есть же версии китайский свитчей у которых легко можно сделать привязку mac'а к порту, но нельзя сделать привязку ip к порту... Это уже не L2, но ещё далеко и не L3-свитчи. Другими словами - это более дешевое решение. >Но неужели уместно "рассказывать сказки" вместо того, чтобы >уточнить вопрос и помочь человеку? Уместно. Если правильно обдумать и сформулировать вопрос, то большой шанс, что задавать его не надо. Вы сами ответ найдете, пока думать будете. Я задаю вопрос на основе своего опыта и возможностей... Разве не очевидно, что если бы у меня были какие-нить Cisco Catalyst под рукой, то я бы без проблем сам разобрался и экспериментально нашёл ответ на интересующие меня вопросы ? Согласитесь, что знать в теории и попробовать руками - разные вещи... Когда пробовал сам и эксперементировал, то тогда уже легче говорить о теории. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 1 января, 2005 · Жалоба В общем, говорить о портовых виланах почти бессмысленно, для построения сети они малоприменимы. Разве что смотреть на случаи сетей из одного коммутатора.Далее, многие производители понимают "портовые виланы" по разному. :-) Как и кто это делает точно - даже разбираться не хочу - этот китайский венигрет не интересен. Вот и я о том же... Мне в китайском винегрете просто приходится разбираться... Конкуренты сейчас идут на очень сильный демпинг и прходится находить дешевые, но работающие решения. В VPN соединения адреса разные и они назначаются сервером... Но VPN-соединение образуется поверх каких-то других локальных адресов... Вот эти друге адреса (на стороне клиента) могут совпадать. Вот сначала надо задать себе вопрос, поверх каких именно адресов строится ВПН. Глядишь и вопросы в форум отпадут... Вот, например, немого про ВПН тут - http://nag.ru/goodies/book/2ch6-4.html Как клиентские адреса будут совпадать - я понимаю. ;-) Но вот как это влияет на безопасность (которая в этом случае обеспечивается совсем другими методами) - не представляю. :-) Касательно VPN - тут я себе получше представляю ситуацию, т.к. я сам настраивал VPN на серверах и писал биллинг для него. Если возьмём обычную сеть со свитчами L2, то у каждого пользователя есть локальный IP (в том числе и сервера). Между этими адресами поднимается туннель и по нему бегают пакетики. Теперь предположим, что у нескольких клиентов одинаковые локальные ip-адреса. В этом случае, насколько я понимаю, у каждого из таких (с такими адресом) клиентов будут проблемы. Вот и получается, что один человек может помешать другому поставив его ip-адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 2 января, 2005 · Жалоба sergeyjob, Документация конечно хорошая, с рисунками... Но слишком обзорная... Многие вещи (как и в любых обзорных доках) порождают вопросы "а что если сделать ...". Для человека у которого есть под рукой свитчи L3 эти вопросы разрешаются простым экспериментом и ему после этого дока кажется очевидной и полностью правильной. в ссылках НИЧЕГО нет про свитчи L3. Вообще ничего. :-) VLAN - это функция 2-го уровня, к IP никак не привязанная. Может быть стоит еще раз прочитать? Причем начиная с предыдущих глав, где про модель ОСИ написано. ;-) Есть же версии китайский свитчей у которых легко можно сделать привязку mac'а к порту, но нельзя сделать привязку ip к порту... Это уже не L2, но ещё далеко и не L3-свитчи. Другими словами - это более дешевое решение. Это, извините, некоторое непонимание сути вопроса. :-) Я задаю вопрос на основе своего опыта и возможностей... Разве не очевидно, что если бы у меня были какие-нить Cisco Catalyst под рукой, то я бы без проблем сам разобрался и экспериментально нашёл ответ на интересующие меня вопросы ? Ага. Т.е. если в школе преподают, скажем, опыты Резерфорда, то без золотой пластинки Вы не сможете ничего понять о строении ядра? Мы ведь не о тонких особенностях IOSа говорим, а о совершенно общих вещах... Без которых, правда, до IOSа подпускать нельзя. :-) Касательно VPN - тут я себе получше представляю ситуацию, т.к. я сам настраивал VPN на серверах и писал биллинг для него. Если возьмём обычную сеть со свитчами L2, то у каждого пользователя есть локальный IP (в том числе и сервера). Между этими адресами поднимается туннель и по нему бегают пакетики. Теперь предположим, что у нескольких клиентов одинаковые локальные ip-адреса. Этож как надо было настраивать VPN.... :-) Тут опять надо догадываться что речь идет не о VPN, а о PPTP, так? Или нет? С шифрованием или нет? Как, черт возьми, Вы авторизовали клиентов, если НАСТРАИВАЛИ VPN? Что-то мне кажется, что Вы его только с клиентской стороны настраивали. ;-) Потому что правильных вопросов нет все еще... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 2 января, 2005 · Жалоба >> VLAN'ы на самых простейших свитчах... Навроде тех, где просто есть >> несколько видов настроек стандартных и они переключаются >> перемычками. >Гыыыы. Уверен на 50%, что 2 юзера, знающие комманду "ARP -s" легко >обойдут такой "умный" свитч. > Тут уже можно сделать привязку mac'а к порту.. Есть же версии > китайский свитчей у которых легко можно сделать привязку mac'а к > порту, но нельзя сделать привязку ip к порту... Вам надо рубить локальный траффик. В 50% дешевых свитчей - они делают не полноценный VLAN, а рубят только ARP. Если оба юзера на таком свитче , при помощи комманды ARP впишут друг друга - они будут работать в обход вашего сервера. Никакая привязка MAC не поможет, они его не меняют ;) >Это уже не L2, но ещё далеко и не L3-свитчи. Нет, это L2 свитчи. L3 там даже не пахнет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 2 января, 2005 · Жалоба sergeyjob' date=' Касательно VPN - тут я себе получше представляю ситуацию' date=' т.к. я сам настраивал VPN на серверах и писал биллинг для него. Если возьмём обычную сеть со свитчами L2, то у каждого пользователя есть локальный IP (в том числе и сервера). Между этими адресами поднимается туннель и по нему бегают пакетики. Теперь предположим, что у нескольких клиентов одинаковые локальные ip-адреса. [/quote']Этож как надо было настраивать VPN.... :-) Тут опять надо догадываться что речь идет не о VPN, а о PPTP, так? Или нет? С шифрованием или нет? Как, черт возьми, Вы авторизовали клиентов, если НАСТРАИВАЛИ VPN? Что-то мне кажется, что Вы его только с клиентской стороны настраивали. ;-) Потому что правильных вопросов нет все еще... Опять Ваше предвзятое отношение... VPN разве не может быть построена на основе pptp? По-поводу шифрования - mppe 128 бит, но не понимаю зачем здесь это надо.. если про возможность перехвата трафика (в плане безопасности), то я тут это и не обсуждал - мои вопросы не про это были. может гуру просветит при чём тут mppe? Вообще, наверняка я знаю намного больше Вас в определенных областях, но лично я не бью себя пяткой в грудь и людям не кричу на форумах фразы вроде "Да ты наверное клавиатуру ни раз в руках не держал!". Я же как человек попросил Вас воздержаться от комментариев не по существу... Неужели сложно уважительно относиться к посетителям сайта? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 2 января, 2005 · Жалоба В общем, говорить о портовых виланах почти бессмысленно, для построения сети они малоприменимы. Разве что смотреть на случаи сетей из одного коммутатора. Далее, многие производители понимают "портовые виланы" по разному. :-) Как и кто это делает точно - даже разбираться не хочу - этот китайский венигрет не интересен. Вот и я о том же... Мне в китайском винегрете просто приходится разбираться... Конкуренты сейчас идут на очень сильный демпинг и прходится находить дешевые, но работающие решения. гы :)) коллега :) я так понял что стоит задача user-per-vlan и обсчет этого трафика, ну и фильтры всякие между делом, так? ну тогда нужен vlan от юзера до нехилой машинки в центре, которая и будет все это делать ... а какая именно машина - не скажу, ибо этот вариант я отмел почти сразу, главная причина - очень большая цена, хоть и фич можно много включить и продать много всякого сервиса ... но плотность народа и район не позволят сейчас думаю над еще более тупым железом (которое просто выкинут через 2 года использования) на домах юзеров, которое сводится на один "нормальный" коммутатор с гигабитным кольцом ... но все равно дороговато получается :) __________ ky Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 2 января, 2005 · Жалоба В общем, говорить о портовых виланах почти бессмысленно, для построения сети они малоприменимы. Разве что смотреть на случаи сетей из одного коммутатора. Далее, многие производители понимают "портовые виланы" по разному. :-) Как и кто это делает точно - даже разбираться не хочу - этот китайский венигрет не интересен. Вот и я о том же... Мне в китайском винегрете просто приходится разбираться... Конкуренты сейчас идут на очень сильный демпинг и прходится находить дешевые, но работающие решения. гы :)) коллега :) я так понял что стоит задача user-per-vlan и обсчет этого трафика, ну и фильтры всякие между делом, так? именно. ну тогда нужен vlan от юзера до нехилой машинки в центре, которая и будет все это делать ... а какая именно машина - не скажу, ибо этот вариант я отмел почти сразу, главная причина - очень большая цена, Цена чего? по идее - при таком подходе необходимость какого-либо шифрования при том же pptp отпадает, что позволяет пропустить уже напорядок больше трафика. Плюс локальный трафик в таком случае оплачивается и пользователи не будут качать терабайтами (а если и будут, то на выручку можно купить тачку получше :). хоть и фич можно много включить и продать много всякого сервиса ... но плотность народа и район не позволят Это да... Плотность народа в небольших городах пока что очень маленькая.. С одной стороны, построение хорошей сети - это вложение в будущее, т.к. сегодня это не будет востребовано в полной мере и не окупится... С другой же стороны - тоже самое оборудование в будущем будет стоить напорядок дешевле))) Поэтому приходится искать какие-то решения... По сути, выгоднее купить более дешевое оборудования, а при росте сети его апгрейдить.. При маленькой сети проблемы решать не так уж и сложно... А при большой - оборудование помогает не создавать проблемы. Вот и получается, что выгоднее купить дешевую железку, а завтра железку покруче (чем сразу накупать кучу крутых железок), т.к. они имеют тенденцию дешеветь. Однако у нас в городе все пытаются сейчас захватить рынок... Т.е. несмотря на малое кол-во клиентов - все вдруг начали тянуть сети. Я конечно понимаю того же nag'а - он поставил какой-нить свитч 3Com или Cisco Catalyst и не парится... Он его практически в тот же день окупает.. А вот небольшим городам намного труднее находить недорогие, но при этом качественные решения. сейчас думаю над еще более тупым железом (которое просто выкинут через 2 года использования) на домах юзеров, которое сводится на один "нормальный" коммутатор с гигабитным кольцом ... но все равно дороговато получается :) Да, дороговато... Но тут тоже есть интересные идеи.. А ты из какого города? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 2 января, 2005 · Жалоба Я конечно извиняюсь, но там где я говорил про эксперименты с L3 я имел ввиду далеко не только VLAN... Есть много вопросов, которые легко решаются экспериментами. Вы вместо того, чтобы помочь человеку опять начинаете цепляться к словам и "подкалывать" его... Заданные вопросы не требуют экспериментов. Нужно просто понимать азы темы, о чем спрашиваете - не более того. Понять в общих чертах и понять так как хочешь - разные вещи... Совершенно верно. Надо сначала понять вопрос в целом. А потом переходить к частностям. Иначе мы просто будем говорить о разных вещах... Впрочем, уже говорим о разных вещах. А это пустая потеря времени. :-) Опять Ваше предвзятое отношение... VPN разве не может быть построена на основе pptp? По-поводу шифрования - mppe 128 бит, но не понимаю зачем здесь это надо.. если про возможность перехвата трафика (в плане безопасности), то я тут это и не обсуждал - мои вопросы не про это были. может гуру просветит при чём тут mppe? Да уж какое предвзятое... Ну надо же хоть немного думать, что если устанавливается ТУННЕЛЬ с ШИФРОВАННЫМИ пакетами (или заголовками), то с другого IP этом туннеле не будет работать НИКОГДА (пока шифр не сломан, разумеется). Собственно, чужой IP работать не будет по РРР в штатных услових и без шифрации - другой уровень... А вот теперь если подумать - твой вопрос изначальный самому не кажется смешным уже? :-))) Я же как человек попросил Вас воздержаться от комментариев не по существу... Неужели сложно уважительно относиться к посетителям сайта? Ха. А не подумали, как надоело пытаться объяснить то, что давно описано, выложено, а? И как меня обижает такое тотальное не желание даже пытаться читать и понимать вопрос... Ну не нравится моя книга - прочитайте Олиферов тех же, Гука... Или вот хороший материал - http://www.nag.ru/goodies/netbook/index.html - Максима Мамаева, который в вопросах протоколов разбирается куда лучше меня. Все, на халяву, только читать надо!!! Но нет, надо задавать ламерские вопросы и обижаться. ;-) Да в общем мне не жалко - в этой ветке у вас будет масса приятных коллег-собеседников. Только уж увольте - я в обсуждении учавствовать не буду. ;-) Лучше устрою небольшую провокацию (что бы побольше и поострее писали) в ветке Нортел против Сиско - там есть чему поучиться у знающих людей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 2 января, 2005 · Жалоба гы :)) коллега :) я так понял что стоит задача user-per-vlan и обсчет этого трафика' date=' ну и фильтры всякие между делом, так? [/quote'] именно. тогда глянь на серию hp 9300 ... посчитай этого монстра по всяким нужным модулям, а не только одну корзину ... ну как? еще продолжаешь хотеть user-per-vlan? конечно можно взять cisco catalyst 3550 и вставить в мою схему, в смысле на него будет сходится китайский гуано-винегрет с vlan`ами, а он будет соединятся кольцом с себе подобными ... вот тебе и cisco в домашних сетях, может оно и окупится :) ну тогда нужен vlan от юзера до нехилой машинки в центре' date=' которая и будет все это делать ... [skip'] очень большая цена, Цена чего? той машины, которая в центре ... вон выше я только что написал сейчас думаю над еще более тупым железом (которое просто выкинут через 2 года использования) на домах юзеров' date=' которое сводится на один "нормальный" коммутатор с гигабитным кольцом ... но все равно дороговато получается :) [/quote'] Да, дороговато... Но тут тоже есть интересные идеи.. А ты из какого города? ага, на 24 дома 25 килобаксов и 24 порта в доме, 100 мб/с из дома, кольцо 1G через "узел" - это посчитано без работы про город не скажу - спать хочу спокойно :) маленький он, я вот сегодня метнулся осмотреть район где сеть будем строить, уложился за 3 часа включая поездку из дома в район, обход периметра и домой приехать успел, а живу почти в разных частях города __________ ky ps: вот блин словоблудие одно :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 2 января, 2005 · Жалоба Заданные вопросы не требуют экспериментов. Нужно просто понимать азы темы' date=' о чем спрашиваете - не более того. [/quote'] Лично я понимаю что я спрашиваю... Да уж какое предвзятое... Ну надо же хоть немного думать' date=' что если устанавливается ТУННЕЛЬ с ШИФРОВАННЫМИ пакетами (или заголовками), то с другого IP этом туннеле не будет работать НИКОГДА (пока шифр не сломан, разумеется). Собственно, чужой IP работать не будет по РРР в штатных услових и без шифрации - другой уровень... А вот теперь если подумать - твой вопрос изначальный самому не кажется смешным уже? :-))) [/quote'] Ничуть не кажется... Просто Вы невнимательно читаете... объясняю на пальцах... Пусть есть два IP. Возьмем, например, 192.168.0.1 (сервер) и 192.168.0.2 (клиент). Путь между ними создан туннель и там адреса 10.0.0.1 и 10.0.0.2. Ясно, что пакеты от 10.0.0.1 до 10.0.0.2 фактически ходят между адресами 192.168.0.1 и 192.168.0.2. Естественно, что дарес 10.0.0.2 никто не сможет подделать... Теперь предположим, что у нас появился ещё один человек с адресом 192.168.0.2.(обозначим его 192.168.0.2s) После того, как он посылает пакет таблица mac на свитчах обновляется... Теперь сервер пытается послать пакет клиенту (10.0.0.2), но он шлёт его от 192.168.0.1 к 192.168.0.2. Поскольку на коммутаторах уже другие записи в mac-таблице получаем что пакет попадает к другому человек, а именно к 192.168.0.2s. Он конечно не взломает этот пакет и просто проигнорирует, но pptp-соединение у 192.168.0.2 разорвётся, т.к. не будет ответа то сервера. А теперь Вы подумайте, правильно ли Вы меня понимали и справедливы ли были Ваши слова? Ну не нравится моя книга - прочитайте Олиферов тех же' date=' Гука... Или вот хороший материал - http://www.nag.ru/goodies/netbook/index.html - Максима Мамаева, который в вопросах протоколов разбирается куда лучше меня. Все, на халяву, только читать надо!!! Но нет, надо задавать ламерские вопросы и обижаться. ;-) [/quote'] Опять вы не разобравшись кричите "ЛАМЕР". Я же Вас так не называю и отношусь уважительно... Неужели обязательно надо себя показать? Да в общем мне не жалко - в этой ветке у вас будет масса приятных коллег-собеседников. Только уж увольте - я в обсуждении учавствовать не буду. ;-) Лучше устрою небольшую провокацию (что бы побольше и поострее писали) в ветке Нортел против Сиско - там есть чему поучиться у знающих людей. Помните, что эти люди тоже относятся к Вам уважительно и не говорят, что Вы ламер и ничего не знаете, хотя вполне обоснованно могут это сделать.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 2 января, 2005 · Жалоба ### цитирую ### Пусть есть два IP. Возьмем, например, 192.168.0.1 (сервер) и 192.168.0.2 (клиент). Путь между ними создан туннель и там адреса 10.0.0.1 и 10.0.0.2. Ясно, что пакеты от 10.0.0.1 до 10.0.0.2 фактически ходят между адресами 192.168.0.1 и 192.168.0.2. Естественно, что дарес 10.0.0.2 никто не сможет подделать... Теперь предположим, что у нас появился ещё один человек с адресом 192.168.0.2.(обозначим его 192.168.0.2s) После того, как он посылает пакет таблица mac на свитчах обновляется... Теперь сервер пытается послать пакет клиенту (10.0.0.2), но он шлёт его от 192.168.0.1 к 192.168.0.2. Поскольку на коммутаторах уже другие записи в mac-таблице получаем что пакет попадает к другому человек, а именно к 192.168.0.2s. Он конечно не взломает этот пакет и просто проигнорирует, но pptp-соединение у 192.168.0.2 разорвётся, т.к. не будет ответа то сервера. А теперь Вы подумайте, правильно ли Вы меня понимали и справедливы ли были Ваши слова? ### Самый большой бред, который я вижу. Ибо: 1) PPPoE плевать на IP. он ходит от MAC на MAC, а не от 192.xx до 192.xx. 2) Обычному L2 свитчу плевать на IP. Он коммутирует по MAC. Какое обновление MAC при появлении дубликата IP? Коммутация по IP Это L3 и НАМНОГО дороже. > Опять вы не разобравшись кричите "ЛАМЕР". Я же Вас так не > называю и отношусь уважительно... Неужели обязательно надо > себя показать? Вы не ламер. Вы НЕУЧ, а это хуже. Сувать нос не прочитав документацию... P.S. Подскажите, где такую траву дают... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 2 января, 2005 · Жалоба гы :)) коллега :) я так понял что стоит задача user-per-vlan и обсчет этого трафика' date=' ну и фильтры всякие между делом, так? [/quote'] именно. тогда глянь на серию hp 9300 ... посчитай этого монстра по всяким нужным модулям, а не только одну корзину ... ну как? еще продолжаешь хотеть user-per-vlan? конечно можно взять cisco catalyst 3550 и вставить в мою схему, в смысле на него будет сходится китайский гуано-винегрет с vlan`ами, а он будет соединятся кольцом с себе подобными ... вот тебе и cisco в домашних сетях, может оно и окупится :) Самая дешевая сеть - сеть на одного пользователя ))) но время окупаемости ... Зависит от винегрета) Дорогие решения' date=' к сожалению, китайцы пока не умеют подделывать) имхо, построение сети - это вложение на сегодня, а будущее (завтра) - это прибыль ... вопросы и головная боль инвесторов - когда же завтра наступит уже сегодня :)) это я к слову :) не обращай внимания :) Да всё правильно... Но не всегда просто объяснить инвестору ситуацию на рынке) чего делать в таком случае? я думаю китайский гуано-винегрет нас спасет Предлагаешь помочь китайцам в изготовлении винегретов? ) про город не скажу - спать хочу спокойно :) маленький он' date=' я вот сегодня метнулся осмотреть район где сеть будем строить, уложился за 3 часа включая поездку из дома в район, обход периметра и домой приехать успел, а живу почти в разных частях города [/quote'] Ты думаешь, что не будешь спокойно спать от того, что скажешь город? ) Я хотел написать тебе личную мессагу с этим вопросом, но ты просто пишешь от Гостя... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyjob Опубликовано 2 января, 2005 · Жалоба 1) PPPoE плевать на IP. он ходит от MAC на MAC, а не от 192.xx до 192.xx. Мы говорили про реализацию VPN через pptp, а не через PPPoE. Почитайте пожалуйста повнимательнее... Про свитч - стормозил.. Имел ввиду, что arp-таблица на стороне сервера обновится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ky Опубликовано 2 января, 2005 · Жалоба Самая дешевая сеть - сеть на одного пользователя ))) к интересным выводам ты пришел' date=' когда посчитал стоимость этого монстра :) чего делать в таком случае? я думаю китайский гуано-винегрет нас спасет Предлагаешь помочь китайцам в изготовлении винегретов? ) неа, они сами по себе, а мы сами Ну почему же ошибаюсь? День - это конечно условно... Но суть в том, что окупаемость напорядок быстрее чем у тебя или у меня.. Я могу на 24-портовый свитч в доме набрать, в среднем, например, 5 пользователей в то время когда nag в среднем наберёт 10-15. у нас плотность ниже и железо дешевле, у них плотность выше и железо дороже, вопрос лишь в пропорциях Ты думаешь, что не будешь спокойно спать от того, что скажешь город? ) Я хотел написать тебе личную мессагу с этим вопросом, но ты просто пишешь от Гостя... могу и нет от гостя :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vicus Опубликовано 2 января, 2005 · Жалоба 802.1x - спасет отца правда я пока не видел клиентского софта из проприетарного софта AEGIS Client есть... 2 sergeyjob: На самом деле раздражение Нага мне понятно. Не задавайте вопросов, ответы на которые имеются в любой даже самой вшивой книжке об основах построения сети... не зря в среде юниксоидов на подобные вопросы дается краткий и лаконичный ответ: RTFM! Никто не хочет тратить свое личное время, за написанием для вас краткого изложения основ построения сети или протокола TCP/IP... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...