Reis Posted February 24, 2005 Posted February 24, 2005 Для обеспечения максимальной безопасности и возможности подсчитывать локальный трафик между клиентами, находящимися в одной сети, лучшее решение, на сколько я понимаю (и что, кстати, следует из обсуждений на форуме) - использовать VLAN-ы, то есть каждому пользователю свой персональный влан. Отсюда возникает вопрос: существует ли способ разруливать вланы на сервере таким образом, что б не приходилось для каждого пользователя создавать отдельную подсеть? Хорошо еще когда мы раздаем только серые ip адреса, тогда можно не скупиться и выдавать 10.10.10.0/30, 10.10.10.4/30, 10.10.10.8/30 и т.п. А что делать, когда необходимо раздавать реальные адреса? Слишком много пропадает... Можно конечно раздавать их посредством VPN, но тогда на кой черт нам вообще VLAN? Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста. Вставить ник Quote
Guest Posted February 24, 2005 Posted February 24, 2005 В такой схеме нет необходимости ставить на сервер карту с поддержкой dotQ. Порт сервера на Ethernet коммутаторе должен быть то же Access, с т.з. dotQ, но быть членом всех пользовательских VLAN-ов. Итого получаем такую схему из расчета "1-пользователь - 1VLAN": VLAN#1 - VLAN через который сервер отдает данные абонентам. VLAN#2-4096 - пользовательские VLAN, через которые абоненты посылают пакеты на сервер и через сервер во внешний мир. Настройка по виланам следующая: Порт подключения сервера является сленом VLAN-ов 1-ХХХХ Port VLAN ID (идентификатор пакетов , отправляемых сервером в сеть через коммутатор - настраивается на коммутаторе) =1. Порт подключения первого абонента - член VLAN#1 и VLAN#2 Port VLAN ID =2 Порт подключения второго абонента - член VLAN#1 и VLAN#3 Port VLAN ID =3 Порт подключения третьего абонента - член VLAN#1 и VLAN#4 Port VLAN ID =4 и т.д. C т.з. IP адресации выделать подсети нет необходимости. Абоненты могут жить в рамках одной подсети. Ввиду четкого административного деления по VLAN на уровне PVID передача данных между ними будет невозможна. Вставить ник Quote
Guest Posted February 24, 2005 Posted February 24, 2005 Для обеспечения максимальной безопасности и возможности подсчитывать локальный трафик между клиентами, находящимися в одной сети, лучшее решение, на сколько я понимаю (и что, кстати, следует из обсуждений на форуме) - использовать VLAN-ы, то есть каждому пользователю свой персональный влан.Отсюда возникает вопрос: существует ли способ разруливать вланы на сервере таким образом, что б не приходилось для каждого пользователя создавать отдельную подсеть? Хорошо еще когда мы раздаем только серые ip адреса, тогда можно не скупиться и выдавать 10.10.10.0/30, 10.10.10.4/30, 10.10.10.8/30 и т.п. А что делать, когда необходимо раздавать реальные адреса? Слишком много пропадает... Можно конечно раздавать их посредством VPN, но тогда на кой черт нам вообще VLAN? Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста. а сетевушки клиентам тоже с поддержкой виланов будешь стаить? или всех на юникс перетащишь? Вставить ник Quote
Barsick Posted February 24, 2005 Posted February 24, 2005 а сетевушки клиентам тоже с поддержкой виланов будешь стаить? Разговор про это? RTL8139 ftp://202.65.194.18/cn/nic/rtl8139abcd813...q-8139(382).zip Официальные дрова от рилтека. Но бета Вставить ник Quote
Reis Posted February 25, 2005 Author Posted February 25, 2005 В такой схеме нет необходимости ставить на сервер карту с поддержкой dotQ.Порт сервера на Ethernet коммутаторе должен быть то же Access, с т.з. dotQ, но быть членом всех пользовательских VLAN-ов. Итого получаем такую схему из расчета "1-пользователь - 1VLAN": VLAN#1 - VLAN через который сервер отдает данные абонентам. VLAN#2-4096 - пользовательские VLAN, через которые абоненты посылают пакеты на сервер и через сервер во внешний мир. Короче, я понял. Но при таком подходе, оборудование должно иметь полную поддержку 802.1Q, включая "перекрываемые" вланы. 3com 3300-3900 этого, на сколько я понимаю, не умеют? В таком случае, порекомендуйте какие-нибудь железки... Вставить ник Quote
Guest Posted February 25, 2005 Posted February 25, 2005 Из разряда бюджетных решений: Nortel Ethernet Switch 325-24T/G, Huawei Ethernet Quidway S2403H, ... Более конкретно можно сказать если знать коилчество абонентов на 1 коммутатор и необходимый тип магистральных соединений. Вставить ник Quote
Guest Posted February 25, 2005 Posted February 25, 2005 Более конкретно можно сказать если знать коилчество абонентов на 1 коммутатор и необходимый тип магистральных соединений. Если более конкретно, то какая-нибудь железка типа 3900, то есть 24 сотки, и 1-2 (возможно модулями) гигабитных одномода. Вставить ник Quote
Reis Posted February 25, 2005 Author Posted February 25, 2005 Если более конкретно, то интересует какая-нибудь железка типа 3900, то есть 24 сотки, и 1-2 (возможно модулями) гигабитных одномода. PS: Под гостем предыдущий ответ написал, извините. Вставить ник Quote
Guest Posted February 25, 2005 Posted February 25, 2005 BayStack 425-24T стоимость без SFP GBIC 1000base-LX http://comm.price.ru/bin/price/prodlist?fa...where=00&sort=1 BayStack 420-24T стоимость без GBIC 1000base-LX http://comm.price.ru/bin/price/prodlist?pn...strict=1&dsbl=0 Netgear GSM 7224 стоимость без GBIC 1000base-LX http://comm.price.ru/bin/price/prodlist?cu...where=00&sort=1 Netgear FSM 726 cтоимость без GBIC 1000base-LX http://comm.price.ru/bin/price/prodlist?cu...where=00&sort=1 Т.е. новые устройства такого класса могут стоить и 450$, но 1000BASE-LX GBIC внесет по любому свою лепту в размере 700-900$ Вставить ник Quote
Guest Posted February 25, 2005 Posted February 25, 2005 Предыдущий ответ - мой кроме того , на барахолке можно найти следующие вещи: http://www.4isp.ru/core.asp?main=catalog&a...page&id=282 http://www.4isp.ru/core.asp?main=catalog&a...page&id=544 Они используют одни и теже Media Dependent Adepter-ы для подключения по 1000BASE-LX, отличие 450 от 350 в том, что из 450-х можно создать стек из 8 коммутаторов (для этого потребуется http://www.4isp.ru/core.asp?main=catalog&a...page&id=762) Вставить ник Quote
Guest Posted February 25, 2005 Posted February 25, 2005 Ну и чтобы не Нортелом единым, для примера Allied Telesyn 8224-XL, опять таки без модулей расширения. http://comm.price.ru/bin/price/prodlist?cu...where=00&sort=1 Вставить ник Quote
Reis Posted February 25, 2005 Author Posted February 25, 2005 А все эти железки точно поддерживают нормальные оверлапт вланы? В смысле, это кем-нибудь проверено? Просто у Нага что про 3300, что про 3900 написано - "Полная поддержка VLAN (включая поддержку 802.1q)", а на самом деле она далеко не полная... Вставить ник Quote
Guest Posted February 25, 2005 Posted February 25, 2005 Для того чтобы у Вас не оставалось сомнений, предлагаю взять хотя бы Allied Telesyn или Netgear, скачать с сайта производителя документацию и посмотреть в User Guide (лучше изучать Command Line Intergace Guide) и прочитать раздел, относящийся к настройке VLAN и Port-based VLAN. Во всех описанных мною устройствах порт коммутатора имеет оба параметра, необходимых для реализации схемы с персональными VLAN-ами: 1.VLAN ID's - список VLAN членом которых он является 2.Port VLAN ID - идентификатор, которым отягащаются пакеты отправляемые с данного порта на шину коммутатора. Описанный мною выше функционал относиться только к реализации конкретными производителями Port-based VLAN и прямого отношения к IEEE 802.1q неимеет. В свою очередь стандарт IEEE 802.1q отвечает только за организацию взаимодействия коммутаторов и не затрагивает вопросы маркировки пакетов внутри коммутатора. Вставить ник Quote
Guest Posted February 28, 2005 Posted February 28, 2005 Парни, вникаю в технологию Vlan, и с каждым новым осмыслением рождаются вопросы! Подкажите пожалуйста, пока я в Vlan полный ламер. Вообщем вопросы такие: 1. "Я рядом" написал т.з. IP адресации выделать подсети нет необходимости. Абоненты могут жить в рамках одной подсети. Ввиду четкого административного деления по VLAN на уровне PVID передача данных между ними будет невозможна. Вообщем как я понимаю Имеется ввиду что пакеты не будут ходить между портами одного комутатора ??? в которые подключены клиенты, а будут идти через сервер или комутатор 3 уровнят? так ? ну соответвсенно если еще они и в разных подсетях - то на серваке они должны быть маршрутизированны! 2. идет цепочка из Свичей с поддержкой .1ку всего последовательно 10 шт. - и один клиент захотел обменятся файликом с другим. Один включен в 8 свич - другой в 5 свич. как я понимаю трафло попрется между ними ТОЛЬКО через сервак! тоесть 5 и 8 свичи - сами скомутироваться не смогут - и трафло попрется с начала на сервак а потом обратно! правильно я понимаю! просто с такой точки зрения не очень выгодно используется полоса пропускания! Спасибо - очень жду ответов! Вставить ник Quote
vIv Posted February 28, 2005 Posted February 28, 2005 Нуу... можно поставить 5 и 8 коммутаторами аппарты с аккаунтингом и с них снять инфу. Готов ставить туда кошкалистов? Вставить ник Quote
.Amigo. Posted February 28, 2005 Posted February 28, 2005 А полюбому! куда деваться то 3300 то непонятно держат .1ку или нет? я хочу без аккаутинга, темболее что я не каждому хочу давать порт .1ку а на группу! А ответ на первый вопрос? (: Вставить ник Quote
vIv Posted February 28, 2005 Posted February 28, 2005 802.1q держит и 70-долларевый лайтком http://www.lightcom.ru/production/ethernetswitches.asp но без аккаунтинга Вставить ник Quote
.Amigo. Posted February 28, 2005 Posted February 28, 2005 Парни ответьте пожалуйста на первый вопрос! Вставить ник Quote
Nag Posted February 28, 2005 Posted February 28, 2005 Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста. Я таких не видел. В основном по тому, что это не нужно частным клиентам... И для продажи трафика частным клиентам. ;-) Вставить ник Quote
.Amigo. Posted February 28, 2005 Posted February 28, 2005 ДА я не про этот первый вопрос - вот про этот: Парни, вникаю в технологию Vlan, и с каждым новым осмыслением рождаются вопросы! Подкажите пожалуйста, пока я в Vlan полный ламер. Вообщем вопросы такие: 1. "Я рядом" написал Цитата: т.з. IP адресации выделать подсети нет необходимости. Абоненты могут жить в рамках одной подсети. Ввиду четкого административного деления по VLAN на уровне PVID передача данных между ними будет невозможна. Вообщем как я понимаю Имеется ввиду что пакеты не будут ходить между портами одного комутатора ??? в которые подключены клиенты, а будут идти через сервер или комутатор 3 уровнят? так ? ну соответвсенно если еще они и в разных подсетях - то на серваке они должны быть маршрутизированны! Вставить ник Quote
Я_рядом Posted March 1, 2005 Posted March 1, 2005 Вообщем как я понимаю Имеется ввиду что пакеты не будут ходить между портами одного комутатора ??? в которые подключены клиенты, а будут идти через сервер или комутатор 3 уровнят? так ? ну соответвсенно если еще они и в разных подсетях - то на серваке они должны быть маршрутизированны! Предложенная реализаци преследовала собой как раз обеспечить полное исключение возможности взаимодействия абонентов между собой, не иначе как только через центральные серверы и маршрутизирующие коммутаторы. Т.е. она позволяет построить сеть, обеспечивающию локальную защиту абонентов от кулхацкеров, без применения списков доступа и фильтрации передаваемых данных (зачем городить огород с маршрутизацией там, где и Ethernet легко справиться). Вставить ник Quote
UglyAdmin Posted March 1, 2005 Posted March 1, 2005 Чем не нравится просто сегментация трафика, типа Port-Based VLAN? Вставить ник Quote
bone Posted March 1, 2005 Posted March 1, 2005 Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста. Я таких не видел. В основном по тому, что это не нужно частным клиентам... И для продажи трафика частным клиентам. ;-) Хм. А как, в таком случае, работает разрекламированная тобой http://p4p.ru/ ?Или там сразу с клиентских коммутаторов поток нетфлоу идет? Так это ж бред. Вставить ник Quote
Nag Posted March 1, 2005 Posted March 1, 2005 Хм. А как, в таком случае, работает разрекламированная тобой http://p4p.ru/ ?Или там сразу с клиентских коммутаторов поток нетфлоу идет? Так это ж бред. Тривиально. Сеть побита на небольшие куски. Трафик считается между кусками. :-) Но это довольно "примитивный" подход. На более управляемой сети ничего не стоит трафикогенераторы выделить в отдельные виланы или в один отдельный вилан. Т.е. нарезать сеть не географически, а как понравится. Вставить ник Quote
bone Posted March 1, 2005 Posted March 1, 2005 Тривиально. Сеть побита на небольшие куски.Трафик считается между кусками. :-) Но это довольно "примитивный" подход. Да уж. Действительно, тривиально.На более управляемой сети ничего не стоит трафикогенераторы выделить в отдельные виланы или в один отдельный вилан. Т.е. нарезать сеть не географически, а как понравится.Все это половинчато. Идея о том, что абонент сам себя записывает в трафикогенераторы (путем заполнения полей в разделе "Добавить ресурс") - правильная идея. Менять каждые раз при этом конфигурацию сети (переносить абонентов из одного вилана в другой) - малоприемлемо. Если уж делать, то делать по-человечески - каждому абоненту свой вилан. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.