[Reis]

Для обеспечения максимальной безопасности и возможности подсчитывать локальный трафик между клиентами, находящимися в одной сети, лучшее решение, на сколько я понимаю (и что, кстати, следует из обсуждений на форуме) - использовать VLAN-ы, то есть каждому пользователю свой персональный влан.

Отсюда возникает вопрос: существует ли способ разруливать вланы на сервере таким образом, что б не приходилось для каждого пользователя создавать отдельную подсеть? Хорошо еще когда мы раздаем только серые ip адреса, тогда можно не скупиться и выдавать 10.10.10.0/30, 10.10.10.4/30, 10.10.10.8/30 и т.п. А что делать, когда необходимо раздавать реальные адреса? Слишком много пропадает... Можно конечно раздавать их посредством VPN, но тогда на кой черт нам вообще VLAN?

 

Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста.

[Гость]

В такой схеме нет необходимости ставить на сервер карту с поддержкой dotQ.

Порт сервера на Ethernet коммутаторе должен быть то же Access, с т.з. dotQ, но быть членом всех пользовательских VLAN-ов.

Итого получаем такую схему из расчета "1-пользователь - 1VLAN":

VLAN#1 - VLAN через который сервер отдает данные абонентам.

VLAN#2-4096 - пользовательские VLAN, через которые абоненты посылают пакеты на сервер и через сервер во внешний мир.

 

Настройка по виланам следующая:

Порт подключения сервера является сленом VLAN-ов 1-ХХХХ

Port VLAN ID (идентификатор пакетов , отправляемых сервером в сеть через коммутатор - настраивается на коммутаторе) =1.

Порт подключения первого абонента - член VLAN#1 и VLAN#2

Port VLAN ID =2

Порт подключения второго абонента - член VLAN#1 и VLAN#3

Port VLAN ID =3

Порт подключения третьего абонента - член VLAN#1 и VLAN#4

Port VLAN ID =4

и т.д.

C т.з. IP адресации выделать подсети нет необходимости. Абоненты могут жить в рамках одной подсети. Ввиду четкого административного деления по VLAN на уровне PVID передача данных между ними будет невозможна.

[Гость]

Для обеспечения максимальной безопасности и возможности подсчитывать локальный трафик между клиентами, находящимися в одной сети, лучшее решение, на сколько я понимаю (и что, кстати, следует из обсуждений на форуме) - использовать VLAN-ы, то есть каждому пользователю свой персональный влан.

Отсюда возникает вопрос: существует ли способ разруливать вланы на сервере таким образом, что б не приходилось для каждого пользователя создавать отдельную подсеть? Хорошо еще когда мы раздаем только серые ip адреса, тогда можно не скупиться и выдавать 10.10.10.0/30, 10.10.10.4/30, 10.10.10.8/30 и т.п. А что делать, когда необходимо раздавать реальные адреса? Слишком много пропадает...  Можно конечно раздавать их посредством VPN, но тогда на кой черт нам вообще VLAN?

 

Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста.

а сетевушки клиентам тоже с поддержкой виланов будешь стаить?

или всех на юникс перетащишь?

[Barsick]

а сетевушки клиентам тоже с поддержкой виланов будешь стаить?  

Разговор про это?

RTL8139

ftp://202.65.194.18/cn/nic/rtl8139abcd813...q-8139(382).zip

Официальные дрова от рилтека. Но бета

[Reis]

В такой схеме нет необходимости ставить на сервер карту с поддержкой dotQ.

Порт сервера на Ethernet коммутаторе должен быть то же Access, с т.з. dotQ, но быть членом всех пользовательских VLAN-ов.

Итого получаем такую схему из расчета "1-пользователь - 1VLAN":

VLAN#1 - VLAN через который сервер отдает данные абонентам.

VLAN#2-4096 - пользовательские VLAN, через которые абоненты посылают пакеты на сервер и через сервер во внешний мир.

Короче, я понял. Но при таком подходе, оборудование должно иметь полную поддержку 802.1Q, включая "перекрываемые" вланы. 3com 3300-3900 этого, на сколько я понимаю, не умеют? В таком случае, порекомендуйте какие-нибудь железки...

[Гость]

Из разряда бюджетных решений:

Nortel Ethernet Switch 325-24T/G,

Huawei Ethernet Quidway S2403H,

...

 

Более конкретно можно сказать если знать коилчество абонентов на 1 коммутатор и необходимый тип магистральных соединений.

[Гость]

Более конкретно можно сказать если знать коилчество абонентов на 1 коммутатор и необходимый тип магистральных соединений.

Если более конкретно, то какая-нибудь железка типа 3900, то есть 24 сотки, и 1-2 (возможно модулями) гигабитных одномода.

[Reis]

Если более конкретно, то интересует какая-нибудь железка типа 3900, то есть 24 сотки, и 1-2 (возможно модулями) гигабитных одномода.

 

PS: Под гостем предыдущий ответ написал, извините.

[Гость]

BayStack 425-24T стоимость без SFP GBIC 1000base-LX

http://comm.price.ru/bin/price/prodlist?fa...where=00&sort=1

 

BayStack 420-24T стоимость без GBIC 1000base-LX

http://comm.price.ru/bin/price/prodlist?pn...strict=1&dsbl=0

 

Netgear GSM 7224 стоимость без GBIC 1000base-LX

http://comm.price.ru/bin/price/prodlist?cu...where=00&sort=1

 

Netgear FSM 726 cтоимость без GBIC 1000base-LX

http://comm.price.ru/bin/price/prodlist?cu...where=00&sort=1

 

Т.е. новые устройства такого класса могут стоить и 450$, но 1000BASE-LX GBIC внесет по любому свою лепту в размере 700-900$

[Гость]

Предыдущий ответ - мой

кроме того , на барахолке можно найти следующие вещи:

http://www.4isp.ru/core.asp?main=catalog&a...page&id=282

http://www.4isp.ru/core.asp?main=catalog&a...page&id=544

Они используют одни и теже Media Dependent Adepter-ы для подключения по 1000BASE-LX, отличие 450 от 350 в том, что из 450-х можно создать стек из 8 коммутаторов (для этого потребуется http://www.4isp.ru/core.asp?main=catalog&a...page&id=762)

[Гость]

Ну и чтобы не Нортелом единым, для примера Allied Telesyn

8224-XL, опять таки без модулей расширения.

http://comm.price.ru/bin/price/prodlist?cu...where=00&sort=1

[Reis]

А все эти железки точно поддерживают нормальные оверлапт вланы? В смысле, это кем-нибудь проверено? Просто у Нага что про 3300, что про 3900 написано - "Полная поддержка VLAN (включая поддержку 802.1q)", а на самом деле она далеко не полная...

[Гость]

Для того чтобы у Вас не оставалось сомнений, предлагаю взять хотя бы Allied Telesyn или Netgear, скачать с сайта производителя документацию и посмотреть в User Guide (лучше изучать Command Line Intergace Guide) и прочитать раздел, относящийся к настройке VLAN и Port-based VLAN.

Во всех описанных мною устройствах порт коммутатора имеет оба параметра, необходимых для реализации схемы с персональными VLAN-ами:

1.VLAN ID's - список VLAN членом которых он является

2.Port VLAN ID - идентификатор, которым отягащаются пакеты отправляемые с данного порта на шину коммутатора.

 

Описанный мною выше функционал относиться только к реализации конкретными производителями Port-based VLAN и прямого отношения к IEEE 802.1q неимеет.

В свою очередь стандарт IEEE 802.1q отвечает только за организацию взаимодействия коммутаторов и не затрагивает вопросы маркировки пакетов внутри коммутатора.

[Гость]

Парни, вникаю в технологию Vlan, и с каждым новым осмыслением рождаются вопросы! Подкажите пожалуйста, пока я в Vlan полный ламер.

Вообщем вопросы такие:

1. "Я рядом" написал

т.з. IP адресации выделать подсети нет необходимости. Абоненты могут жить в рамках одной подсети. Ввиду четкого административного деления по VLAN на уровне PVID передача данных между ними будет невозможна.

 

Вообщем как я понимаю Имеется ввиду что пакеты не будут ходить между портами одного комутатора ??? в которые подключены клиенты, а будут идти через сервер или комутатор 3 уровнят? так ? ну соответвсенно если еще они и в разных подсетях - то на серваке они должны быть маршрутизированны!

 

2. идет цепочка из Свичей с поддержкой .1ку всего последовательно 10 шт. - и один клиент захотел обменятся файликом с другим. Один включен в 8 свич - другой в 5 свич. как я понимаю трафло попрется между ними ТОЛЬКО через сервак! тоесть 5 и 8 свичи - сами скомутироваться не смогут - и трафло попрется с начала на сервак а потом обратно! правильно я понимаю! просто с такой точки зрения не очень выгодно используется полоса пропускания!

 

Спасибо - очень жду ответов!

[vIv]

Нуу... можно поставить 5 и 8 коммутаторами аппарты с аккаунтингом и с них снять инфу. Готов ставить туда кошкалистов?

[.Amigo.]

А полюбому! куда деваться то 3300 то непонятно держат .1ку или нет?

я хочу без аккаутинга, темболее что я не каждому хочу давать порт .1ку а на группу!

 

А ответ на первый вопрос? (:

[vIv]

802.1q держит и 70-долларевый лайтком

http://www.lightcom.ru/production/ethernetswitches.asp

но без аккаунтинга

[.Amigo.]

Парни ответьте пожалуйста на первый вопрос!

[Nag]

Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста.

 

Я таких не видел.

В основном по тому, что это не нужно частным клиентам...

И для продажи трафика частным клиентам. ;-)

[.Amigo.]

ДА я не про этот первый вопрос - вот про этот:

Парни, вникаю в технологию Vlan, и с каждым новым осмыслением рождаются вопросы! Подкажите пожалуйста, пока я в Vlan полный ламер.  

Вообщем вопросы такие:  

1. "Я рядом" написал  

Цитата:  

 

т.з. IP адресации выделать подсети нет необходимости. Абоненты могут жить в рамках одной подсети. Ввиду четкого административного деления по VLAN на уровне PVID передача данных между ними будет невозможна.  

 

 

 

Вообщем как я понимаю Имеется ввиду что пакеты не будут ходить между портами одного комутатора ??? в которые подключены клиенты, а будут идти через сервер или комутатор 3 уровнят? так ? ну соответвсенно если еще они и в разных подсетях - то на серваке они должны быть маршрутизированны!  

[Я_рядом]

Вообщем как я понимаю Имеется ввиду что пакеты не будут ходить между портами одного комутатора ??? в которые подключены клиенты, а будут идти через сервер или комутатор 3 уровнят? так ? ну соответвсенно если еще они и в разных подсетях - то на серваке они должны быть маршрутизированны!

 

Предложенная реализаци преследовала собой как раз обеспечить полное исключение возможности взаимодействия абонентов между собой, не иначе как только через центральные серверы и маршрутизирующие коммутаторы.

 

Т.е. она позволяет построить сеть, обеспечивающию локальную защиту абонентов от кулхацкеров, без применения списков доступа и фильтрации передаваемых данных (зачем городить огород с маршрутизацией там, где и Ethernet легко справиться).

[UglyAdmin]

Чем не нравится просто сегментация трафика, типа Port-Based VLAN?

[bone]

Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста.

 

Я таких не видел.

В основном по тому, что это не нужно частным клиентам...

И для продажи трафика частным клиентам. ;-)

Хм. А как, в таком случае, работает разрекламированная тобой http://p4p.ru/ ?

Или там сразу с клиентских коммутаторов поток нетфлоу идет? Так это ж бред.

[Nag]

Хм. А как, в таком случае, работает разрекламированная тобой http://p4p.ru/ ?

Или там сразу с клиентских коммутаторов поток нетфлоу идет? Так это ж бред.

 

Тривиально. Сеть побита на небольшие куски.

Трафик считается между кусками. :-)

Но это довольно "примитивный" подход.

На более управляемой сети ничего не стоит трафикогенераторы выделить в отдельные виланы или в один отдельный вилан. Т.е. нарезать сеть не географически, а как понравится.

[bone]

Тривиально. Сеть побита на небольшие куски.

Трафик считается между кусками. :-)

Но это довольно "примитивный" подход.

Да уж. Действительно, тривиально.

На более управляемой сети ничего не стоит трафикогенераторы выделить в отдельные виланы или в один отдельный вилан. Т.е. нарезать сеть не географически, а как понравится.

Все это половинчато. Идея о том, что абонент сам себя записывает в трафикогенераторы (путем заполнения полей в разделе "Добавить ресурс") - правильная идея. Менять каждые раз при этом конфигурацию сети (переносить абонентов из одного вилана в другой) - малоприемлемо. Если уж делать, то делать по-человечески - каждому абоненту свой вилан.