Reis Опубликовано 24 февраля, 2005 · Жалоба Для обеспечения максимальной безопасности и возможности подсчитывать локальный трафик между клиентами, находящимися в одной сети, лучшее решение, на сколько я понимаю (и что, кстати, следует из обсуждений на форуме) - использовать VLAN-ы, то есть каждому пользователю свой персональный влан. Отсюда возникает вопрос: существует ли способ разруливать вланы на сервере таким образом, что б не приходилось для каждого пользователя создавать отдельную подсеть? Хорошо еще когда мы раздаем только серые ip адреса, тогда можно не скупиться и выдавать 10.10.10.0/30, 10.10.10.4/30, 10.10.10.8/30 и т.п. А что делать, когда необходимо раздавать реальные адреса? Слишком много пропадает... Можно конечно раздавать их посредством VPN, но тогда на кой черт нам вообще VLAN? Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 24 февраля, 2005 · Жалоба В такой схеме нет необходимости ставить на сервер карту с поддержкой dotQ. Порт сервера на Ethernet коммутаторе должен быть то же Access, с т.з. dotQ, но быть членом всех пользовательских VLAN-ов. Итого получаем такую схему из расчета "1-пользователь - 1VLAN": VLAN#1 - VLAN через который сервер отдает данные абонентам. VLAN#2-4096 - пользовательские VLAN, через которые абоненты посылают пакеты на сервер и через сервер во внешний мир. Настройка по виланам следующая: Порт подключения сервера является сленом VLAN-ов 1-ХХХХ Port VLAN ID (идентификатор пакетов , отправляемых сервером в сеть через коммутатор - настраивается на коммутаторе) =1. Порт подключения первого абонента - член VLAN#1 и VLAN#2 Port VLAN ID =2 Порт подключения второго абонента - член VLAN#1 и VLAN#3 Port VLAN ID =3 Порт подключения третьего абонента - член VLAN#1 и VLAN#4 Port VLAN ID =4 и т.д. C т.з. IP адресации выделать подсети нет необходимости. Абоненты могут жить в рамках одной подсети. Ввиду четкого административного деления по VLAN на уровне PVID передача данных между ними будет невозможна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 24 февраля, 2005 · Жалоба Для обеспечения максимальной безопасности и возможности подсчитывать локальный трафик между клиентами, находящимися в одной сети, лучшее решение, на сколько я понимаю (и что, кстати, следует из обсуждений на форуме) - использовать VLAN-ы, то есть каждому пользователю свой персональный влан.Отсюда возникает вопрос: существует ли способ разруливать вланы на сервере таким образом, что б не приходилось для каждого пользователя создавать отдельную подсеть? Хорошо еще когда мы раздаем только серые ip адреса, тогда можно не скупиться и выдавать 10.10.10.0/30, 10.10.10.4/30, 10.10.10.8/30 и т.п. А что делать, когда необходимо раздавать реальные адреса? Слишком много пропадает... Можно конечно раздавать их посредством VPN, но тогда на кой черт нам вообще VLAN? Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста. а сетевушки клиентам тоже с поддержкой виланов будешь стаить? или всех на юникс перетащишь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barsick Опубликовано 24 февраля, 2005 · Жалоба а сетевушки клиентам тоже с поддержкой виланов будешь стаить? Разговор про это? RTL8139 ftp://202.65.194.18/cn/nic/rtl8139abcd813...q-8139(382).zip Официальные дрова от рилтека. Но бета Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reis Опубликовано 25 февраля, 2005 · Жалоба В такой схеме нет необходимости ставить на сервер карту с поддержкой dotQ.Порт сервера на Ethernet коммутаторе должен быть то же Access, с т.з. dotQ, но быть членом всех пользовательских VLAN-ов. Итого получаем такую схему из расчета "1-пользователь - 1VLAN": VLAN#1 - VLAN через который сервер отдает данные абонентам. VLAN#2-4096 - пользовательские VLAN, через которые абоненты посылают пакеты на сервер и через сервер во внешний мир. Короче, я понял. Но при таком подходе, оборудование должно иметь полную поддержку 802.1Q, включая "перекрываемые" вланы. 3com 3300-3900 этого, на сколько я понимаю, не умеют? В таком случае, порекомендуйте какие-нибудь железки... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 25 февраля, 2005 · Жалоба Из разряда бюджетных решений: Nortel Ethernet Switch 325-24T/G, Huawei Ethernet Quidway S2403H, ... Более конкретно можно сказать если знать коилчество абонентов на 1 коммутатор и необходимый тип магистральных соединений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 25 февраля, 2005 · Жалоба Более конкретно можно сказать если знать коилчество абонентов на 1 коммутатор и необходимый тип магистральных соединений. Если более конкретно, то какая-нибудь железка типа 3900, то есть 24 сотки, и 1-2 (возможно модулями) гигабитных одномода. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reis Опубликовано 25 февраля, 2005 · Жалоба Если более конкретно, то интересует какая-нибудь железка типа 3900, то есть 24 сотки, и 1-2 (возможно модулями) гигабитных одномода. PS: Под гостем предыдущий ответ написал, извините. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 25 февраля, 2005 · Жалоба BayStack 425-24T стоимость без SFP GBIC 1000base-LX http://comm.price.ru/bin/price/prodlist?fa...where=00&sort=1 BayStack 420-24T стоимость без GBIC 1000base-LX http://comm.price.ru/bin/price/prodlist?pn...strict=1&dsbl=0 Netgear GSM 7224 стоимость без GBIC 1000base-LX http://comm.price.ru/bin/price/prodlist?cu...where=00&sort=1 Netgear FSM 726 cтоимость без GBIC 1000base-LX http://comm.price.ru/bin/price/prodlist?cu...where=00&sort=1 Т.е. новые устройства такого класса могут стоить и 450$, но 1000BASE-LX GBIC внесет по любому свою лепту в размере 700-900$ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 25 февраля, 2005 · Жалоба Предыдущий ответ - мой кроме того , на барахолке можно найти следующие вещи: http://www.4isp.ru/core.asp?main=catalog&a...page&id=282 http://www.4isp.ru/core.asp?main=catalog&a...page&id=544 Они используют одни и теже Media Dependent Adepter-ы для подключения по 1000BASE-LX, отличие 450 от 350 в том, что из 450-х можно создать стек из 8 коммутаторов (для этого потребуется http://www.4isp.ru/core.asp?main=catalog&a...page&id=762) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 25 февраля, 2005 · Жалоба Ну и чтобы не Нортелом единым, для примера Allied Telesyn 8224-XL, опять таки без модулей расширения. http://comm.price.ru/bin/price/prodlist?cu...where=00&sort=1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reis Опубликовано 25 февраля, 2005 · Жалоба А все эти железки точно поддерживают нормальные оверлапт вланы? В смысле, это кем-нибудь проверено? Просто у Нага что про 3300, что про 3900 написано - "Полная поддержка VLAN (включая поддержку 802.1q)", а на самом деле она далеко не полная... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 25 февраля, 2005 · Жалоба Для того чтобы у Вас не оставалось сомнений, предлагаю взять хотя бы Allied Telesyn или Netgear, скачать с сайта производителя документацию и посмотреть в User Guide (лучше изучать Command Line Intergace Guide) и прочитать раздел, относящийся к настройке VLAN и Port-based VLAN. Во всех описанных мною устройствах порт коммутатора имеет оба параметра, необходимых для реализации схемы с персональными VLAN-ами: 1.VLAN ID's - список VLAN членом которых он является 2.Port VLAN ID - идентификатор, которым отягащаются пакеты отправляемые с данного порта на шину коммутатора. Описанный мною выше функционал относиться только к реализации конкретными производителями Port-based VLAN и прямого отношения к IEEE 802.1q неимеет. В свою очередь стандарт IEEE 802.1q отвечает только за организацию взаимодействия коммутаторов и не затрагивает вопросы маркировки пакетов внутри коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 28 февраля, 2005 · Жалоба Парни, вникаю в технологию Vlan, и с каждым новым осмыслением рождаются вопросы! Подкажите пожалуйста, пока я в Vlan полный ламер. Вообщем вопросы такие: 1. "Я рядом" написал т.з. IP адресации выделать подсети нет необходимости. Абоненты могут жить в рамках одной подсети. Ввиду четкого административного деления по VLAN на уровне PVID передача данных между ними будет невозможна. Вообщем как я понимаю Имеется ввиду что пакеты не будут ходить между портами одного комутатора ??? в которые подключены клиенты, а будут идти через сервер или комутатор 3 уровнят? так ? ну соответвсенно если еще они и в разных подсетях - то на серваке они должны быть маршрутизированны! 2. идет цепочка из Свичей с поддержкой .1ку всего последовательно 10 шт. - и один клиент захотел обменятся файликом с другим. Один включен в 8 свич - другой в 5 свич. как я понимаю трафло попрется между ними ТОЛЬКО через сервак! тоесть 5 и 8 свичи - сами скомутироваться не смогут - и трафло попрется с начала на сервак а потом обратно! правильно я понимаю! просто с такой точки зрения не очень выгодно используется полоса пропускания! Спасибо - очень жду ответов! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 28 февраля, 2005 · Жалоба Нуу... можно поставить 5 и 8 коммутаторами аппарты с аккаунтингом и с них снять инфу. Готов ставить туда кошкалистов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.Amigo. Опубликовано 28 февраля, 2005 · Жалоба А полюбому! куда деваться то 3300 то непонятно держат .1ку или нет? я хочу без аккаутинга, темболее что я не каждому хочу давать порт .1ку а на группу! А ответ на первый вопрос? (: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 28 февраля, 2005 · Жалоба 802.1q держит и 70-долларевый лайтком http://www.lightcom.ru/production/ethernetswitches.asp но без аккаунтинга Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.Amigo. Опубликовано 28 февраля, 2005 · Жалоба Парни ответьте пожалуйста на первый вопрос! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 28 февраля, 2005 · Жалоба Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста. Я таких не видел. В основном по тому, что это не нужно частным клиентам... И для продажи трафика частным клиентам. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.Amigo. Опубликовано 28 февраля, 2005 · Жалоба ДА я не про этот первый вопрос - вот про этот: Парни, вникаю в технологию Vlan, и с каждым новым осмыслением рождаются вопросы! Подкажите пожалуйста, пока я в Vlan полный ламер. Вообщем вопросы такие: 1. "Я рядом" написал Цитата: т.з. IP адресации выделать подсети нет необходимости. Абоненты могут жить в рамках одной подсети. Ввиду четкого административного деления по VLAN на уровне PVID передача данных между ними будет невозможна. Вообщем как я понимаю Имеется ввиду что пакеты не будут ходить между портами одного комутатора ??? в которые подключены клиенты, а будут идти через сервер или комутатор 3 уровнят? так ? ну соответвсенно если еще они и в разных подсетях - то на серваке они должны быть маршрутизированны! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Я_рядом Опубликовано 1 марта, 2005 · Жалоба Вообщем как я понимаю Имеется ввиду что пакеты не будут ходить между портами одного комутатора ??? в которые подключены клиенты, а будут идти через сервер или комутатор 3 уровнят? так ? ну соответвсенно если еще они и в разных подсетях - то на серваке они должны быть маршрутизированны! Предложенная реализаци преследовала собой как раз обеспечить полное исключение возможности взаимодействия абонентов между собой, не иначе как только через центральные серверы и маршрутизирующие коммутаторы. Т.е. она позволяет построить сеть, обеспечивающию локальную защиту абонентов от кулхацкеров, без применения списков доступа и фильтрации передаваемых данных (зачем городить огород с маршрутизацией там, где и Ethernet легко справиться). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 1 марта, 2005 · Жалоба Чем не нравится просто сегментация трафика, типа Port-Based VLAN? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bone Опубликовано 1 марта, 2005 · Жалоба Кто-нибудь вообще реально использует технологию "каждому пользователю - свой VLAN", поделитесь соображениями, пожалуйста. Я таких не видел. В основном по тому, что это не нужно частным клиентам... И для продажи трафика частным клиентам. ;-) Хм. А как, в таком случае, работает разрекламированная тобой http://p4p.ru/ ?Или там сразу с клиентских коммутаторов поток нетфлоу идет? Так это ж бред. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 1 марта, 2005 · Жалоба Хм. А как, в таком случае, работает разрекламированная тобой http://p4p.ru/ ?Или там сразу с клиентских коммутаторов поток нетфлоу идет? Так это ж бред. Тривиально. Сеть побита на небольшие куски. Трафик считается между кусками. :-) Но это довольно "примитивный" подход. На более управляемой сети ничего не стоит трафикогенераторы выделить в отдельные виланы или в один отдельный вилан. Т.е. нарезать сеть не географически, а как понравится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bone Опубликовано 1 марта, 2005 · Жалоба Тривиально. Сеть побита на небольшие куски.Трафик считается между кусками. :-) Но это довольно "примитивный" подход. Да уж. Действительно, тривиально.На более управляемой сети ничего не стоит трафикогенераторы выделить в отдельные виланы или в один отдельный вилан. Т.е. нарезать сеть не географически, а как понравится.Все это половинчато. Идея о том, что абонент сам себя записывает в трафикогенераторы (путем заполнения полей в разделе "Добавить ресурс") - правильная идея. Менять каждые раз при этом конфигурацию сети (переносить абонентов из одного вилана в другой) - малоприемлемо. Если уж делать, то делать по-человечески - каждому абоненту свой вилан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...