San Опубликовано 26 августа, 2005 · Жалоба Как бы не начать флэйм на выходные глядя.... Ну да ладно... Решаем проблему в одной сети. Чистое L2. Местами звезда местами цепочка как следствие причудливости застройщиков. Для авторизации выхода в сеть используется PPPoE. То есть все идет через корневой маршрутизатор, благо сеть не большая. Всё красиво. Однако, есть эстетствующие субъекты которые таки умеют поднять на своей машине tcp|ip и в добавок поставить себе ip адрес. Соответственно имеем абсолютно неконтролируемое коммьюнити внутри сети. Может кто предложит способы борьбы с хулиганомы кроме силовых. В голову ничего кроме как поднимать vlan"ы не приходит. Но это значит что поменять свитчи на магистрали, добавить дикий роутер/свитч для терминации vlan. Опять же заморочившись с вланами получается что и PPPoE на фиг не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Barsick Опубликовано 26 августа, 2005 · Жалоба Port-based vlans, их умеют свичи по $35 (PS2216 например) или допаяные мыльницы, терминировать не надо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vlad Karagezov, D-Link Опубликовано 26 августа, 2005 · Жалоба Как бы не начать флэйм на выходные глядя.... Ну да ладно... Решаем проблему в одной сети. Чистое L2. Местами звезда местами цепочка как следствие причудливости застройщиков. Для авторизации выхода в сеть используется PPPoE. То есть все идет через корневой маршрутизатор, благо сеть не большая. Всё красиво. Однако, есть эстетствующие субъекты которые таки умеют поднять на своей машине tcp|ip и в добавок поставить себе ip адрес. Соответственно имеем абсолютно неконтролируемое коммьюнити внутри сети. Может кто предложит способы борьбы с хулиганомы кроме силовых. В голову ничего кроме как поднимать vlan"ы не приходит. Но это значит что поменять свитчи на магистрали, добавить дикий роутер/свитч для терминации vlan. Опять же заморочившись с вланами получается что и PPPoE на фиг не нужен. смотря какие задачи решаете при помощи PPPoE и сколько денег есть на их решение. Если нужно контроллировать подключение клиентов - Static MAC Address Table, Port Security, IP-MAC Binding, ACL - это поможет контроллировать, чтобы на порту свича был именно тот, кто запалтил за подключение деньги. Но, понятное дело, все это требует управляемого свича уже на уровне доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
San Опубликовано 26 августа, 2005 · Жалоба Уточняем. При помощи PPPoE пользователь входит в сеть. Авторизуется и получает доступ к ресурсам внутренней сети и к Интернет. Port Based Vlan это конечно хорошо, но для меня загадка как он работает. Тегироанные vlan это понятно. И как будет вся система работать если заводить копеечные порт-бэйсед свитчи в нечто управляемое, которое и будет в свою очередь поднимать вланы по бэкхолу. По типу один дом-один влан. Видимо всю сеть придется переделывать. А ещё проще строить собственную а старую сдать на цветмет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Бригинец Александр Опубликовано 27 августа, 2005 · Жалоба Port Based Vlan это конечно хорошо, но для меня загадка как он работает. Тегироанные vlan это понятно ты таки умудрился сделать второй шаг не зделав перого... первый случай это как раз самое понятное и простое. поэтому то и имеет решения на уже указаных дешеых свитчах в отличае от тегирования. В кратце: ты объявляешь что порт 1 и 2 относится к первому вилану. порт 1 и 3 ко второму, порт 1 и 4 к третьему и т. д. В результате получается что со второго по х порты не могут друг дружку даже пропинговать а могут видеть только первый порт на котором ставишь к примеру сервер. Все просто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
San Опубликовано 30 августа, 2005 · Жалоба Вообщем это я понимаю что первый порт входит во все вланы. Собственно на кисках есть такая же фишка, но она вланом не названа, ибо по сути им не является. Только как то плохо укладывается зачем поднимать влан внутри одинокого устройства. Вот если вланы между двумя свитчами это понятно. Получается что тогда транкового порта там нет. Хотя почитал доку. В PS 2116 несколько режимов. Либо порт бэйсед (ака изолированный порт) либо транки. Что выплёвывают PS2216 наружу в режиме порт бэйсед влан? Пакет с тегом или нет. То есть как пакет поймет вышестоящая железка с нормальными(тэгированными) вланами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vlad Karagezov, D-Link Опубликовано 30 августа, 2005 · Жалоба Вообщем это я понимаю что первый порт входит во все вланы. Собственно на кисках есть такая же фишка, но она вланом не названа, ибо по сути им не является. Только как то плохо укладывается зачем поднимать влан внутри одинокого устройства. Вот если вланы между двумя свитчами это понятно. Получается что тогда транкового порта там нет. Хотя почитал доку. В PS 2116 несколько режимов. Либо порт бэйсед (ака изолированный порт) либо транки. Что выплёвывают PS2216 наружу в режиме порт бэйсед влан? Пакет с тегом или нет. То есть как пакет поймет вышестоящая железка с нормальными(тэгированными) вланами? IMHO, если есть возможность делать все на 802.1Q - лучше использовать его. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LessM Опубликовано 30 августа, 2005 · Жалоба Тут теги не нужны... Пакету на каждом свиче по дороге будет только один путь - к твоему серверу... Вбок не свернет, назад тоже никак... И только сервер сможет его развернуть и отправить к другому компу, опять же одной только дорогой.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
San Опубликовано 30 августа, 2005 · Жалоба Понятно что путь один. Только как поведут себя пакеты вышедшие с первого порта этого чудо-устройства когда они попадут не в транковый порт вышестоящего свитча. Причем не только не в транковый а в порт на котором поднят влан. Причем влан например с нумером 10..... ? почему такой вопрос? да потому что если там все таки есть тэги то они с 1 по 15 видимо..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smsm Опубликовано 30 августа, 2005 · Жалоба ну нету, нету в портовых вланах тэгов. Внутри устройства, служебные, может и есть, но наружу нет. Вышли они с одной свича, воткнулись в другой. Снаружи свича маки как маки, никаких отличий. Но внутри свича таблица коммцтации не даст соединятся макам напрямую порт-порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
San Опубликовано 30 августа, 2005 · Жалоба Собственно так и предполагал..... Вот только интересно почему таки vlan назвали.... Ох уж эти маркетологи........ ох уж эти сказочники.......... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 30 августа, 2005 · Жалоба Появились такие виланы раньше настоящих, вот и всё. А правильно это называть "сегментация траффика". :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smsm Опубликовано 30 августа, 2005 · Жалоба Ох уж эти маркетологи........ ох уж эти сказочники.......... " ага, работа такая " (С) Волк вообще да, каждого второго отстрелить для профилактики нужно :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LessM Опубликовано 30 августа, 2005 · Жалоба вообще да, каждого второго отстрелить для профилактики нужно :) А оставшихся утопить... Ну че только гады не напишут, лишь бы продать.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smsm Опубликовано 30 августа, 2005 · Жалоба да ладно, фигня вот контора одна хабы купила. каталист 2950, кажется 5 штук. продавались именно как хабы. покупатели потом переписку с продавцом показали, накладные.. имхо продавцы тоже люди, почти как маркетологи :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yuz Опубликовано 4 октября, 2005 · Жалоба Может кто подскажет Железку в качестве Сервера для ПППоЕ ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 4 октября, 2005 · Жалоба Yuz, Бюджет? Мощность? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yuz Опубликовано 4 октября, 2005 · Жалоба до 100 одновременных подключений не более 600 уе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KoloBok Опубликовано 5 октября, 2005 · Жалоба Lucent DSL terminator. На 4isp.ru смотри. Стоит дешевле $370. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bishop Опубликовано 6 октября, 2005 · Жалоба Есть еще ассиметричные вланы. Тоже вещь. Чета я не помню, чтобы у port-based vlan'ов была возможность один порт в разные пихать. Это точно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaa Опубликовано 6 октября, 2005 · Жалоба Есть еще ассиметричные вланы. Тоже вещь.Чета я не помню, чтобы у port-based vlan'ов была возможность один порт в разные пихать. Это точно? Точно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bishop Опубликовано 6 октября, 2005 · Жалоба тогда другой вопросы, где бы достать свичи второго уровня с 802.1q и кол-во вланов >=64 для 8-16 портов и >=255 для 24 портов? и чтобы снмп мог v.3 =) у телесинов at8024 32 влана, у хардлинков hs24rsm тоже 32. щас ставим длинки des-2108. но по опыту общения с войповыми шлюзами и точками беспроводного доступа фирмы длинк не сильно то охота брать их свичи. правда, des-2108 после смены прошивки ведут себя прямо как-то идеально даже. может партия такая попалась? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yuz Опубликовано 6 октября, 2005 · Жалоба тогда другой вопросы, где бы достать свичи второго уровня с 802.1q и кол-во вланов >=64 для 8-16 портов и >=255 для 24 портов? и чтобы снмп мог v.3 =)у телесинов at8024 32 влана, у хардлинков hs24rsm тоже 32. щас ставим длинки des-2108. но по опыту общения с войповыми шлюзами и точками беспроводного доступа фирмы длинк не сильно то охота брать их свичи. правда, des-2108 после смены прошивки ведут себя прямо как-то идеально даже. может партия такая попалась? :) По поводу Вланов могу сказать точно 255 есть у НР 2650 с последней прошивкой Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vlad Karagezov, D-Link Опубликовано 6 октября, 2005 · Жалоба тогда другой вопросы, где бы достать свичи второго уровня с 802.1q и кол-во вланов >=64 для 8-16 портов и >=255 для 24 портов? и чтобы снмп мог v.3 =)у телесинов at8024 32 влана, у хардлинков hs24rsm тоже 32. щас ставим длинки des-2108. но по опыту общения с войповыми шлюзами и точками беспроводного доступа фирмы длинк не сильно то охота брать их свичи. правда, des-2108 после смены прошивки ведут себя прямо как-то идеально даже. может партия такая попалась? :) посмотрите так же в сторону серии DES-3000 - 8, 16 и 24 порта, необходимые Вам VLAN и SNMP v3 По поводу опыта предыдущего общения - все же VoIP из другой серии, объективно некоторые проблемы со старой линейкой H.323 устройств были. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 21 октября, 2005 · Жалоба автору топика: А что собственно вы хотите контролировать в сегменте? Юзера отключить за неуплату: без упр. железок может только монтажник. Напр-ть через себя инет трафик на др-х юзеров - мало выгодно - при грамотной тариф политике. Вирусы можно порезать поставивь пару l2. + пару гигабит линков - чтобы легче было жить с тунелями PPPoE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...