Перейти к содержимому
Калькуляторы

Блеск и нищета PPPoE.

Ответить

San   

San
Опубликовано · Жалоба

Как бы не начать флэйм на выходные глядя.... Ну да ладно...

 

Решаем проблему в одной сети. Чистое L2. Местами звезда местами цепочка как следствие причудливости застройщиков. Для авторизации выхода в сеть используется PPPoE. То есть все идет через корневой маршрутизатор, благо сеть не большая. Всё красиво. Однако, есть эстетствующие субъекты которые таки умеют поднять на своей машине tcp|ip и в добавок поставить себе ip адрес. Соответственно имеем абсолютно неконтролируемое коммьюнити внутри сети.

Может кто предложит способы борьбы с хулиганомы кроме силовых.

В голову ничего кроме как поднимать vlan"ы не приходит. Но это значит что поменять свитчи на магистрали, добавить дикий роутер/свитч для терминации vlan. Опять же заморочившись с вланами получается что и PPPoE на фиг не нужен.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Barsick   

Barsick
Опубликовано · Жалоба

Port-based vlans, их умеют свичи по $35 (PS2216 например) или допаяные мыльницы, терминировать не надо

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Vlad Karagezov, D-Link   

Vlad Karagezov, D-Link
Опубликовано · Жалоба
Как бы не начать флэйм на выходные глядя.... Ну да ладно...

 

Решаем проблему в одной сети. Чистое L2. Местами звезда местами цепочка как следствие причудливости застройщиков. Для авторизации выхода в сеть используется PPPoE. То есть все идет через корневой маршрутизатор, благо сеть не большая. Всё красиво. Однако, есть эстетствующие субъекты которые таки умеют поднять на своей машине tcp|ip и в добавок поставить себе ip адрес. Соответственно имеем абсолютно неконтролируемое коммьюнити внутри сети.

Может кто предложит способы борьбы с хулиганомы кроме силовых.

В голову ничего кроме как поднимать vlan"ы не приходит. Но это значит что поменять свитчи на магистрали, добавить дикий роутер/свитч для терминации vlan. Опять же заморочившись с вланами получается что и PPPoE на фиг не нужен.

смотря какие задачи решаете при помощи PPPoE и сколько денег есть на их решение.

Если нужно контроллировать подключение клиентов - Static MAC Address Table, Port Security, IP-MAC Binding, ACL - это поможет контроллировать, чтобы на порту свича был именно тот, кто запалтил за подключение деньги.

Но, понятное дело, все это требует управляемого свича уже на уровне доступа.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

San   

San
Опубликовано · Жалоба

Уточняем. При помощи PPPoE пользователь входит в сеть. Авторизуется и получает доступ к ресурсам внутренней сети и к Интернет.

 

Port Based Vlan это конечно хорошо, но для меня загадка как он

работает. Тегироанные vlan это понятно. И как будет вся система работать если заводить копеечные порт-бэйсед свитчи в нечто управляемое, которое и будет в свою очередь поднимать вланы по бэкхолу. По типу один дом-один влан.

 

Видимо всю сеть придется переделывать. А ещё проще строить собственную а старую сдать на цветмет.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Бригинец Александр   

Бригинец Александр
Опубликовано · Жалоба
Port Based Vlan это конечно хорошо, но для меня загадка как он

работает. Тегироанные vlan это понятно

ты таки умудрился сделать второй шаг не зделав перого... первый случай это как раз самое понятное и простое. поэтому то и имеет решения на уже указаных дешеых свитчах в отличае от тегирования.

В кратце: ты объявляешь что порт 1 и 2 относится к первому вилану. порт 1 и 3 ко второму, порт 1 и 4 к третьему и т. д. В результате получается что со второго по х порты не могут друг дружку даже пропинговать а могут видеть только первый порт на котором ставишь к примеру сервер. Все просто.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

San   

San
Опубликовано · Жалоба

Вообщем это я понимаю что первый порт входит во все вланы. Собственно на кисках есть такая же фишка, но она вланом не названа, ибо по сути им не является. Только как то плохо укладывается зачем поднимать влан внутри одинокого устройства. Вот если вланы между двумя свитчами это понятно. Получается что тогда транкового порта там нет. Хотя почитал доку. В PS 2116 несколько режимов. Либо порт бэйсед (ака изолированный порт) либо транки. Что выплёвывают PS2216 наружу в режиме порт бэйсед влан? Пакет с тегом или нет. То есть как пакет поймет вышестоящая железка с нормальными(тэгированными) вланами?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Vlad Karagezov, D-Link   

Vlad Karagezov, D-Link
Опубликовано · Жалоба
Вообщем это я понимаю что первый порт входит во все вланы. Собственно на кисках есть такая же фишка, но она вланом не названа, ибо по сути им не является. Только как то плохо укладывается зачем поднимать влан внутри одинокого устройства. Вот если вланы между двумя свитчами это понятно. Получается что тогда транкового порта там нет. Хотя почитал доку. В PS 2116 несколько режимов. Либо порт бэйсед (ака изолированный порт) либо транки. Что выплёвывают PS2216 наружу в режиме порт бэйсед влан? Пакет с тегом или нет. То есть как пакет поймет вышестоящая железка с нормальными(тэгированными) вланами?

IMHO, если есть возможность делать все на 802.1Q - лучше использовать его.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

LessM   

LessM
Опубликовано · Жалоба

Тут теги не нужны... Пакету на каждом свиче по дороге будет только один путь - к твоему серверу... Вбок не свернет, назад тоже никак... И только сервер сможет его развернуть и отправить к другому компу, опять же одной только дорогой....

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

San   

San
Опубликовано · Жалоба

Понятно что путь один. Только как поведут себя пакеты вышедшие с первого порта этого чудо-устройства когда они попадут не в транковый порт вышестоящего свитча. Причем не только не в транковый а в порт на котором поднят влан. Причем влан например с нумером 10..... ? почему такой вопрос? да потому что если там все таки есть тэги то они с 1 по 15 видимо.....

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

smsm   

smsm
Опубликовано · Жалоба

ну нету, нету в портовых вланах тэгов. Внутри устройства, служебные, может и есть, но наружу нет. Вышли они с одной свича, воткнулись в другой. Снаружи свича маки как маки, никаких отличий. Но внутри свича таблица коммцтации не даст соединятся макам напрямую порт-порт.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

San   

San
Опубликовано · Жалоба

Собственно так и предполагал.....

Вот только интересно почему таки vlan назвали....

Ох уж эти маркетологи........ ох уж эти сказочники..........

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

UglyAdmin   

UglyAdmin
Опубликовано · Жалоба

Появились такие виланы раньше настоящих, вот и всё.

А правильно это называть "сегментация траффика". :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

smsm   

smsm
Опубликовано · Жалоба
Ох уж эти маркетологи........ ох уж эти сказочники..........

 

" ага, работа такая " (С) Волк

вообще да, каждого второго отстрелить для профилактики нужно :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

LessM   

LessM
Опубликовано · Жалоба
вообще да, каждого второго отстрелить для профилактики нужно :)

А оставшихся утопить... Ну че только гады не напишут, лишь бы продать....

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

smsm   

smsm
Опубликовано · Жалоба

да ладно, фигня

вот контора одна хабы купила. каталист 2950, кажется 5 штук. продавались именно как хабы. покупатели потом переписку с продавцом показали, накладные.. имхо продавцы тоже люди, почти как маркетологи :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Yuz   

Yuz
Опубликовано · Жалоба

Может кто подскажет Железку в качестве Сервера для ПППоЕ ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Yuz   

Yuz
Опубликовано · Жалоба

до 100 одновременных подключений не более 600 уе

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

KoloBok   

KoloBok
Опубликовано · Жалоба

Lucent DSL terminator.

На 4isp.ru смотри. Стоит дешевле $370.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bishop   

bishop
Опубликовано · Жалоба

Есть еще ассиметричные вланы. Тоже вещь.

Чета я не помню, чтобы у port-based vlan'ов была возможность один порт в разные пихать. Это точно?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

kaa   

kaa
Опубликовано · Жалоба
Есть еще ассиметричные вланы. Тоже вещь.

Чета я не помню, чтобы у port-based vlan'ов была возможность один порт в разные пихать. Это точно?

Точно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bishop   

bishop
Опубликовано · Жалоба

тогда другой вопросы, где бы достать свичи второго уровня с 802.1q и кол-во вланов >=64 для 8-16 портов и >=255 для 24 портов? и чтобы снмп мог v.3 =)

у телесинов at8024 32 влана, у хардлинков hs24rsm тоже 32. щас ставим длинки des-2108. но по опыту общения с войповыми шлюзами и точками беспроводного доступа фирмы длинк не сильно то охота брать их свичи. правда, des-2108 после смены прошивки ведут себя прямо как-то идеально даже. может партия такая попалась? :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Yuz   

Yuz
Опубликовано · Жалоба
тогда другой вопросы, где бы достать свичи второго уровня с 802.1q и кол-во вланов >=64 для 8-16 портов и >=255 для 24 портов? и чтобы снмп мог v.3 =)

у телесинов at8024 32 влана, у хардлинков hs24rsm тоже 32. щас ставим длинки des-2108. но по опыту общения с войповыми шлюзами и точками беспроводного доступа фирмы длинк не сильно то охота брать их свичи. правда, des-2108 после смены прошивки ведут себя прямо как-то идеально даже. может партия такая попалась? :)

По поводу Вланов могу сказать точно 255 есть у НР 2650 с последней прошивкой

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Vlad Karagezov, D-Link   

Vlad Karagezov, D-Link
Опубликовано · Жалоба
тогда другой вопросы, где бы достать свичи второго уровня с 802.1q и кол-во вланов >=64 для 8-16 портов и >=255 для 24 портов? и чтобы снмп мог v.3 =)

у телесинов at8024 32 влана, у хардлинков hs24rsm тоже 32. щас ставим длинки des-2108. но по опыту общения с войповыми шлюзами и точками беспроводного доступа фирмы длинк не сильно то охота брать их свичи. правда, des-2108 после смены прошивки ведут себя прямо как-то идеально даже. может партия такая попалась? :)

посмотрите так же в сторону серии DES-3000 - 8, 16 и 24 порта, необходимые Вам VLAN и SNMP v3

По поводу опыта предыдущего общения - все же VoIP из другой серии, объективно некоторые проблемы со старой линейкой H.323 устройств были.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

G.Y.S.   

G.Y.S.
Опубликовано · Жалоба

автору топика:

А что собственно вы хотите контролировать в сегменте?

Юзера отключить за неуплату: без упр. железок может только монтажник. Напр-ть через себя инет трафик на др-х юзеров - мало выгодно - при грамотной тариф политике. Вирусы можно порезать поставивь пару l2.

+ пару гигабит линков - чтобы легче было жить с тунелями

PPPoE.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...