[Anonim]

Здравствуйте, помогите советом пожалуйста.

Есть сеть - 300 пользователей, построенная на неуправляемых комутаторах. Состоит из 5 лучей сходяшихся к центральному свичу(тоже неуправляемый) - к этому центральному подключены сервера. В каждом луче от 20 до 100 клиентов(планируется увеличение кол-ва народу раза в два в ближайшие полгода)

Вопрос - что поствить на место центрального свича? ПК-роутер или управляемый свич?

Хочеться в итоге получить - блокировку по портам между сигментами(вирусы достали,), блокировать клиентов внутри его сигмента, шейпить скорость доступа к серверам.

Или может поставить несколько роутеров по району для уменьшения нагрузки на центральный свич?

Заранее спасибо.

[Nailer]

Послушайте добрый совет - забудьте про компы, как про страшный сон..

[AvrAlex]

Скажи сколько бегает за сутки через центр в Терабайтах.... и что именно ты хочешь "урезать"....

а также какой "разумный" бюджет ты готов потратить на это...

[hcube]

Глянь на длинк 3312. За 900-1000 баксов получаешь 'немного L3' центральный коммутатор. Во всяком случае, загрузку он показывает и порты позволяет блокировать.

[Shiva]

hcube,

'немного L3'  

что это значит?

[Anonim]

Скажи сколько бегает за сутки через центр в Терабайтах.... и что именно ты хочешь "урезать"....

а также какой "разумный" бюджет ты готов потратить на это...

Вот я и хочу узнать сколько через центр бегает - а как это померять на неуправляемом комутаторе?

Закрыть хочу масдайные шары между сегментами - для того чтобы перевести всех клиентов на FTP, а вообще желательно закрыть все между сигментами и оставить необходимый минимум - фтп, инет, некоторые игры, ircd, и кое-что по мелочи. Также чтобы была возможность клиента при неуплате блокировать внутри сигмента до порта центрального комутатора.(т.е. не пропускать через центральный свич мас+ip, или только мас клиента)

А по поводу бюджета - где то в районе до 500 уе

[Anonim]

Глянь на длинк 3312. За 900-1000 баксов получаешь 'немного L3' центральный коммутатор. Во всяком случае, загрузку он показывает и порты позволяет блокировать.

Посмотрел его описание - не вижу в чем он мне подходит, тем более он гигабитный - этого мне пока не надо.

[Kirya]

Anonim, C такой тактикой ты быстро придешь к тому, что тебе придется сделать кол-во сегментов=кол-ву пользователей, так как всегда найдутся люди, которые смогут все что им надо на любом порту :).

[zzzzzz]

d-link 3326 или cisco catalyst

 

Каталисты удобно выбрать и дешево купить здесь: http://www.4isp.ru/core.asp?main=catalog&l...rand&cat=1&id=2

[Anonim]

d-link 3326 или cisco catalyst

 

Каталисты удобно выбрать и дешево купить здесь:http://www.4isp.ru/core.asp?main=catalog&link=brand&cat=1&id=2

Понравился 3326sr - вроде почти все что надо есть, единственный недостаток это отсутствие гигабитного порта. Но при цене 480 уе + модуль на гиг по витой паре 100 уе, думаю подойдет.

А если каталист то какой?

[Anonim]

Anonim, C такой тактикой ты быстро придешь к тому, что тебе придется сделать кол-во сегментов=кол-ву пользователей, так как всегда найдутся люди, которые смогут все что им надо на любом порту :).

Мне не критично что какой то вася кулхацкер сможет обойти блокировку - она предназначена для первого предупреждения клиента что пора бы и заплатить - если в течении месяца не заплатил абонку, то отключение физически из порта комутатора(подключение платное). Для 90 процентов пользователей этого хватит

[Anonim]

Вот только прочитал что на комутаторы длинк - в таблицу статических мас адресов можно прописать до 256 маков которым разрешить проходить через свич, но клиентов то больше, как блокировать в таком случае?

[KD]

Не брать Dlink. поставить свич у которого больше маков мона забить

[Kirya]

Лучше сервак.

Создать статическую arp таблицу.

Пустые ip сегмента забить mac-ами, лучше одним уникальным, чтоб свитчи не перенапрягались, запретив им роутинг, далее arpproxy_all="YES" в варианте FreeBSD и reboot.

А если товарища надо отлучить от сети, то его мак заменяется на другой на серваке, и подключив свой кабель товарищ получает от винды сообщение о конфликте адресов. Для полного эффекта товарищ еще блокируется на ближайщем управляемом свитче. И даже монтажникам никуда ходить не надо-сети у клиента нет. (Если конечно товарищ- не кулхацкер, кулхацкера можно отключить только физически или выдернув кабель, или погасив порт. Но боюсь в 500$ бюджета со перспективой замены стольких свитчей на управляемые уже не уложиться)

[Anonim]

Получаеться что взять все таки длинк - по цене подходит, и выполняет все нужные функции, + таблица на сервере (для отключения клиентов).

 

Или взять циску - у них у всех по 132 маса на порт можно вбивать. Но вопрос какую?

[Susanin]

Получаеться что взять все таки длинк  - по цене подходит, и выполняет все нужные функции, + таблица на сервере (для отключения клиентов).

 

Или взять циску - у них у всех по 132 маса на порт можно вбивать. Но вопрос какую?

Посмотри DES-3828.

На нем 500 записей можно создать IP-MAC Binding. И не надо будет комп ставить. Надо отключить клиента - удали(измени) его запись IP-MAC Binding.

[Anonim]

Дороговато выходит такая железка - больше 900 уе. А сервак же не обязательно ставить отдельный, можно для этой цели использовать уже имеюшийся.

И всетаки - есть циски до 500 уе, с нужными характеристиками? и с большим кол-вом мас-ов

[Diesel]

Длинк все же жуткий отстой.

Хотя бы тем что через год никто про эту модель в официальном представительстве уже не вспомнит. Недописаные глючные прошивки навсегда останутся вашими.

 

http://www.4isp.ru/core.asp?main=catalog&a...ge&id=930&cat=1 за 380$

вот тебе аналог циски каталист 2950T .

Все что тебе нужно + фильтрацию с хорошей производительностью он делает.

Это хорошее, провереное временем оборудование, а не китайский ширпотреб для пионерии. Гигабитные модули для них тоже есть.

[Anonim]

Длинк все же жуткий отстой.

Хотя бы тем что через год никто про эту модель в официальном представительстве уже не вспомнит. Недописаные глючные прошивки навсегда останутся вашими.

 

http://www.4isp.ru/core.asp?main=catalog&a...ge&id=930&cat=1 за 380$

вот тебе аналог циски каталист 2950T .

Все что тебе нужно + фильтрацию с хорошей производительностью он делает.

Это хорошее, провереное временем оборудование, а не китайский ширпотреб для пионерии. Гигабитные модули для них тоже есть.

Классная железяка, мне понравилась, и ценой приятно удивлен.

Не подскажете где на него достать русскую документацию?

[Susanin]

Классная железяка, мне понравилась, и ценой приятно удивлен.

Не подскажете где на него достать русскую документацию?

Русскую не нашел. (вернее не искал :)

Eng - http://www130.nortelnetworks.com/cgi-bin/e...ranProduct=9102

 

 

 

Длинк все же жуткий отстой.

Хотя бы тем что через год никто про эту модель в официальном представительстве уже не вспомнит. Недописаные глючные прошивки навсегда останутся вашими.

 

http://www.4isp.ru/core.asp?main=catalog&a...ge&id=930&cat=1 за 380$

вот тебе аналог циски каталист 2950T .

Все что тебе нужно + фильтрацию с хорошей производительностью он делает.

Это хорошее, провереное временем оборудование, а не китайский ширпотреб для пионерии. Гигабитные модули для них тоже есть.

 

Есть правда в ваших словах. Это определенный риск.

Но, в DES-3828 есть именно та функция, которая мне нужна, и которой нигде (пока) не могу найти - IP-MAC Binding. Да и про ACL ничего в UserGuide к BPS не нашел.

Зато (SA MAC) и (protocol-based) VLANs - это очень даже гуд.

[Diesel]

По документации - у Нортела вполне внятная система управления, хорошее юзабилити приятное в работе, если базовые знания есть - думаю вы легко разберетесь.

[Nailer]

По документации - у Нортела вполне внятная система управления,

 

Это смотря с чем сравнивать..

[vIv]

Я бы начал с начала и решил бы вопрос радивально:

ВЫДАВАЛ бы IP юзерам по результатам авторизации 802.1x

Или не выдавал бы :-) - ибо авторизованный MAC - уже достаточно для всех нужд биллинга

[Susanin]

Я бы начал с начала и решил бы вопрос радивально:

ВЫДАВАЛ бы IP юзерам по результатам авторизации 802.1x

Или не выдавал бы :-) - ибо авторизованный MAC - уже достаточно для всех нужд биллинга

А как же быть тогда с "поросятами" ? Т.е. после авторизации на порту абонент может поменять все свои сетевые реквизиты.

[vIv]

А порт не примет ничего, кроме его МАСа - пусть хоть обменяется :-)

Смена IP - видно на роутере и мгновенно блокируется аккаунт + сброс порта до разбирательств

 

Трафик в любом случае будет засчитан именно тому, кто авторизовался, а попытка смены IP повлечёт только знакомством (обычно одного раза достаточно) со службой разбора полётов и повторным чтением обязанностей абонента в договоре на оказание услуг, глава "штрафные санкции" ;-)

 

На самом деле подмена IP при vlan-на-абонента (а коро это можно будет сделать и одновременно с малтикастом, причём на дешёвой аппаратуре) - даже на других пользователях никак не скажется, только вызовет автоотключательный скрипт.

 

Ну а для особо сложных случаев возможна такая настройка маршрутизации, что абонент после смены IP просто не увидит вообще ничего, кроме веб-сервера с инструкцией, как настраивают DHCP и предупреждения "без этого ничего работать не будет" =)