Anonim Опубликовано 8 октября, 2005 · Жалоба Здравствуйте, помогите советом пожалуйста. Есть сеть - 300 пользователей, построенная на неуправляемых комутаторах. Состоит из 5 лучей сходяшихся к центральному свичу(тоже неуправляемый) - к этому центральному подключены сервера. В каждом луче от 20 до 100 клиентов(планируется увеличение кол-ва народу раза в два в ближайшие полгода) Вопрос - что поствить на место центрального свича? ПК-роутер или управляемый свич? Хочеться в итоге получить - блокировку по портам между сигментами(вирусы достали,), блокировать клиентов внутри его сигмента, шейпить скорость доступа к серверам. Или может поставить несколько роутеров по району для уменьшения нагрузки на центральный свич? Заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 8 октября, 2005 · Жалоба Послушайте добрый совет - забудьте про компы, как про страшный сон.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AvrAlex Опубликовано 8 октября, 2005 · Жалоба Скажи сколько бегает за сутки через центр в Терабайтах.... и что именно ты хочешь "урезать".... а также какой "разумный" бюджет ты готов потратить на это... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hcube Опубликовано 8 октября, 2005 · Жалоба Глянь на длинк 3312. За 900-1000 баксов получаешь 'немного L3' центральный коммутатор. Во всяком случае, загрузку он показывает и порты позволяет блокировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Shiva Опубликовано 8 октября, 2005 · Жалоба hcube, 'немного L3' что это значит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Anonim Опубликовано 9 октября, 2005 · Жалоба Скажи сколько бегает за сутки через центр в Терабайтах.... и что именно ты хочешь "урезать"....а также какой "разумный" бюджет ты готов потратить на это... Вот я и хочу узнать сколько через центр бегает - а как это померять на неуправляемом комутаторе? Закрыть хочу масдайные шары между сегментами - для того чтобы перевести всех клиентов на FTP, а вообще желательно закрыть все между сигментами и оставить необходимый минимум - фтп, инет, некоторые игры, ircd, и кое-что по мелочи. Также чтобы была возможность клиента при неуплате блокировать внутри сигмента до порта центрального комутатора.(т.е. не пропускать через центральный свич мас+ip, или только мас клиента) А по поводу бюджета - где то в районе до 500 уе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Anonim Опубликовано 9 октября, 2005 · Жалоба Глянь на длинк 3312. За 900-1000 баксов получаешь 'немного L3' центральный коммутатор. Во всяком случае, загрузку он показывает и порты позволяет блокировать. Посмотрел его описание - не вижу в чем он мне подходит, тем более он гигабитный - этого мне пока не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirya Опубликовано 9 октября, 2005 · Жалоба Anonim, C такой тактикой ты быстро придешь к тому, что тебе придется сделать кол-во сегментов=кол-ву пользователей, так как всегда найдутся люди, которые смогут все что им надо на любом порту :). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zzzzzz Опубликовано 9 октября, 2005 · Жалоба d-link 3326 или cisco catalyst Каталисты удобно выбрать и дешево купить здесь: http://www.4isp.ru/core.asp?main=catalog&l...rand&cat=1&id=2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Anonim Опубликовано 9 октября, 2005 · Жалоба d-link 3326 или cisco catalyst Каталисты удобно выбрать и дешево купить здесь:http://www.4isp.ru/core.asp?main=catalog&link=brand&cat=1&id=2 Понравился 3326sr - вроде почти все что надо есть, единственный недостаток это отсутствие гигабитного порта. Но при цене 480 уе + модуль на гиг по витой паре 100 уе, думаю подойдет. А если каталист то какой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Anonim Опубликовано 9 октября, 2005 · Жалоба Anonim, C такой тактикой ты быстро придешь к тому, что тебе придется сделать кол-во сегментов=кол-ву пользователей, так как всегда найдутся люди, которые смогут все что им надо на любом порту :). Мне не критично что какой то вася кулхацкер сможет обойти блокировку - она предназначена для первого предупреждения клиента что пора бы и заплатить - если в течении месяца не заплатил абонку, то отключение физически из порта комутатора(подключение платное). Для 90 процентов пользователей этого хватит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Anonim Опубликовано 9 октября, 2005 · Жалоба Вот только прочитал что на комутаторы длинк - в таблицу статических мас адресов можно прописать до 256 маков которым разрешить проходить через свич, но клиентов то больше, как блокировать в таком случае? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KD Опубликовано 9 октября, 2005 · Жалоба Не брать Dlink. поставить свич у которого больше маков мона забить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirya Опубликовано 9 октября, 2005 · Жалоба Лучше сервак. Создать статическую arp таблицу. Пустые ip сегмента забить mac-ами, лучше одним уникальным, чтоб свитчи не перенапрягались, запретив им роутинг, далее arpproxy_all="YES" в варианте FreeBSD и reboot. А если товарища надо отлучить от сети, то его мак заменяется на другой на серваке, и подключив свой кабель товарищ получает от винды сообщение о конфликте адресов. Для полного эффекта товарищ еще блокируется на ближайщем управляемом свитче. И даже монтажникам никуда ходить не надо-сети у клиента нет. (Если конечно товарищ- не кулхацкер, кулхацкера можно отключить только физически или выдернув кабель, или погасив порт. Но боюсь в 500$ бюджета со перспективой замены стольких свитчей на управляемые уже не уложиться) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Anonim Опубликовано 9 октября, 2005 · Жалоба Получаеться что взять все таки длинк - по цене подходит, и выполняет все нужные функции, + таблица на сервере (для отключения клиентов). Или взять циску - у них у всех по 132 маса на порт можно вбивать. Но вопрос какую? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 10 октября, 2005 · Жалоба Получаеться что взять все таки длинк - по цене подходит, и выполняет все нужные функции, + таблица на сервере (для отключения клиентов). Или взять циску - у них у всех по 132 маса на порт можно вбивать. Но вопрос какую? Посмотри DES-3828. На нем 500 записей можно создать IP-MAC Binding. И не надо будет комп ставить. Надо отключить клиента - удали(измени) его запись IP-MAC Binding. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Anonim Опубликовано 10 октября, 2005 · Жалоба Дороговато выходит такая железка - больше 900 уе. А сервак же не обязательно ставить отдельный, можно для этой цели использовать уже имеюшийся. И всетаки - есть циски до 500 уе, с нужными характеристиками? и с большим кол-вом мас-ов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diesel Опубликовано 11 октября, 2005 · Жалоба Длинк все же жуткий отстой. Хотя бы тем что через год никто про эту модель в официальном представительстве уже не вспомнит. Недописаные глючные прошивки навсегда останутся вашими. http://www.4isp.ru/core.asp?main=catalog&a...ge&id=930&cat=1 за 380$ вот тебе аналог циски каталист 2950T . Все что тебе нужно + фильтрацию с хорошей производительностью он делает. Это хорошее, провереное временем оборудование, а не китайский ширпотреб для пионерии. Гигабитные модули для них тоже есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Anonim Опубликовано 11 октября, 2005 · Жалоба Длинк все же жуткий отстой.Хотя бы тем что через год никто про эту модель в официальном представительстве уже не вспомнит. Недописаные глючные прошивки навсегда останутся вашими. http://www.4isp.ru/core.asp?main=catalog&a...ge&id=930&cat=1 за 380$ вот тебе аналог циски каталист 2950T . Все что тебе нужно + фильтрацию с хорошей производительностью он делает. Это хорошее, провереное временем оборудование, а не китайский ширпотреб для пионерии. Гигабитные модули для них тоже есть. Классная железяка, мне понравилась, и ценой приятно удивлен. Не подскажете где на него достать русскую документацию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 11 октября, 2005 · Жалоба Классная железяка, мне понравилась, и ценой приятно удивлен. Не подскажете где на него достать русскую документацию? Русскую не нашел. (вернее не искал :) Eng - http://www130.nortelnetworks.com/cgi-bin/e...ranProduct=9102 Длинк все же жуткий отстой.Хотя бы тем что через год никто про эту модель в официальном представительстве уже не вспомнит. Недописаные глючные прошивки навсегда останутся вашими. http://www.4isp.ru/core.asp?main=catalog&a...ge&id=930&cat=1 за 380$ вот тебе аналог циски каталист 2950T . Все что тебе нужно + фильтрацию с хорошей производительностью он делает. Это хорошее, провереное временем оборудование, а не китайский ширпотреб для пионерии. Гигабитные модули для них тоже есть. Есть правда в ваших словах. Это определенный риск. Но, в DES-3828 есть именно та функция, которая мне нужна, и которой нигде (пока) не могу найти - IP-MAC Binding. Да и про ACL ничего в UserGuide к BPS не нашел. Зато (SA MAC) и (protocol-based) VLANs - это очень даже гуд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diesel Опубликовано 11 октября, 2005 · Жалоба По документации - у Нортела вполне внятная система управления, хорошее юзабилити приятное в работе, если базовые знания есть - думаю вы легко разберетесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 11 октября, 2005 · Жалоба По документации - у Нортела вполне внятная система управления, Это смотря с чем сравнивать.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 11 октября, 2005 · Жалоба Я бы начал с начала и решил бы вопрос радивально: ВЫДАВАЛ бы IP юзерам по результатам авторизации 802.1x Или не выдавал бы :-) - ибо авторизованный MAC - уже достаточно для всех нужд биллинга Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 11 октября, 2005 · Жалоба Я бы начал с начала и решил бы вопрос радивально:ВЫДАВАЛ бы IP юзерам по результатам авторизации 802.1x Или не выдавал бы :-) - ибо авторизованный MAC - уже достаточно для всех нужд биллинга А как же быть тогда с "поросятами" ? Т.е. после авторизации на порту абонент может поменять все свои сетевые реквизиты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 11 октября, 2005 · Жалоба А порт не примет ничего, кроме его МАСа - пусть хоть обменяется :-) Смена IP - видно на роутере и мгновенно блокируется аккаунт + сброс порта до разбирательств Трафик в любом случае будет засчитан именно тому, кто авторизовался, а попытка смены IP повлечёт только знакомством (обычно одного раза достаточно) со службой разбора полётов и повторным чтением обязанностей абонента в договоре на оказание услуг, глава "штрафные санкции" ;-) На самом деле подмена IP при vlan-на-абонента (а коро это можно будет сделать и одновременно с малтикастом, причём на дешёвой аппаратуре) - даже на других пользователях никак не скажется, только вызовет автоотключательный скрипт. Ну а для особо сложных случаев возможна такая настройка маршрутизации, что абонент после смены IP просто не увидит вообще ничего, кроме веб-сервера с инструкцией, как настраивают DHCP и предупреждения "без этого ничего работать не будет" =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...