Jump to content
Калькуляторы

Построение сети, затык в оборудовании ... нужна помощь

1 час назад, pingz сказал:

а вот в srx изначально политики. Если принудительно не разрешить связанность клиенты на l3 видеть друг друга не будут

srx - это в первую очередь zone-based firewall (ZBF), и настраивать его надо зонами и политиками, а не firewall filter'ами. И vrf (routing instance) в итоге не нужен, просто разные зоны с политиками, отличными от permit all

Share this post


Link to post
Share on other sites

@vvertexx про фаерволы я писал в разрезе микротика, вместо фаервола предложили врф на микротике я хотел донести, что в микротике нет полноценного врф.

И вы прекрасно понимаете сколько нужно на микротике фаерволов, чтобы разграничить сеть на 150 станций.

 

 

Share this post


Link to post
Share on other sites
3 часа назад, pingz сказал:

А если деректрр попросит заблокировать ВК и и т.д. то же нужны фильтра.

На MT такую задачу решать - себе дороже, L7 фильтры создают значит.нагрузку, плюс еще встроенный DNS-ресольвер начнет CPU есть и тупить. Если надо закрывать соцсети, то надо отдельную железку-полисер НЕ МТ, хоть тот же Fortigate.

Share this post


Link to post
Share on other sites
1 час назад, pingz сказал:

10g избыточно для вас, я бы наг двух воллконник мм взял дёшево сердито.

10Г стоит чуть дороже 1Г, какой смысл покупать устаревшее оборудование? Тем более коммутаторы на 10Г все?.

 

1 час назад, nic_123 сказал:

Подскажите, плиз, какие SFP+ модули для 317, 326 и 328 лучше использовать?

Если надо соединить 2 устройства рядом то готовые кабели S+DA0001 и S+DA0003.

Для связи хорошо одноволоконные модули, что бы тянуть меньше оптики, например Modultech 1330/1270 нм на 10км. Но можно и любые другие распространенные, микротик все понимает.

 

3 часа назад, nic_123 сказал:

Конечно. Именно поэтому локалку сегментирую ВЛАНами. У WiFi гостей, например, свой ВЛАН и у него только выход в инет с ограничением канала. Телефония твк же... прямиком на свой серевер или облачную АТС. Ну, а в случае их пересечения (видимости) доступ к ресурсам через AD... как то так.

Вот например на локалку компов сделаете сеть 10.10.1.0/24, на вайфай 10.10.10.0/24, на гостевой вайфай 10.10.11.0/24, на телефонию 10.10.20.0/24 и на камеры 10.10.30.0/24.

Соответственно микротик будет шлюзом для всех устройств.

Создадите адрес лист с админами для доступа на камеры, на телефоны, в настройки оборудования.

Сделаете правила, что если адрес источника = локалка, а адрес назначения камеры, и если адреса источника нет в списке разрешенных тогда блокировать.

И так для всех сетей. Можно пойти от обратного, сначала сделать разрешающие правила на доступ, а после все заблокировать. Это кому как нравится.

AD нужно использовать по минимуму, только там где он нужен, и телефоны с камерами, гостевой вайфай завязывать на него не нужно. То же самое и с компами, где политики не нужны туда и не надо пихать AD.

Если у камер и телефонии будет шлюз в виде микротика, то сервер можно сделать в той же сети, указав IP отличный от шлюза, тогда камеры и телефоны будут соединяться на него напрямую, а если нужен доступ в интернет то через микротик.

 

Хотя с другой стороны, нужно сервер телефонии и камер тоже защитить от подмены, например раздавать IP адреса телефонам автоматически с привязкой по маку, тогда злоумышленник не сможет подключить свой комп в порт, настроенный как телефония и ломануть телефонию. Именно по этой причине я и писал про сведения каждого порта по влану в центр, и уже там управлять доступом, в этом случае все друг от друга будет вообще полностью закрыто.

 

4 часа назад, nic_123 сказал:

Может пару, или 1036 чтобы запас был... ну и DHSP поднять на нем же, а не на DC? Кстати как лучше организовать ВПН, а именно аутентификацию юзеров.. возможно ли на Микротике проводить их аутентификацию через AD?

ВПН лучше всего организовывать статическими записями на самом микротике, ну или через радиус, как писали.

По стоимости микротиков это вам решать, в провайдерских сетях CCR1009 рулит порядка 2-х гигов трафика с НАТ и разбивкой порядка 2000 абонентов на группы, что бы каждая ходила через свой IP адрес.

В этом случае, если хотите больше микротиков, целесообразно тогда ставить 2 штуки, первый на доступ во внешние сети (интернет) и ВПН сервер, а второй для внутреннего доступа. То есть первый пускает только в интернет, а второй работает основным маршрутизатором, на нем заводятся IP адреса для каждого влана и т.п. Скорость же интернета будет ограничивать первый микротик.

 

В любом случае выбирать модели нужно исходя из некой задачи по скорости, возможно одного 1009 хватит на все.

 

7 часов назад, pingz сказал:

Настраивать и обслуживать тебе, если у тебя есть желание разобраться или умение работать с сетью, то советую взять более профессиональное решение, хотя выбор только за тобой.  

Микротик можно настраивать мышкой через винбокс, все просто и удобно.

Достали новый коммутатор из коробки, подключили к компу, зашли по маку, сбросили дефолтные настройки, залили свои - поставили на сеть.

Более того, можно сначала все сбросить и поставить на сеть, а потом пройтись и настроить каждое устройство уже по месту. Или вообще все настроить из центра, если сохранили серийники или маки устройств, что бы привязать их к местности.

 

Далее для мониторинга установить The DUDE и все - после можно самому удаленно по впн подключаться и управлять сетью.

 

Но нет, предлагают по старинке консольные кабели, ставить себе на комп некие дефолтные IP адреса того же длинка или иного оборудования, заходить через путти, писать какие-то команды. Дальше или через веб тупить, или опять все командами шпарить - где тут отличия профессиональных решений? Или почему микротик это не профессиональное?

 

Сейчас у микротика вообще бум по коммутаторам, их сейчас покупают раза в 4 больше, чем маршрутизаторы, потому что востребованный на рынке продукт оказался. Многим от коммутатора только и надо что бы данные передавал, да пару вланов на нем завести, микротик это позволяет легко и удобно настроить.

 

5 часов назад, kapydan сказал:

уж лучше бу джунипер, чем новый микротик

Ага это коммутаторы от джунипера ставить? Самое правильно это изучить микротик, его возможности, оборудование, и применять его везде, где только можно. Потому что все дорогие решения уже ушли на второй план, никто не готов за них платить. Даже что ни совет на форуме - все берите бу циску, бу жунипер. А что не новые?

 

20 минут назад, jffulcrum сказал:

На MT такую задачу решать - себе дороже, L7 фильтры создают значит.нагрузку, плюс еще встроенный DNS-ресольвер начнет CPU есть и тупить. Если надо закрывать соцсети, то надо отдельную железку-полисер НЕ МТ, хоть тот же Fortigate.

L7 фильтры зачем? Все равно ими не особо заблокируешь, можно всегда тот же ВПН изнутри поднять или через прокси получить доступ. Проблема-то.

DNS встроенный можно вообще не использовать, и CPU он не ест и не тупит.

Если надо закрывать реально ресурсы, то нужно сервер блокировок ставить - специализированное решение как раз для этой цели, а не городить кучу правил на маршрутизаторах. Хоть тот же карбон редуктор.

Share this post


Link to post
Share on other sites
6 минут назад, Saab95 сказал:

Ага это коммутаторы от джунипера ставить? Самое правильно это изучить микротик, его возможности, оборудование, и применять его везде, где только можно. Потому что все дорогие решения уже ушли на второй план, никто не готов за них платить. Даже что ни совет на форуме - все берите бу циску, бу жунипер. А что не новые?

Да хоть и коммутаторы. Ну или же можно коммутаторы hp/aruba (по сути, тот же cli цисковый), а вот роутеры или фаерволы - от циски и джунипера.

Share this post


Link to post
Share on other sites
3 минуты назад, kapydan сказал:

Да хоть и коммутаторы. Ну или же можно коммутаторы hp/aruba (по сути, тот же cli цисковый), а вот роутеры или фаерволы - от циски и джунипера.

Вы же согласитесь, что покупать новые устройства от этих производителей экономически не выгодно, один только коммутатор от HP будет стоить 150 тыс. рублей.

Share this post


Link to post
Share on other sites

недавно покупали несколько новых свичей aruba 24-48 портов c sfp и без... 48 портовый поешный свич стоил около 60 т.р., т.е. чуть меньше 1 тыс юсд

Share this post


Link to post
Share on other sites

У микротика свич с пое стоит дешевле 60.

Только в отличии от всяких там крутых производителей, микротик всегда выкладывает диаграмму устройства, что бы можно было понимать что там и как внутри подключено, что бы знать как подключать порты для получения максимальной эффективности работы. На тех же длинках, снр и некоторых других, как раз и возникали затыки с работой некого функционала, а после долгой переписки с техподдержкой оказывалось, что внутри тоже не все так гладко=)

Вот я приводил примеры настройки микротика, приведите ка пример настройки вланов на ваших свичах а мы посмотрим=)

Share this post


Link to post
Share on other sites
10 часов назад, Saab95 сказал:

10Г стоит чуть дороже 1Г, какой смысл покупать устаревшее оборудование? Тем более коммутаторы на 10Г все?.

Зачем платить больше? Если у человека будет Линк более 10 метров это боль при аварии т.к. нет измерителя сигнала. Да и с ваших слов 10g актуален если собирать пачку устройств и разграничивать сервисы физически по устройствам.

 

10 часов назад, Saab95 сказал:

Микротик можно настраивать мышкой через винбокс, все просто и удобно.

За удобство нужно платить функционалом покупать 2 и более устройств 

 

10 часов назад, Saab95 сказал:

А что не новые?

Srx300 цену по глянь так чисто поржать 

 

  10 часов назад, Saab95 сказал:

 

Далее для мониторинга установить The DUDE и все - после можно самому удаленно по впн подключаться и управлять сетью.

Snmp на микротике не использую снижаю нагрузку в угоду трафика бывает

 

  10 часов назад, Saab95 сказал:

L7 фильтры зачем? Все равно ими не особо заблокируешь, можно всегда тот же ВПН изнутри поднять или через прокси получить доступ. Проблема-то.

DNS встроенный можно вообще не использовать, и CPU он не ест и не тупит.

Если надо закрывать реально ресурсы, то нужно сервер блокировок ставить - специализированное решение как раз для этой цели, а не городить кучу правил на маршрутизаторах. Хоть тот же карбон редуктор.

Да нет тупо большие маски IP адресов в фильтр запихивать. А специализированное решение так и так обойдут через прокси и впн. 

Share this post


Link to post
Share on other sites
10 часов назад, Saab95 сказал:

Но нет, предлагают по старинке консольные кабели, ставить себе на комп некие дефолтные IP адреса того же длинка или иного оборудования, заходить через путти, писать какие-то команды. Дальше или через веб тупить, или опять все командами шпарить - где тут отличия профессиональных решений? Или почему микротик это не профессиональное?

У меня в данный момент pppoe на доступе, закрываю менеджмет mac, через acl, предложите решение закрыть менеджмет мак без потери производительности в локальной сети офиса. 

Я знаю вариант только через бриджи. 

Share this post


Link to post
Share on other sites
5 часов назад, pingz сказал:

Зачем платить больше? Если у человека будет Линк более 10 метров это боль при аварии т.к. нет измерителя сигнала. Да и с ваших слов 10g актуален если собирать пачку устройств и разграничивать сервисы физически по устройствам.

10Г модули поддерживают DDM и показывают все параметры линка. Ясно дело разговор про оптику.

Кроме всего не забывайте, что если несколько компьютеров будут что-то активно качать по сети, то 1Г канал они легко забьют. И передача большого файла будет занимать длительное время. А имея 10Г магистральные линки, уже 10 компьютеров могут активно обмениваться файлами и это ни для кого не составит проблем.

 

Так же не забывайте про телефонию и видео. На 1Г линках легко забить канал и телефоны начнут плохо работать, а картинка с видео обрываться. Для этого всякие там QoS настраивают. И зачем подвергать себя опасности, когда можно просто 10Г сделать и не заморачиваться об этом?

 

5 часов назад, pingz сказал:

За удобство нужно платить функционалом покупать 2 и более устройств 

Касательно сети, обсуждаемой в этой теме, никаких 2 и более тут не требуется.

 

5 часов назад, pingz сказал:

Srx300 цену по глянь так чисто поржать 

Ну и раз все так дорого то что советовать?

 

5 часов назад, pingz сказал:

Snmp на микротике не использую снижаю нагрузку в угоду трафика бывает

Дуда берет данные с микротика не по snmp, а по своему протоколу через порт винбокса, поэтому не создает никакую нагрузку на оборудование.

 

5 часов назад, pingz сказал:

Да нет тупо большие маски IP адресов в фильтр запихивать. А специализированное решение так и так обойдут через прокси и впн. 

Как так обойдут? Если на нем запретить любые VPN, то и никто изнутри сети их использовать не сможет, если надо закрыть соцсети, то достаточно указать их в списке и все. При этом специализированное решение работает на сервере с быстрым процессором и может легко обработать все данные. Устанавливается в режиме зеркала и никак не влияет на пропуск разрешенного трафика.

 

4 часа назад, pingz сказал:

У меня в данный момент pppoe на доступе, закрываю менеджмет mac, через acl, предложите решение закрыть менеджмет мак без потери производительности в локальной сети офиса. 

Я знаю вариант только через бриджи. 

У нас PPPoE на доступе с самого начала нашего сетестроения, а это лет 20 уже. И когда тогдашние конкуренты в своих сетях раздавали IP адреса и для доступа в интернет люди поднимали VPN, и у них были постоянные терки с подменой адресов, т.к. на линуксах тогда PPPoE не особо жаловали. У нас все уже было на микротике сделано и на PPPoE, при этом как не было никаких фильтров тогда, так нет и сейчас. И никто ничего плохого с серверами не сделал.

Если надо отключить мак доступ и список соседей, то это просто в настройках микротика делается без фильтров.

Share this post


Link to post
Share on other sites
18 minutes ago, Saab95 said:

И передача большого файла будет занимать длительное время.

Куды? На шпиндельный СХД/сервер? Так там шпинделя узкое место, а не аплинки коммутаторов. Или в бюджете SSD/NVM СХД имеется? Из жизни энтерпрайза на сегодняшний день на доступе и агрегации 10G простаивает. В ЦОДе, да, как писал выше, к полке в 10G подхожу, но у меня и SSD СХД.

20 minutes ago, Saab95 said:

На 1Г линках легко забить канал и телефоны начнут плохо работать, а картинка с видео обрываться. Для этого всякие там QoS настраивают. И зачем подвергать себя опасности, когда можно просто 10Г сделать и не заморачиваться об этом?

Про микробёрсты не слышали, да? Имею затыкания на 20G (при полке в 80M), как лечить, пока даже не представляю. Так что 10G ни капли не панацея.

22 minutes ago, Saab95 said:

При этом специализированное решение работает на сервере с быстрым процессором и может легко обработать все данные. Устанавливается в режиме зеркала и никак не влияет на пропуск разрешенного трафика.

У меня на SRX340 это решение (L7) прекрасно работает из коробки (не на выделенном сервере), что я делаю не так?

Share this post


Link to post
Share on other sites
48 минут назад, Saab95 сказал:

Так же не забывайте про телефонию и видео. На 1Г линках легко забить канал и телефоны начнут плохо работать, а картинка с видео обрываться. Для этого всякие там QoS настраивают. И зачем подвергать себя опасности, когда можно просто 10Г сделать и не заморачиваться об этом?

10G а зачем плати, когда можно кинуть отдельный 1g медью и раскидать vlan'ы по разным портам? Да и обжимку + кабель + rg45 можно легко добыть, чем оптический пачкорд и sfp+ про тестер я вообще молчу. Это вы можете все нужно взять с полки и все, а вот на сети фирмы нет зипа. 

 

48 минут назад, Saab95 сказал:

Если надо отключить мак доступ и список соседей, то это просто в настройках микротика делается без фильтров.

только не в том условии, что нужен l2 сервис в сети. Или для менеджмента всегда отдельный vlan и пересаживаться на него?

 

48 минут назад, Saab95 сказал:

Касательно сети, обсуждаемой в этой теме, никаких 2 и более тут не требуется.

Стоп стоп, вы же для балансировки двух каналов рекомендуете 3 устройства. 

 

50 минут назад, Saab95 сказал:

Как так обойдут? Если на нем запретить любые VPN, то и никто изнутри сети их использовать не сможет, если надо закрыть соцсети, то достаточно указать их в списке и все. При этом специализированное решение работает на сервере с быстрым процессором и может легко обработать все данные. Устанавливается в режиме зеркала и никак не влияет на пропуск разрешенного трафика.

Ну да https://rutracker.org/forum/viewforum.php?f=1958 :D

TOR как бы не кто не запрещал. 

Ключевое слово руководитель "захотел" и нужно реализовать и отмазка типа купить отдельное железо, ну такое :D, когда у Васи в другом офисе все работает. 

Share this post


Link to post
Share on other sites
41 минуту назад, dr Tr0jan сказал:

Куды? На шпиндельный СХД/сервер? Так там шпинделя узкое место, а не аплинки коммутаторов. Или в бюджете SSD/NVM СХД имеется? Из жизни энтерпрайза на сегодняшний день на доступе и агрегации 10G простаивает. В ЦОДе, да, как писал выше, к полке в 10G подхожу, но у меня и SSD СХД.

Я дома с ноутбука 10-ти летней давности на компьютер по сети 1Г файлы переписываю, так этот 1Г в полку упирается. А это около 100 мегабайт в секунду.

 

Когда сервера собирали с 10Г адаптерами, тоже пробовали их вставлять в обычные компы класса i3, и перекачка файлов по 10Г линии уже упиралась в возможности жесткого диска и по сети прокачивали порядка 200-230М. То есть в 2 раза быстрее чем на 1Г линии. Сейчас даже дешевые жесткие диски 150+ выдают на чтение и запись.

 

47 минут назад, dr Tr0jan сказал:

Про микробёрсты не слышали, да? Имею затыкания на 20G (при полке в 80M), как лечить, пока даже не представляю. Так что 10G ни капли не панацея.

У нас уже много мест где сети сделаны по подобной схеме, никаких затыков нет. И следуя вашей логике, на 1Г все то же самое случается, только чаще.

 

49 минут назад, dr Tr0jan сказал:

У меня на SRX340 это решение (L7) прекрасно работает из коробки (не на выделенном сервере), что я делаю не так? 

Эта железка стоит 120 тыс.р. Из описания - Устройства SRX 340 предназначены для предприятий среднего размера (не более 100 человек).

Пропускная способность всего до 3Гбит, и указана очень хитро. По сути там 1.5Гбит это потолок, а если туда еще и VPN добавить то всего гиг.

 

На микротике за 120 тыс.р. можно CCR1036 купить, и еще сервер купить с процессором i5, на который и блокировку установить. Будет все то же самое только лучше и понятней. По скорости это решение 10Г пропустит.

 

31 минуту назад, pingz сказал:

10G а зачем плати, когда можно кинуть отдельный 1g медью и раскидать vlan'ы по разным портам? Да и обжимку + кабель + rg45 можно легко добыть, чем оптический пачкорд и sfp+ про тестер я вообще молчу. Это вы можете все нужно взять с полки и все, а вот на сети фирмы нет зипа. 

Во первых если сеть в пределах здания, то можно купить бухту кабеля оптическая лапша, купить стриппер и скалыватель, а разъемы использовать быстрые коннекторы. Они как раз аккуратно на эту лапшу устанавливаются.

Во вторых медный кабель стоит дороже оптической лапши, одна только бухта 305 метров порядка 8 тысяч, если брать нормальный медный, который не будет преподносить сюрпризов.

В третьих, случись что, молния там попадет, или наводка - сгорит полностью вся сеть, а при использовании оптики только то оборудование, куда кабель этот с наводкой подключен.

 

Кстати проблемы с выгоранием всей сети встречались неоднократно, когда все медными кабелями соединено. А бывало что и в сервера прилетало, у которых не только сетевые адаптеры сгорали, но порой и материнки с БП. Вот уж где потом ремонт обходился в крупные суммы, что можно было и свой сварочник купить, и запасы.

 

36 минут назад, pingz сказал:

только не в том условии, что нужен l2 сервис в сети. Или для менеджмента всегда отдельный vlan и пересаживаться на него?

Если нужен PPPoE то его можно во влан, а все остальное пускать так. Сейчас у нас все PPPoE бегает поверх L3, потому что L3 транспорт всегда лучше и исключает почти все проблемы.

 

37 минут назад, pingz сказал:

Стоп стоп, вы же для балансировки двух каналов рекомендуете 3 устройства. 

Балансировка если скорость большая, а подключаемые каналы не имеют статических адресов.

Если подключить в 2 порта провайдеров со статикой, то всегда можно сделать для них маркировку маршрутов и разбить через PPC все запросы на этих двух провайдеров.

 

3 устройства тогда, когда нужна общая минимальная стоимость, или когда каналы большие по скорости.

 

39 минут назад, pingz сказал:

Ключевое слово руководитель "захотел" и нужно реализовать и отмазка типа купить отдельное железо, ну такое :D, когда у Васи в другом офисе все работает. 

Сейчас уже никто из руководителей не блокирует соцсети, т.к. иначе все сотрудники тупо в телефоны переключаются и тратят на общение намного больше времени.

Кроме всего, проведенный анализ показывает, что когда сотрудник на работе изредка посещает ютуб или иные сайты, его работоспособность увеличивается.

 

Сотрудники разделяются на 3 вида - первые это те, у которых постоянная работа и у них нет времени отвлекаться, вторые это те, у которых работа не занимает все время и имеются интервалы свободного времени, во время которых они ничего не делают, просто сидят и ждут. И третьи, суть работы которых и заключается в ожидании поступления некого события, которое они отрабатывают - это сотрудники техподдержки и, например, вахтеры. Если они это свое свободное время будут тупо смотреть в стенку, то уйдут с такой работы, а когда могут заниматься чем-то своим, то и зарплата не кажется столь низкой.

Share this post


Link to post
Share on other sites
38 минут назад, Saab95 сказал:

Я дома с ноутбука 10-ти летней давности на компьютер по сети 1Г файлы переписываю, так этот 1Г в полку упирается. А это около 100 мегабайт в секунду.

Выглядит как ложь.

Обычный ноутбук 10-летней давности — это HDD на 5400 оборотов.

На таких HDD даже 200 Мбит/с обычно достижимы только в пике и кратковременно, пока буфер не кончится.

 

38 минут назад, Saab95 сказал:

В третьих, случись что, молния там попадет

В здании?

Share this post


Link to post
Share on other sites
12 часов назад, Saab95 сказал:

Только в отличии от всяких там крутых производителей, микротик всегда выкладывает диаграмму устройства, что бы можно было понимать что там и как внутри подключено, что бы знать как подключать порты для получения максимальной эффективности работы. На тех же длинках, снр и некоторых других, как раз и возникали затыки с работой некого функционала, а после долгой переписки с техподдержкой оказывалось, что внутри тоже не все так гладко=)

Ну для той же самой арубы таких проблем нет. Возможно, они имеют место быть только для махрового китайского ноунейма.

Share this post


Link to post
Share on other sites
18 минут назад, Saab95 сказал:

Если нужен PPPoE то его можно во влан, а все остальное пускать так. Сейчас у нас все PPPoE бегает поверх L3, потому что L3 транспорт всегда лучше и исключает почти все проблемы.

Ухты, а че так можно было? (в вопросе ирония и для тебля лично ты просто уходишь от вопроса) 

Какое PPPoE? я Имею введру в разрезе сети ТС как закрывать вход по маку? Отдельный порт и влан выделять? 

 

18 минут назад, Saab95 сказал:

Во первых если сеть в пределах здания, то можно купить бухту кабеля оптическая лапша, купить стриппер и скалыватель, а разъемы использовать быстрые коннекторы. Они как раз аккуратно на эту лапшу устанавливаются.

:D

З.Ы. я уже сбился сколько волока сварил за свою жизнь. 

 

Ага стриппер + скалыватетль выходит около 8-9к? + коннектор за 200 рублей который отсохнет через 2 месяца. 

Share this post


Link to post
Share on other sites
13 minutes ago, Saab95 said:

Я дома с ноутбука 10-ти летней давности на компьютер по сети 1Г файлы переписываю, так этот 1Г в полку упирается. А это около 100 мегабайт в секунду.

Компьютер-на-компьютер, это не разделеямые ресурсы. Обычно в офисе: 10/100/1000 компьютеров-на-сервер.

Про шпинделя всё выше написали. 30-60 мегабайт/сек - потолок. Сейчас даже самые дешёвые шпиндельные диски выдают 30 мегабайт/сек на запись - месяц назад проверял.

 

16 minutes ago, Saab95 said:

У нас уже много мест где сети сделаны по подобной схеме, никаких затыков нет. И следуя вашей логике, на 1Г все то же самое случается, только чаще.

У вас нигде не могут быть сделаны сети по подобной схеме, потому что:

1) мультикаст/igmp - это "устаревшая технология".

2) вы не удосужились узнать, что такое микробёрст

На 1G всё тоже самое случается точно также, как и на 10G, как и на 100M. На нексусах с двухсотмегабайтными буферами на портах такое не случается. Но микротик - не нексус.

 

18 minutes ago, Saab95 said:

Из описания - Устройства SRX 340 предназначены для предприятий среднего размера (не более 100 человек).

Пропускная способность всего до 3Гбит, и указана очень хитро.

Эта "очень хитрая" железяка прекрасно переваривает предприятие размером в 500 человек, и ещё 60% запаса остаётся.

 

19 minutes ago, Saab95 said:

и еще сервер купить с процессором i5, на который и блокировку установить. Будет все то же самое только лучше и понятней

Сервер кто будет админить? Вы?

Отказались от сервера (раньше был) - всё стало только лучше и понятней.

За 120 тыр вы сейчас сервер не купите, максимум, десктоп в рэковом корпусе.

 

21 minutes ago, Saab95 said:

Сейчас уже никто из руководителей не блокирует соцсети

Очень блокируют.

Share this post


Link to post
Share on other sites
25 минут назад, Saab95 сказал:

одна только бухта 305 метров порядка 8 тысяч

ОК :D

https://www.vseinstrumenti.ru/electrika-i-svet/kabel-i-provod/setevoj/tdm1/vitaya-para-narodnyj-u-cat-5e-4h2h24awg-cca-305m-pvh-seryj-sq0107-0111/?gclid=CjwKCAjwt-L2BRA_EiwAacX32bUlfx--sCSdniXS9U8Vgnx9B5JhPR7FNQuD9iu487b4Ak8eGNVk1hoCYY8QAvD_BwE&utm_referrer=

 

Есть лайфхак можно покупать с авито. 

 

21 минуту назад, alibek сказал:

Выгладит как ложь.

Ну че ты человек опечатался не магабайт, а мегабит. 

Share this post


Link to post
Share on other sites
29 минут назад, alibek сказал:

Выгладит как ложь.

Обычный ноутбук 10-летней давности — это HDD на 5400 оборотов.

На таких HDD даже 200 Мбит/с обычно достижимы только в пике и кратковременно, пока буфер не кончится.

 

100Мбит/сек =10Мб/сек, 1000Мит/сек = 100МБ/сек, если жесткий диск позволяет читать и писать на 100МБ/сек то легко утилизирует канал.

 

30 минут назад, alibek сказал:

В здании?

Почему нет? Такие случаи бывали, когда молния стукнет где-то рядом и осветит все помещения через окна, а после сгорают сетевые адаптеры во всех или у половины компьютеров.

 

27 минут назад, pingz сказал:

Ухты, а че так можно было? (в вопросе ирония и для тебля лично ты просто уходишь от вопроса) 

Какое PPPoE? я Имею введру в разрезе сети ТС как закрывать вход по маку? Отдельный порт и влан выделять? 

По маку на микротики коммутаторы и центр?

Просто - в настройках мак-сервер указать порты, на которых он доступен - магистральные.

Но в большинстве случаев это не требуется, достаточно запретить подключение в настройки коммутатора с IP адресов выделенных под компы и т.п. Этого достаточно.

 

29 минут назад, pingz сказал:

Ага стриппер + скалыватетль выходит около 8-9к? + коннектор за 200 рублей который отсохнет через 2 месяца. 

Ничего ему не будет. Эти коннекторы исправно работают на поне долгие года и не приносят никаких проблем. Просто нужно его устанавливать правильно с подпором волокна.

В любом случае сеть это расходы, и экономия тут не уместна. Даже если посчитать, то 10 тыс. на инструменты, 40 коннекторов с запасом - 8 тыс., ну и катушка оптики - 10 тыс. Пусть за все 30 тыс. В противовес 3 бухты кабеля пусть даже по 7 - уже 21 тысяча, копейки по экономии то разница?

 

19 минут назад, dr Tr0jan сказал:

Компьютер-на-компьютер, это не разделеямые ресурсы. Обычно в офисе: 10/100/1000 компьютеров-на-сервер.

Есть задачи, на которых все передается напрямую без участия сервера, как варианты это конструкторские бюро, видеомонтаж всякий, реклама, обработка фотографий и т.п. Потому что в таких задачах неудобно сначала все передавать на сервер, потом с сервера загружать себе, часто вообще по сетевым папкам работают друг у друга.

 

21 минуту назад, dr Tr0jan сказал:

На 1G всё тоже самое случается точно также, как и на 10G, как и на 100M. На нексусах с двухсотмегабайтными буферами на портах такое не случается. Но микротик - не нексус.

У нас пол сети на скоростях 10G на коммутаторах микротик, никаких проблем нет даже при полной утилизации канала на уровне 9-9.5Г, ни потерь, ни увеличений пингов, ничего. И буфер тут ни чем не поможет.

 

22 минуты назад, dr Tr0jan сказал:

Эта "очень хитрая" железяка прекрасно переваривает предприятие размером в 500 человек, и ещё 60% запаса остаётся.

Когда мы занимаемся переделкой сетей предприятий, подобные устройства выкидываем первым делом. Т.к. почти на каждом стоит некий межсетевой экран, не ясно почему и для чего, которые вечно тормозят и выносят мозг.

А так как разных организаций и заводов мы подключали много, то и они просят переделать им внутреннюю сеть, т.к. часто там все еще с начала 2000 было сделано, потом несколько раз модернизировали, и толком никогда не работало.

 

25 минут назад, dr Tr0jan сказал:

Сервер кто будет админить? Вы?

Отказались от сервера (раньше был) - всё стало только лучше и понятней.

За 120 тыр вы сейчас сервер не купите, максимум, десктоп в рэковом корпусе.

А ну у вас еще и сервер это обязательно HP.

Мы берем платформы асус в 1U и собираем на них, за 60-70 тыс. вполне реально собрать.

И что его админить? Установить ПО, составить списки и все. При необходимости любой человек через веб зайдет и добавит сайты в черный или белый список. А если такого нет то и мы удаленно зайдем и внесем изменения, это не сложно и не долго. Кроме всего есть IPKVM встроенный, который позволяет все что угодно удаленно делать.

 

27 минут назад, dr Tr0jan сказал:

Очень блокируют.

Из наших клиентов многие раньше блокировали, сейчас не блокируют, или думают что блокируют но на самом деле ничего не блокируются. Потому что очень часто руководители то и в своей организации не бывают никогда и что там твориться их не интересует.

 

29 минут назад, pingz сказал:

Есть лайфхак можно покупать с авито. 

Нормального кабеля там не найти. Мы уже многих производителей и модели пробовали, сейчас используем только neomax и несколько из самых дорогих кабелей у этого производителя.

Share this post


Link to post
Share on other sites
8 минут назад, Saab95 сказал:

100Мбит/сек =10Мб/сек, 1000Мит/сек = 100МБ/сек, если жесткий диск позволяет читать и писать на 100МБ/сек то легко утилизирует канал.

Еще раз повторю, 100 МБ/с на ноутбуке — крайне похоже на ложь.

Это уровень современных производительных десктопных и серверных дисков.

А никак не тихоходных дисков для ноутбука, тем более десятилетней давности.

 

8 минут назад, Saab95 сказал:

У нас пол сети на скоростях 10G на коммутаторах микротик

Это потому, что CRS это такое феерическое убожество, что все его проблемы остается решать только за счет линейной скорости.

Share this post


Link to post
Share on other sites
32 минуты назад, Saab95 сказал:

Когда мы занимаемся переделкой сетей предприятий, подобные устройства выкидываем первым делом. Т.к. почти на каждом стоит некий межсетевой экран, не ясно почему и для чего, которые вечно тормозят и выносят мозг.

Возможно вы его не умеет готовить? 

 

1 час назад, Saab95 сказал:

Я дома с ноутбука 10-ти летней давности на компьютер по сети 1Г файлы переписываю, так этот 1Г в полку упирается. А это около 100 мегабайт в секунду.

Скрин в студию :D 

 

Вот инструкция, где смотреть 

image.thumb.png.a3433dc0d3ab74b6c3b65d82caa04e50.png

Share this post


Link to post
Share on other sites
50 minutes ago, Saab95 said:

Есть задачи, на которых все передается напрямую без участия сервера, как варианты это конструкторские бюро, видеомонтаж всякий, реклама, обработка фотографий и т.п. Потому что в таких задачах неудобно сначала все передавать на сервер, потом с сервера загружать себе, часто вообще по сетевым папкам работают друг у друга.

Работал и в рекламе, и в видеомонтаже, и в издательстве, и даже в КБ довелось поработать. Везде всё гоняют на сервак, потому что винт внезапно ёк, и хана работе, над которой трудились несколько месяцев.

Видимо, в шарашкиных конторках на 10 компов, где используют микротики, пофиг на внезапно подыхающие диски.

 

51 minutes ago, Saab95 said:

никаких проблем нет даже при полной утилизации канала на уровне 9-9.5Г, ни потерь, ни увеличений пингов, ничего. И буфер тут ни чем не поможет.

 

Причём здесь утилизация канала на уровне 9.5Г. Почему ты упорно отказываешься читать и понимать природу микробёрстов с видео на мультикаст траффике? Я знаю почему, потому что мультикаст - это устаревшая технология.

53 minutes ago, Saab95 said:

которые вечно тормозят и выносят мозг

Врать то зачем. Сейчас рабочий день закончен - железяка загружена на 10%. Днём в ЧНН была загружена на 40%. Ничего не тормозит. Покупали с 30% запасом, ошиблись в лучшую сторону.

55 minutes ago, Saab95 said:

Мы берем платформы асус в 1U и собираем на них, за 60-70 тыс. вполне реально собрать.

Сколько-сколько стоит асусовская материнка с IPMI, двумя блоками питания и рэйдом с хотспейром?

56 minutes ago, Saab95 said:

И что его админить?

Завтра сделают TLS1.4, HTTP3.0, придумают какой-нибудь новый SPDY, скайп, вацап. Кто будет поддержку добавлять? А мы это проходили именно на внешнем сервере, именно поэтому от него и отказались.

58 minutes ago, Saab95 said:

Потому что очень часто руководители то и в своей организации не бывают никогда и что там твориться их не интересует.

Вот теперь всё стало на свои места. Какие шарашкины конторы админит сааб со товарищи. Именно то, о чём я писал выше. Конторка (завод) на 10 компов, приходящий и ковыряющийся в носу админ с серваком на фрибсд, который вечно тормозит, файлы вечно гоняемые между компами минуя сервер, потому что не знаю, что такое рэйд и бэкапилки. Плавали, знаем.

Share this post


Link to post
Share on other sites
53 минуты назад, alibek сказал:

Еще раз повторю, 100 МБ/с на ноутбуке — крайне похоже на ложь.

Это уровень современных производительных десктопных и серверных дисков.

А никак не тихоходных дисков для ноутбука, тем более десятилетней давности.

Как раз 10-ти летней давности ноутбуки были еще нормальными, и жесткие диски в них устанавливались быстрые, а не как сейчас - в угоду маркетинга.

Кроме того те же жесткие диски сигейт констеллейт еще в то время уже 200Мб выдавали.

А если кто-то собирает себе компьютер из самых дешевых, а не надежных дисков и у него 100мб не качается, то это вина только того, кто так собирает.

 

55 минут назад, alibek сказал:

Это потому, что CRS это такое феерическое убожество, что все его проблемы остается решать только за счет линейной скорости.

Можете привести за ту же цену с теми же характеристиками аналоги?

 

41 минуту назад, pingz сказал:

Возможно вы его не умеет готовить? 

Зачем связываться с оборудованием, которое не будут использовать? Каждый производитель изгаляется как может, придумывает свои схемы меню, только ему понятные обозначения и т.п. Как пример это настройка роутеров тп-линк или зиксель. IP адреса у него на одной вкладке, настройка вайфая на другой, настройка пароля на вайфай вообще где-то в разделе безопасности. По сути надо все вкладки потыкать что бы найти что где располагается.

 

43 минуты назад, pingz сказал:

Вот инструкция, где смотреть 

Я скорость смотрел на микротике.

Share this post


Link to post
Share on other sites

Коллеги, может не стоит отвечать на этот поток бреда, а то мне кажется мы так можем далеко уйти от сути проблемы ТС. Если что, в профиле есть настройка игнор листа, можно добавить туда продавана и не читать эту чушь.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now