zont Posted March 4, 2007 Posted March 4, 2007 Локалка растёт - пора делить её на куски. Собстенно хочется избавить от широковещательного траффика оставшись в одном адресном пространстве 192.168.30.0/23 + по МАКу резать не плательщиков - понимаю не выход, но уш лучше так, чем никак. Была мысль поставить машинку с 3-мя сетевухами, сделать мост и резать уже как хочется. Но сразу же видимые минусы: 1. Габариты (не позволительные) 2. Шум 3. Простота кражи (домой установить невозможно) 4. Зависание системы итд итп Поэтому хочется поставить свич, а вот какой - я незнаю, потому что впервые сталкнулся с этой проблемой. Хочется собстенно от свича только этого: ipfw add deny udp from any to any 137 ipfw add deny all from any to 192.168.31.255 ipfw add deny all from any to 255.255.255.255 и иногда ipfw add deny ip from any to any MAC хх:хх:хх:хх:хх:хх any У знакомых стоит Zyxel ES-2108 - вроде всё что мне хочется можно реализовать, только стоит он 4500р :( Смотрел в сторону DLINK DES-2108, но у него фильтрации по МАК нет или я ошибаюсь? На форуме отрыл ещё свич - Planet WSD-800 - и стоит как DLINK и фильтрация по МАКам есть. Посоветуйте что-нибудь, не хочется взять свич за 100-150уе и обнаружить, что он не может решить поставленных задач. Вставить ник Quote
Илья Дмитриевич Posted March 4, 2007 Posted March 4, 2007 c мостами заморачиватся можно, но наверно дороже выйдет ) был опыт если вместа винта флешку , сетёвки intel на питании ups может и потянет но дороговато будет. Zyxel конечно хороши но они ведь тока l2 на уровне IP не заблочить отдельных питаров. Но как вариант тож не плох для сети меньше 255 компов ) Вставить ник Quote
zont Posted March 5, 2007 Author Posted March 5, 2007 Мдя... что-то совсем не радостное известие :) Да мне собственно и не надо по ИП-ам банить, самое главное избавиться от широковещательного траффика ipfw add deny all from any to 192.168.31.255 ipfw add deny all from any to 255.255.255.255 или я так не смогу сделать? а только функцией Broadcast Storm - регулировать траффик? У нас сеть сейчас как раз где-то 250+ компов, но есть ещё одна сетка недалеко, так что обьеденинение не за горами, тогда будет 350+ машин. А что можете сказать о Planet WSD-800? Вставить ник Quote
builder Posted March 5, 2007 Posted March 5, 2007 Смотрел в сторону DLINK DES-2108, но у него фильтрации по МАК нет или я ошибаюсь? 2108 умеет, но ограниченно - Вам это не решение наверно. Вставить ник Quote
VeryWell Posted March 5, 2007 Posted March 5, 2007 Локалка растёт - пора делить её на куски.Собстенно хочется избавить от широковещательного траффика оставшись в одном адресном пространстве 192.168.30.0/23 + по МАКу резать не плательщиков - понимаю не выход, но уш лучше так, чем никак. первый раз вижу что бы для избавления бродкастов используются свитчи... что то новое... любой роутер подойдет главное NAT что бы отключался (один из вариантов XRT-401D. Банальщина, но свои задачи тянет) а отключать неплательщиков имхо нормально биллинг делать. Traffic Inspector + радиус избавят вообще заморачиваться с MAC адресами Вставить ник Quote
zont Posted March 5, 2007 Author Posted March 5, 2007 Спасибо что посмешил :))) 5 минут задорного весёлого смеха - продлили мне жизнь на пару лет. Вставить ник Quote
Илья Дмитриевич Posted March 5, 2007 Posted March 5, 2007 (edited) нормальные админы ставят pptpd + radius на инет ну и iptables в качестве nat. речь я так понял не об инете Edited March 5, 2007 by Илья Дмитриевич Вставить ник Quote
zont Posted March 5, 2007 Author Posted March 5, 2007 Нет конечно :))) На инете стандартный никс-биллинг - freenibs. Имелись ввиду неплательщики локалки - надо же ей на что то жить. Кому то повезло - есть компексы PS2216, на них админы режут скорость до 10Кб/сек - и юзер радуется, а где то тупые акорпы пачками, вот и хочется чтобы пока они свои копейки за локалку не сдадут - дальше сегмента не лазили. PS: современные админы предпочитают PPPoE, но я пока по старинке pptp юзаю. Вставить ник Quote
DRiVen Posted March 5, 2007 Posted March 5, 2007 Ну и "возвращаясь к нашим баранам" - броадкаст на свитчах layer2 может быть только сегментирован по vlan. На свитчах layer3 (на С3550 к примеру ;)) как вариант отстроить acl на втором уровне (изоляцию mac-ов внутри vlan). Либо роутер. Вставить ник Quote
umike Posted March 6, 2007 Posted March 6, 2007 один знакомый товарищ для ДС собрал бридж на пять интеловских сетевушек на FreeBSD, сотворил на нем какую хотел сегментацию и фильтрацию, в ящик железный упаковал на чердаке и доволен по самые... Вставить ник Quote
zont Posted March 6, 2007 Author Posted March 6, 2007 Это был первый из рассматриваемых вариантов, но после детального изучения дома, и чердака - как то мне передумалось - $200 выставлять прямо на чердаке, пусть даже и в "чумадане" ;-) PS мост на фре - для меня идеальный вариант, видимо его и буду дальше обдумывать. Вставить ник Quote
ayamb Posted March 8, 2007 Posted March 8, 2007 (edited) MAC-Forced Forwarding. (AT-AR4xx) Software Version 2.9.1 adds support for MAC-Forced Forwarding. MAC-Forced Forwarding provides a method for subscriber separation on a network. It is appropriate for IPv4 Ethernet based networks, where a layer 2 bridged segment separates downstream clients from their upstream IPv4 gateways. It offers: ■ the ability to monitor, filter, and police any traffic between separate clients within the same subnet; ■ efficient use of limited resources; ■ greater security within the subnet. Edited March 8, 2007 by ayamb Вставить ник Quote
zont Posted March 9, 2007 Author Posted March 9, 2007 Этот чтоли? http://alliedtelesyn.com/products/detail.a...d=89&lid=25 И куда мне его фтыкать и каким "макаром" пользовать? PS у него пропускная способность точно 800Мбит? Или как у всех роутеров 25Мбит? Вставить ник Quote
ayamb Posted March 9, 2007 Posted March 9, 2007 (edited) Этот чтоли?http://alliedtelesyn.com/products/detail.a...d=89&lid=25И куда мне его фтыкать и каким "макаром" пользовать?PS у него пропускная способность точно 800Мбит? Или как у всех роутеров 25Мбит? 800!?? :) (40Mbps - при наихудшем раскладе.) AR415S - не самый лучший выбор для упомянутой выше цели. :)Куда его "фтыкать" могу определить по фотографии быстро... и довольно-таки бесплатно... :) А вот каким "макаром" пользовать - это зависит только от личных интересов, и преобладающих, на данный момент времени, наклонностей. :) P.S. Для классификации пакетов c последующей их ограниченной обработкой (L2-L4 ASIC) - суммарная wirespeed всех задействованных портов. Для полноценной L3-L4 обработки транзитных пакетов bridging IPv4 в одной подсети - 96mbps. Для принудительного заворачивания и дальнейшей полноценной L3-L4 обработки пакетов через единичный порт, подключенный к целостной подсети IPv4, через gratuitousarp=local - максиум 40mbps... и при таком "раскладе", 800mbps - даже AT-AR770s не потянет. :) Edited March 9, 2007 by ayamb Вставить ник Quote
zont Posted March 10, 2007 Author Posted March 10, 2007 Имелось ввиду 800 на все порты - по 200 на каждый. Что собстенно и надо от роутера для решения поставленной цели (изначально 600Мбит надо, так как 3 сегмента). Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.