desperado Опубликовано 16 октября, 2007 (изменено) · Жалоба данная машинка сгодится терминировать вланы, отроутить и отфильтровать локальный трафик на что понимается под "отфильтровать" ? acl скорости о которой писюковому роутеру можно только мечтать. всякие наты, netflow, туннели и т.п. она либо не умеет либо умеет процом, что превращает ее по производительности в писюковопервопнёвый роутер. как следствие заменой шлюзу в инет быть не может. netflow всёже хотелось бы. не мало клиентов которые платят в том числе за внутрисетевой трафик. по исчерпании денег на счету юзеров отключаем автоматическим переводом в гостевой VLAN на порту. на гостевом влане прям на абонентском порту зафаерволено всё кроме статистики. Кабель обязуемся не дергать 3 месяца, да и по прошествии их дергаем в единичных случаях (новый юзер + ултрасложная прокладка). на акцессах стоит всякий зоопарк. некоторые свитчи можно из биллинга телнетом править но не все. дарить локалку всёже не хочется. слишком она дорого обходится. ИМХО, если считать локалку, то лучше по SNMP на порту клиента, благо счетчики есть практически в любых хоть как-то управляемых железках. Загонять весь трафик в центр нерационально, т.к. стоимость железа с какого-то момента начинает расти экспоненциально. А деньги лучше потратить на апгрейд акцесса, чтобы получить везде SNMP, L3 acl и т.п. Это решит огромное количество реальных и потенциальных проблем. Изменено 16 октября, 2007 пользователем desperado Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
emp Опубликовано 16 октября, 2007 · Жалоба aclодин из вопросов был сколько acl он вынесет. acl'и тупые типа запретить всё или разрешить всё. по исчерпании денег на счету юзеров отключаем автоматическим переводом в гостевой VLAN на порту. на гостевом влане прям на абонентском порту зафаерволено всё кроме статистики. Кабель обязуемся не дергать 3 месяца, да и по прошествии их дергаем в единичных случаях (новый юзер + ултрасложная прокладка).кстати каким образом из гостевого влана попасть на статистику ? у всех разные ip из разных вланов. ИМХО, если считать локалку, то лучше по SNMP на порту клиента, благо счетчики есть практически в любых хоть как-то управляемых железках. Загонять весь трафик в центр нерационально, т.к. стоимость железа с какого-то момента начинает расти экспоненциально. А деньги лучше потратить на апгрейд акцесса, чтобы получить везде SNMP, L3 acl и т.п. Это решит огромное количество реальных и потенциальных проблем.а куда девать старый зоопарк ? темболее что он уже измеряется сотнями и потрачены на него нехилые деньги. snmp на них есть. конечно вырубание по snmp это простое решение. но хотелось бы чтоб клиент мог попасть на статистику. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
desperado Опубликовано 16 октября, 2007 · Жалоба acl один из вопросов был сколько acl он вынесет. acl'и тупые типа запретить всё или разрешить всё. я тут не очень силен, особенно на память, на циске я когда-то видел ответ на этот вопрос относительно C3560.ИМХО, несколько acl на каждый интерфейс это без вопросов. Но отключать/ограничивать юзера таким методом ИМХО не правильно. по исчерпании денег на счету юзеров отключаем автоматическим переводом в гостевой VLAN на порту. на гостевом влане прям на абонентском порту зафаерволено всё кроме статистики. Кабель обязуемся не дергать 3 месяца, да и по прошествии их дергаем в единичных случаях (новый юзер + ултрасложная прокладка).кстати каким образом из гостевого влана попасть на статистику ? у всех разные ip из разных вланов. я перевожу на акцесе юзера в другой VLAN где уже другой диапазон адресов. далее прямо на акцесе и на проксе фильтрую исходящий трафик по IP и портам, так, чтобы юзер кроме статистики, больше никуда не попал, тогда он не сможет соединиться по сети даже с соседней квартирой. такие железки сей-час не очень дорого стоят, всё что нужно, это L3 acl. ИМХО, если считать локалку, то лучше по SNMP на порту клиента, благо счетчики есть практически в любых хоть как-то управляемых железках. Загонять весь трафик в центр нерационально, т.к. стоимость железа с какого-то момента начинает расти экспоненциально. А деньги лучше потратить на апгрейд акцесса, чтобы получить везде SNMP, L3 acl и т.п. Это решит огромное количество реальных и потенциальных проблем.а куда девать старый зоопарк ? темболее что он уже измеряется сотнями и потрачены на него нехилые деньги. snmp на них есть. конечно вырубание по snmp это простое решение. но хотелось бы чтоб клиент мог попасть на статистику. это не повод чтобы щас вложиться в ненужную вещь и при этом не решить проблему. если менять парк акцесса не хочется, можно ВЛАН щелкать на акцессе, а фильтровать на ближайщей железке которая может. только не ставить правило на каждого юзера, а фильтровать скопом всю гостевую подсеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
emp Опубликовано 16 октября, 2007 · Жалоба я перевожу на акцесе юзера в другой VLAN где уже другой диапазон адресов. далее прямо на акцесе и на проксе фильтрую исходящий трафик по IP и портам, так, чтобы юзер кроме статистики, больше никуда не попал, тогда он не сможет соединиться по сети даже с соседней квартирой. такие железки сей-час не очень дорого стоят, всё что нужно, это L3 acl.соответственно у тебя dhcp ? я то адреса раздаю ручками потому что акцесс не умеет dhcp-snooping. это не повод чтобы щас вложиться в ненужную вещь и при этом не решить проблему. если менять парк акцесса не хочется, можно ВЛАН щелкать на акцессе, а фильтровать на ближайщей железке которая может. только не ставить правило на каждого юзера, а фильтровать скопом всю гостевую подсеть.гигабитный свитч нужен в любом случае. другое дело может быть не L3 раз функционал меня не устраивает. я же не спорю что мне именно 3750 нужно. просто присматриваюсь и задаю вопросы чтобы потом локти не кусать. подумываю рискнуть и всё таки раздавать адреса по dhcp. говорят редко вылазят дебилы со своими dhcp-серверами. благо сеть сильно фрагментирована и всё у всех и сразу не отвалится. решение с гостевым вланом мне понравилось. за него спасибо. буду думать в этом направлении. и опять вопросы. умеет ли 3750 dhcp релей и как проверить что клиент ручками себе не прописал ip ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 16 октября, 2007 (изменено) · Жалоба умеет DHCP Server и Relay DHCP Snooping + IP Source Guard Изменено 16 октября, 2007 пользователем ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
emp Опубликовано 16 октября, 2007 · Жалоба умеет DHCP Server и Relay dhcp сервер наверно не понадобится ибо наверняка он выдаёт из какого то пула, а мне надо по макам. с остальным вроде всё ясно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...