Перейти к содержимому
Калькуляторы

производительность Ctalyst 3750

Ответить

desperado   

desperado
Опубликовано (изменено) · Жалоба

данная машинка сгодится терминировать вланы, отроутить и отфильтровать локальный трафик на

что понимается под "отфильтровать" ?

acl

 

скорости о которой писюковому роутеру можно только мечтать. всякие наты, netflow, туннели и т.п. она либо не умеет либо умеет процом, что превращает ее по производительности в писюковопервопнёвый роутер. как следствие заменой шлюзу в инет быть не может.

netflow всёже хотелось бы. не мало клиентов которые платят в том числе за внутрисетевой трафик.

 

по исчерпании денег на счету юзеров отключаем автоматическим переводом в гостевой VLAN на порту. на гостевом влане прям на абонентском порту зафаерволено всё кроме статистики. Кабель обязуемся не дергать 3 месяца, да и по прошествии их дергаем в единичных случаях (новый юзер + ултрасложная прокладка).

на акцессах стоит всякий зоопарк. некоторые свитчи можно из биллинга телнетом править но не все. дарить локалку всёже не хочется. слишком она дорого обходится.

ИМХО, если считать локалку, то лучше по SNMP на порту клиента, благо счетчики есть практически в любых хоть как-то управляемых железках. Загонять весь трафик в центр нерационально, т.к. стоимость железа с какого-то момента начинает расти экспоненциально. А деньги лучше потратить на апгрейд акцесса, чтобы получить везде SNMP, L3 acl и т.п. Это решит огромное количество реальных и потенциальных проблем.

Изменено пользователем desperado

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

emp   

emp
Опубликовано · Жалоба
acl
один из вопросов был сколько acl он вынесет. acl'и тупые типа запретить всё или разрешить всё.

 

по исчерпании денег на счету юзеров отключаем автоматическим переводом в гостевой VLAN на порту. на гостевом влане прям на абонентском порту зафаерволено всё кроме статистики. Кабель обязуемся не дергать 3 месяца, да и по прошествии их дергаем в единичных случаях (новый юзер + ултрасложная прокладка).
кстати каким образом из гостевого влана попасть на статистику ? у всех разные ip из разных вланов.

 

 

ИМХО, если считать локалку, то лучше по SNMP на порту клиента, благо счетчики есть практически в любых хоть как-то управляемых железках. Загонять весь трафик в центр нерационально, т.к. стоимость железа с какого-то момента начинает расти экспоненциально. А деньги лучше потратить на апгрейд акцесса, чтобы получить везде SNMP, L3 acl и т.п. Это решит огромное количество реальных и потенциальных проблем.
а куда девать старый зоопарк ? темболее что он уже измеряется сотнями и потрачены на него нехилые деньги. snmp на них есть. конечно вырубание по snmp это простое решение. но хотелось бы чтоб клиент мог попасть на статистику.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

desperado   

desperado
Опубликовано · Жалоба

 

acl

один из вопросов был сколько acl он вынесет. acl'и тупые типа запретить всё или разрешить всё.

я тут не очень силен, особенно на память, на циске я когда-то видел ответ на этот вопрос относительно C3560.

ИМХО, несколько acl на каждый интерфейс это без вопросов. Но отключать/ограничивать юзера таким методом ИМХО не правильно.

 

по исчерпании денег на счету юзеров отключаем автоматическим переводом в гостевой VLAN на порту. на гостевом влане прям на абонентском порту зафаерволено всё кроме статистики. Кабель обязуемся не дергать 3 месяца, да и по прошествии их дергаем в единичных случаях (новый юзер + ултрасложная прокладка).
кстати каким образом из гостевого влана попасть на статистику ? у всех разные ip из разных вланов.

я перевожу на акцесе юзера в другой VLAN где уже другой диапазон адресов. далее прямо на акцесе и на проксе фильтрую исходящий трафик по IP и портам, так, чтобы юзер кроме статистики, больше никуда не попал, тогда он не сможет соединиться по сети даже с соседней квартирой. такие железки сей-час не очень дорого стоят, всё что нужно, это L3 acl.

 

ИМХО, если считать локалку, то лучше по SNMP на порту клиента, благо счетчики есть практически в любых хоть как-то управляемых железках. Загонять весь трафик в центр нерационально, т.к. стоимость железа с какого-то момента начинает расти экспоненциально. А деньги лучше потратить на апгрейд акцесса, чтобы получить везде SNMP, L3 acl и т.п. Это решит огромное количество реальных и потенциальных проблем.
а куда девать старый зоопарк ? темболее что он уже измеряется сотнями и потрачены на него нехилые деньги. snmp на них есть. конечно вырубание по snmp это простое решение. но хотелось бы чтоб клиент мог попасть на статистику.

это не повод чтобы щас вложиться в ненужную вещь и при этом не решить проблему. если менять парк акцесса не хочется, можно ВЛАН щелкать на акцессе, а фильтровать на ближайщей железке которая может. только не ставить правило на каждого юзера, а фильтровать скопом всю гостевую подсеть.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

emp   

emp
Опубликовано · Жалоба
я перевожу на акцесе юзера в другой VLAN где уже другой диапазон адресов. далее прямо на акцесе и на проксе фильтрую исходящий трафик по IP и портам, так, чтобы юзер кроме статистики, больше никуда не попал, тогда он не сможет соединиться по сети даже с соседней квартирой. такие железки сей-час не очень дорого стоят, всё что нужно, это L3 acl.
соответственно у тебя dhcp ? я то адреса раздаю ручками потому что акцесс не умеет dhcp-snooping.

 

это не повод чтобы щас вложиться в ненужную вещь и при этом не решить проблему. если менять парк акцесса не хочется, можно ВЛАН щелкать на акцессе, а фильтровать на ближайщей железке которая может. только не ставить правило на каждого юзера, а фильтровать скопом всю гостевую подсеть.
гигабитный свитч нужен в любом случае. другое дело может быть не L3 раз функционал меня не устраивает. я же не спорю что мне именно 3750 нужно. просто присматриваюсь и задаю вопросы чтобы потом локти не кусать. подумываю рискнуть и всё таки раздавать адреса по dhcp. говорят редко вылазят дебилы со своими dhcp-серверами. благо сеть сильно фрагментирована и всё у всех и сразу не отвалится. решение с гостевым вланом мне понравилось. за него спасибо. буду думать в этом направлении.

 

и опять вопросы. умеет ли 3750 dhcp релей и как проверить что клиент ручками себе не прописал ip ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

ingress   

ingress
Опубликовано (изменено) · Жалоба

умеет DHCP Server и Relay

 

DHCP Snooping + IP Source Guard

Изменено пользователем ingress

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

emp   

emp
Опубликовано · Жалоба
умеет DHCP Server и Relay

dhcp сервер наверно не понадобится ибо наверняка он выдаёт из какого то пула, а мне надо по макам. с остальным вроде всё ясно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...