kostich Опубликовано 13 апреля, 2008 (изменено) · Жалоба Давайте только без сарказма. ну а про swithport protected? А насчёт завернуть сессию соседа -- это надо умудриться зароутить соседа к себе на ай-пи, который находится за роутером для обоих. Ведь соединение по РРТР устанавливается на 3-м уровне, и мой РРТР-сервер может находиться через несколько хопов от клиентов. И по умолчанию в винде вся РРТР-сессия шифруется mppe128. Да это без разницы чем оно шифруется.. главное что на L2 мы можем делать все что хотим и в т.ч. завернуть его PPTP сессию через себя. У вас надеюсь юзера сертификатами аутентифицируются? Если нет, то всё возможно. И надо заметить продукты готовые для таких действ в публичной сети давно имеются. ps. Кстати, а чем Вы так на такое количество юзеров шифровать собираетесь? Изменено 13 апреля, 2008 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
byteplayer Опубликовано 14 апреля, 2008 · Жалоба Давайте только без сарказма. ну а про swithport protected? А насчёт завернуть сессию соседа -- это надо умудриться зароутить соседа к себе на ай-пи, который находится за роутером для обоих. Ведь соединение по РРТР устанавливается на 3-м уровне, и мой РРТР-сервер может находиться через несколько хопов от клиентов. И по умолчанию в винде вся РРТР-сессия шифруется mppe128. Да это без разницы чем оно шифруется.. главное что на L2 мы можем делать все что хотим и в т.ч. завернуть его PPTP сессию через себя. У вас надеюсь юзера сертификатами аутентифицируются? Если нет, то всё возможно. И надо заметить продукты готовые для таких действ в публичной сети давно имеются. ps. Кстати, а чем Вы так на такое количество юзеров шифровать собираетесь? switсhport protected у меня не используется, так как если два юзера в одном свиче, то мне надо, чтоб они могли напрямую качать друг у друга, а не через роутер по РРРоЕ "на L2 всё что захочешь", но РРТР-туннель в отличие от РРРоЕ работает по L3 хоть это и более накладно для ЦПУ, но я предпочитаю РРТР и юзаю его только для инета, локалка работает на простом эзернете есть порезана на вланы, чтоб в одном влане не было много людей, всё затерминировано в свич L3 есть отдельный влан, в котором нет ни одного юзера в этом влане у меня DHCP&DDNS-сервер, РРТР-серверы и все остальные сервисы на свиче включен DHCP-relay сеть у меня в виде ромашки, в центре свич L3, в лепестках отдельные вланы с юзерами один из лепестков -- влан сервисов и доступа в инет все нужные маршруты передаются каждому клиенту по DHCP в РРТР шифрование включено в MPD правда у меня больше 300 туннелей на одном сервере не бывает, но и загрузка ЦПУ сейчас не более 10% серверы не крутые: FreeBSD 6.2-RELEASE #0: Fri Feb 9 22:22:12 EET 2007 root@rcx2.uar.net:/usr/src/sys/amd64/compile/ROUTER Timecounter "i8254" frequency 1193182 Hz quality 0 CPU: Intel® Pentium® 4 CPU 3.00GHz (2997.03-MHz K8-class CPU) Origin = "GenuineIntel" Id = 0xf49 Stepping = 9 Features=0xbfebfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CLFLU SH,DTS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE> Features2=0x641d<SSE3,RSVD2,MON,DS_CPL,CNTX-ID,CX16,<b14>> AMD Features=0x20100800<SYSCALL,NX,LM> AMD Features2=0x1<LAHF> Logical CPUs per core: 2 real memory = 1046872064 (998 MB) avail memory = 1002332160 (955 MB) ACPI APIC Table: <INTEL DG965RY > FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs cpu0 (BSP): APIC ID: 0 cpu1 (AP): APIC ID: 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 14 апреля, 2008 · Жалоба "на L2 всё что захочешь", но РРТР-туннель в отличие от РРРоЕ работает по L3 Ну вот я о том и речь веду, что это L3 можно на уровне L2 завернуть не на PPTP сервер ISP, а на какой-то свой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
byteplayer Опубликовано 15 апреля, 2008 · Жалоба "на L2 всё что захочешь", но РРТР-туннель в отличие от РРРоЕ работает по L3 Ну вот я о том и речь веду, что это L3 можно на уровне L2 завернуть не на PPTP сервер ISP, а на какой-то свой. можно, если под ай-пи л3-свича будет мак пионера, а за ним тот сервер РРТРно логин и пароль должен подойти, а его надо знать, а узнать трудно, так как мрре128-шифрование.......... в общем, мы отклонились от темы.... если человеку надо динамическую балансировку РРРоЕ в локалке, то скорее всего это решаемо только с помощью проприетарных решений.... Если б это надо было РРТР, то там всё решается с помощью внутр. ДНС и настройкой round-robin резолвинга, чтоб одно и то же имя резолвилось в разные ай-пи по очереди, и юзеры б коннектились к этим разным ай-пи прибл. поровну, а тут как на мак-уровне сделать... ничего в голову не приходит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostich Опубликовано 16 апреля, 2008 (изменено) · Жалоба "на L2 всё что захочешь", но РРТР-туннель в отличие от РРРоЕ работает по L3 Ну вот я о том и речь веду, что это L3 можно на уровне L2 завернуть не на PPTP сервер ISP, а на какой-то свой. можно, если под ай-пи л3-свича будет мак пионера, а за ним тот сервер РРТР нет, все не так... если возможен arp cache poisoning, то без разницы как там и что... PPPoE хорош тем, что изначально можно портсвичсекурити прописать и дать возможность пионерам общаться между собой через рутеры по L3. а в дизайне с PPTP мы получаем помойку на L2 уровне, помойку на L3 с левой адресацией и кучу головняков с пионерией.... зачем плодить две помойки когда можно сделать одну нормальную сеть? но логин и пароль должен подойти, а его надо знать, а узнать трудно, так как мрре128-шифрование.......... мы ему подсовываем свой PPTP сервер и если там как минимум мсчап, то спокойно узнаем то что забито у него в форме... если человеку надо динамическую балансировку РРРоЕ в локалке, то скорее всего это решаемо только с помощью проприетарных решений.... если люди поднимают ферму на писюках, то наверное денег на проприетарные решение нет или нет таких решений. с дизайном сети есть еще ряд сложностей т.к. лимит mac-ов на сегмент у свичей есть и дотянуть всю сетку до PPPoE фермы по L2 не всегда можно. если домашку строить на нормальном L2 оборудовании, то надобности в PPPoE и PPTP нет! Изменено 16 апреля, 2008 пользователем kostich Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
byteplayer Опубликовано 20 апреля, 2008 · Жалоба Вот мы незаметно подошли к вопросу дизайна сети. Выбор решения зависит от масштабов сети и инвестиционных возможностей. Чем большей может быть эта сеть -- тем оправданней использование правильных свичей. Чем меньше сеть -- тем больший уклон в сторону свободных софтверных решений. То есть всё зависит от масштабов сети, и важно найти золотую середину, чтоб в итоге проект вернул вложенные средства и приносил прибыль и качество чтоб не страдало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...