Jump to content

Выбор свичей для сети и как её организовать?

wel
 Share

Recommended Posts

wel

wel

Posted
Posted

Привет Всем

Есть сеть на 60 домов и на тупых свичах и потихоньку растет.

Но уже сейчас наблюдаются всякие спуферы и т.д.

Инет раздается по PPTP, клиенты получают по IP по DHCP...

На домах 8-16-24 портовые свичи, по 1-2 штуки.

На сервере стоит FreeBSD.

Прочитал что arpwatch можно обьеденить со свичем и по SNMP протоколу закрывать доступ для спуфера.

 

Меня интересует:

1.Уменьшение нагрузки на сеть.

2.Возможность отслеживать атаки

 

Дополнительно:

Избегать таких случаев, как:

Кто-то в свич воткнул еще одного провайдера - сеть легла

Кто-то занимается arp/ip-спуфингом, лягли роутеры/свичи, Я такое наблюдал с 6-8портовыми.

Флуд в одной части сети ложит всю сеть на колени

 

Giga-Byte

Giga-Byte

Posted
Posted

вообще есть замечательная штука - Broadcast Storm Control,

очень помогает.

использую её на всех 100Мбитных портах DES-3526,

каждый порт представляет собой ВЛАН с 1-4 домами (~20-30 юзеров)

wel

wel

Posted
  • Author
Posted
dlink des-3010/3026/3028 на дома

dlink des-3828 в центр, на нем сетку поделить на несколько л3 сегментов

Такой вопрос - пользователи в этих ланах(л3 сегментах) могут между собой обмениваться инфой?...
Come

Come

Posted
Posted

А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.

А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

 

wel

wel

Posted
  • Author
Posted
А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.
Я вот чего не могу понять.

http://ru.wikipedia.org/wiki/VLAN:

VLAN (от англ. Virtual Local Area Network), VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них.

 

Насколько Я понимаю вашу идею:

Ставим везде L2 свичи, каждого пользователя кладём в VLan, в некоторых местах для обеспечения скорости, ставим L3 свичи или маршрутизаторы...

 

Вопрос:

Я имею три свича: С1,С2,С3.

С2 и С3 подключены к С1.

K С2 и С3 подключены пользователи из подсети 192.168.1.0/28

С1 - L3,a С2 и С3 - L2.

Вопрос - пользователи могут между собой обмениваться инфой?Или всё зависит от того как настроить?

 

ПС:

Опиши ПЛЗ то что имелось в виду.

 

А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

Хм...

Хотелось бы просто отделить каждый дом, максимум несколько домов в отдельный сегмент...

В доме доходит до 50компов - 2*24портовых свича...

dlink des-3010/3026/3028 на дома
Есть dlink des-2108, но если они не подходят, то скажите ПЛЗ :)
BuHast

BuHast

Posted
Posted (edited)
А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.

А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

DES-3028, 3526 - что мешает включить LBD, IPM-Binding, Broadcast shtorm Control? Edited by BuHast
Come

Come

Posted
Posted
А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.
Я вот чего не могу понять.

http://ru.wikipedia.org/wiki/VLAN:

VLAN (от англ. Virtual Local Area Network), VLAN могут являться частью большего LAN, имея определенные правила взаимодействия с другими VLAN, либо быть полностью изолированными от них.

 

Насколько Я понимаю вашу идею:

Ставим везде L2 свичи, каждого пользователя кладём в VLan, в некоторых местах для обеспечения скорости, ставим L3 свичи или маршрутизаторы...

 

Вопрос:

Я имею три свича: С1,С2,С3.

С2 и С3 подключены к С1.

K С2 и С3 подключены пользователи из подсети 192.168.1.0/28

С1 - L3,a С2 и С3 - L2.

Вопрос - пользователи могут между собой обмениваться инфой?Или всё зависит от того как настроить?

 

смогут общатся, но через центральный сервер BRAS

ПС:

Опиши ПЛЗ то что имелось в виду.

Все же достаточно просто, каждый абонент в своем VLAN и привязка IP, MAC не нужна, да и ARP читинг не работает - все пользователи в своих отдельных VLAN
А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

Хм...

Хотелось бы просто отделить каждый дом, максимум несколько домов в отдельный сегмент...

В доме доходит до 50компов - 2*24портовых свича...

dlink des-3010/3026/3028 на дома
Есть dlink des-2108, но если они не подходят, то скажите ПЛЗ :)

повторюсь привязка MAC/ IP и изоляция портов достоточно дорогое решение, если его строить правильно и что бы сеть была безопасной (никаких колец на L2 свичах)
Come

Come

Posted
Posted
А вообще есть прикрасная идеология VLAN на пользователя (сервис), что есть правильно и не дорого.

А VLAN на квартал не решает проблемы с ARP атаками, только немного понижает их вероятность.

и привязка IP MAC с изоляцией портов работает только если каждый свич l2 сразу идет в свич L3, что не позволяет строить колца, да и достаточно дорого.

DES-3028, 3526 - что мешает включить LBD, IPM-Binding, Broadcast shtorm Control?

LBD (а собственно петель то и не будет), Broadcast shtorm Control (а так это ничему не мешает)

IPM-Binding - Включить можно плюс изоляцию портов и т.д., но это не помогает. В любом случае если будут кольца на L2 свичах и пользователи в одном VLAN, то рано или поздно найдется умный "хакер" и

украдет все данные у пользователей в этом сегменте. Особенно будет весело когда кто-нибудь украдет данные кредиток

все же давно написано

http://www.xakep.ru/magazine/xa/068/060/3.asp

 

Nic

Nic

Posted
Posted

О даааа, ща обоссусь от страха. Самое авторитетное издание о компьютерной безопасности - это безусловно журнал Херакер...

IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа...

wel

wel

Posted
  • Author
Posted
vlan per user, и попробуйте что нить ваще увидеть без разрешения :)
Я уже спрашивал и еще раз спрошу где почитать про это или же ответьте сразу:

В таких раскладах(vlan per useр) пользователи могут видеть друг друга в плане по сети?

 

postuser

postuser

Posted
Posted
IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа...

vlan per user, и попробуйте что нить ваще увидеть без разрешения :)

Если коммутатор третьего уровня (который пользователей разных VLAN-ов соединяет) находится в ядре сети, как быть в случае, когда VLAN будет больше 4096? Эта идеология действует только в сетях с кол-ом клиентов <4000?
Come

Come

Posted
Posted
О даааа, ща обоссусь от страха. Самое авторитетное издание о компьютерной безопасности - это безусловно журнал Херакер...

IPM-Binding + фильтр ARP, и попробуйте тут что-то снифануть у соседа...

и что? а если пользователей под 10 и более тысяч -? привязка в ручную, да и фильтры ARP не навсех свичах.

Плюс все равно фильтрация ARP спасает не на 100%

 

Я уже спрашивал и еще раз спрошу где почитать про это или же ответьте сразу:

В таких раскладах(vlan per useр) пользователи могут видеть друг друга в плане по сети?

Да никак они друг друга не видят, представьте что они в разных коммутаторах :) и увидят друг друга только через L3 свич или BRAS. Если Вы этого захотите :)

 

 

Если коммутатор третьего уровня (который пользователей разных VLAN-ов соединяет) находится в ядре сети, как быть в случае, когда VLAN будет больше 4096? Эта идеология действует только в сетях с кол-ом клиентов <4000?

используйте QinQ простой, но не очень удобный - будет 16 миллионов абонентов :) (правда траблов много, QoS будет на абонента, и все сервисы от абонента будут с одинаковым приоритетом, что убивает саму фичу)

 

или QinQ selective - то 90 000+ не проблема на один сегмент, а если уже VLAN на сервисы давать (что правильнее), то 40 000 + сегмент. Столько достаточно? :) тут уже и с QoS все получше и с настройками все быстрее, да и в обслуживании проще. Фактически это QinQ VLAN на свич.

 

  • 3 weeks later...
QstArt

QstArt

Posted
Posted (edited)

В сетях vlan per user, геймеры восстание не поднимают? Для всех игр сервак не поднимешь. Хотя с vlan на дом тоже не фонтан для них.

У D-link'а есть коммутаторы с QinQ /selective? )

Edited by QstArt

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.