Разруливание подсетей в локалке

[vddav]

Доброе время суток.

Имеется локальная сеточка в поселке, количество клиентов "неумолимимо" приближается к 254 :). Статические ИПы. Сходятся 5-6 веток к центру. 2 сотки на П-296 и 3 оптики по гигабиту. Внутри стронг дс. Сетевое радио сервера кс и прочее. Каким железом или софтовым роутером можно разрулить данную ситуацию?? Бджет довольно ограничен. в пределах 600-800 уе. Имеет ли смысл поднимать DHCP ??

С уважением Владимир.

[zadrovets]

DL-DGS-3312SR почти вписывается в бюджет.

 

[Harmer]

Чего разруливать-то хотите? Смену маски?

[woddy]

при большом количестве компов в одноранговой сети - слишком забивается виндовым флудом.

такчто дели сеть на 2-3-4 сегмента (на сколько оцениваешь потенциал роста?) по /24адресов. из рассчета чтоб в будущем в сегменте число клиентов не превышало 250

[Nag]

Вы издеваетесь. ;-)

Чего там разруливать на 250 клиентов-то? Запустите вторую подсеть и все. С рутера, виланом.

Или вообще просто так, лишенее прибить АЦЛями...

А вот ДХЦП пора поднимать, ибо потом это будет сделать сложнее.

[martin74]

/me перевел у себя в сети мнимальную подсеть на /23... Это то, что на дом выделяется....

[vddav]

Хочу поделить сеть на 4-5 подсетей , что бы было допустим 172.16.0.ххх ; 172.16.1.ххх ; 172.16.2.ххх ; 172.16.3.ххх причем каждая подсеть на одну из физических ветвей, чтобы ходил стронг дс, народ мог сетевые игры гонять, инет через шлюз лазить, чат местный, и прочая мелкая дребедень

 

Хочу поделить сеть на 4-5 подсетей , что бы было допустим 172.16.0.ххх ; 172.16.1.ххх ; 172.16.2.ххх ; 172.16.3.ххх причем каждая подсеть на одну из физических ветвей, чтобы ходил стронг дс, народ мог сетевые игры гонять, инет через шлюз лазить, чат местный, и прочая мелкая дребедень. Что лучше поставить шелезяку типа ДЛ или машину обрать на базе мамы интел с 4-5 гигабитными сетевыми??

 

Хочу поделить сеть на 4-5 подсетей , что бы было допустим 172.16.0.ххх ; 172.16.1.ххх ; 172.16.2.ххх ; 172.16.3.ххх причем каждая подсеть на одну из физических ветвей, чтобы ходил стронг дс, народ мог сетевые игры гонять, инет через шлюз лазить, чат местный, и прочая мелкая дребедень. Что лучше поставить шелезяку типа ДЛ или машину собрать на базе мамы интел с 4-5 гигабитными сетевыми??

Edited March 10, 2008 by vddav

[Nag]

Коммутаторы Л3 от 200 баксов начинаются. ;-)

Если уж так невтерпеж, и слово виланы незнакомо...

[IvanI]

в данном случае(трафика < 1Гбит) наверно недорогой комп будет предпочтительней, 4 intel сетевухи, des2110 раздать 100ки, dhcp сервер можно на негоже.

 

альтернатива L3 свич с 4 SFP

[Forst]

Здравствуйте. Тут попался мне в руки Алайд AT-8824 L3.

В него приходят три подсети

192.168.1.0/24

192.168.2.0/24

192.169.3.0/24

В настройках сетевого подключения у пользователей в качестве шлюза указывается этот Алайд. В нём дефаулт Гетвэй уже идёт на сервер.

Хочу сделать чтобы третья подсеть была недоступна для двух певых. Пока ничего хорошего не получается :-(

[abdula123]

Здравствуйте. Тут попался мне в руки Алайд AT-8824 L3.

В него приходят три подсети

192.168.1.0/24

192.168.2.0/24

192.169.3.0/24

В настройках сетевого подключения у пользователей в качестве шлюза указывается этот Алайд. В нём дефаулт Гетвэй уже идёт на сервер.

Хочу сделать чтобы третья подсеть была недоступна для двух певых. Пока ничего хорошего не получается :-(

прописывай acl - кому куда можно (все, что "не можно" - рубить на корню).

 

acl, насколько я помню, там есть 2х видов - switch classifier / hwfilter и ip filter.

первый - аппаратный, очень быстрый, но с кучей ограничений.

второй - софтовый, и при некотором объеме трафа загоняет проц в 100% загрузку с со-ответсвующими последствиями.

 

как они прописываются - читать доки в сторону add ip filter и create classifier / add switch hwfilter

[vddav]

А можно только 3 подсети?? Или шелезяка расширяемая?? И второй вопрос. Слово ВЛАН пока действительно незнакомое:( . Насколько стоит (по вашему мнению) поднимать ВЛАНы. И что для этого надо (Железо стоит неуправляемое везде).??

Заранее благодарен. Владимир

[postuser]

Вы издеваетесь. ;-)

Чего там разруливать на 250 клиентов-то? Запустите вторую подсеть и все. С рутера, виланом.

Или вообще просто так, лишенее прибить АЦЛями...

А вот ДХЦП пора поднимать, ибо потом это будет сделать сложнее.

А стоит ли поднимать DHCP, если на уровне доступа неуправляемые свитчи стоят? Как потом бороться с поддельными DHCP? Сейчас во всяких беспроводных точках доступа даже по-умолчанию он включен.

PS: Сам пока не решаюсь вводить до тех пор пока в большинстве домов не будут DES3526 с возможностью фильтровать 67 порт у клиентов. Сеть уже около 1000 клиентов. Может я не прав и такие случаи будут крайне редкими? Есть у кого-нить опыт работы с dhcp в неуправляемых сетях?

Edited March 13, 2008 by postuser

[woddy]

у меня лично нет. но есть опыт знакомых. ставится специально обученый демон под линух. борется вполне успешно ;)

[witos]

у меня лично нет. но есть опыт знакомых. ставится специально обученый демон под линух. борется вполне успешно ;)

А что за демон, если не секрет?

[DukeNukem3D]

Чел, в твоем случае подойдет средней стоимости комп, мини АТХ формфактора, берешь максимально производительные сетевки желательно шины PCI-Express и ставишь на этот комп линукс - сами так делаем - всё просто лётает, кроме того можно срезать широковещательный трафик и вообще этот роутер ты сможешь расширить по программным возможностям всяко всяко.

[PNOHEP]

ГУРУ, простите что вмешиваюсь, но меня тоже волнует данная тема..

есть сетка (пионерская на "тупых" свичах, на витухе), нескольколько магистральных линий сходятся на узел (ели его можно так назвать :)), там такойжа как и все "тупые" коммутатор 24-х портовый, магистрали в него, из комутатора в гейт на базе win2003+TI.

Так вот, сетка разрастается, айпишники статические, как лучше разделить эту сеть на две, а лучше на три подсети.

покупка l2 коммутаторов отпадает - денег нет..

помогите пионерам советом, пожалуйста.

Edited March 17, 2008 by PNOHEP

[Mistakila]

Как вы еще выживаете на TI?

Как у вас загрузка проца?

Савьте роутер на Mikrotik на нем и будете сводить ваши 3 подсети.

 

[PNOHEP]

Намана выживаем, загрузка процентов 20 в пике.. (у нас 2 проца, да и вообще сервак наманый)

Интерисует вопрос сведения имено в связке win2003 и TI

[lugoblin]

Когда разрастаются сегменты, делить их, ИМХО, надо не на 2 и не на 3, а на столько насколько удобно, учитывая не только сиюминутные потребности и завтрашний день, а что будет через месяц и через год. Вот несколько моих личных наблюдений и наработок:

 

Работать с сетями с битностью не кратной 8 как правило не особо удобно. Компьютерам им пофигу, а человеку трудно. Надо быть сильно в теме (узким специалистом) или все время подглядывать в шпаргалку. Втискивать 3 сегмента в одну сеть класса C (например одна сеть на 25 бит, и еще две на 26, у меня одно время такая конфигурация работала) это очень по хакерски, и в рамках эксперимента безусловно полезно, но без насущной надобности не рентабельно.

 

Не имеет смысла, кроме специальных случаев, экономить на IP адресах, если ваш сегмент все равно не использует публичные адреса. Поэтому вполне может оказатся целесообразным резервировать целый 24-х битный сегмент для всего нескольких клиентов. Когда будете блох в маршрутизации и acl искать, это сильно поможет.

 

Например, есть 5 домов по 20 клиентов в каждом. Берем маршрутизатор с 6 (один - аплинк наружу) интерфейсами и делаем выделенную подсеть для каждого дома. Обозначаем дома, например, номеруем от 1 до 5, и соответственно присваиваем адреса сетям, например 192.168.1.0, 192.168.2.0, 192.168.3.0, и т.д. Когда через полгода после того как все заработает придется снова лезть в настройки, не надо будет мучительно вспоминать кто есть кто (и куда делась шпаргалка), и рисковать что-то сломать.

 

DHCP ставьте обязательно. И DNS, с приватной зоной и reverse resolving, сильно поможет этим делом рулить (я использую TLD .i: например home.i и work.i, www.home.i и mail.work.i и т.д.).

Делайте жесткую привязку IP к MAC address, назначайте всему и вся вменяемые имена в вашей зоне .i. Когда будете разбирать логи, будет ясно кто есть кто. Когда будете менять сетевые настройки сегмента, клиенты могут вообще ничего не заметить. Там с DHCP и DNS можно много всяких вкусностей намутить, и много чего автоматизировать, но сначала надо научится этим рулить вручную.

 

Что касается железа, я не в курсе какие есть истинно железные (и реально работоспособные и рентабельные) решения для таких вещей, так что присоединяюсь к рекомендующим делать маршрутизатор на основе PC. Имейте в виду, что не стоит брать ни самое дешевое оборудование, ни самое новое. Тут оптимизация по параметру надежности должна идти. С дешевым оборудованием велик (очень!) риск что будет глючить а то вовсе и сдохнет без предупреждения (слава PC-Chips), а совсем новое будет простаивать (и дорого). Хороше зарекомендовал себя подход, ставить б/у комп, но не какой попало, а такой про который достоверно известно что он проработал разумное время (пару лет хотя бы) без нареканий. У меня в таком качестве работают железки от soekris.com, это еще не железный маршрутизатор, но уже не б/у компьютер. Очень хороше себя зарекомендовали, тут коллеги на таких сенсоры для атмосферного мониторинга делают, т.е. условия эксплутации достаточно жесткие, как и требования к стабильности. Но, разумеется, в таком случае о win2003 в качестве системы речь идти не может.

[PNOHEP]

lugoblin, спасибо, содержательно.. но все же

Интерисует вопрос сведения имено в связке win2003 и TI

 

[lugoblin]

lugoblin, спасибо, содержательно.. но все же

Интерисует вопрос сведения имено в связке win2003 и TI

Ну, по сути то-же самое, только под роутер машина посерьезнее понадобится. У меня только последний абзац из-под этого требования выбился. Говорят, что DHCP и DNS под win2003 можно приемлемо настроить, ровно как и маршрутизацию, но я так ни разу не пробовал.

Если опыт под win2003 есть, то с соответствующей докой настройка будет достаточно тривиальна. Что касается вычислительной мощности, то предполагаю что если оно потянет w2003, то и с маршрутизацией справится, но это чисто умозрительное предположение. Может быть, тут выскажется кто-нибудь кто маршрутизаторы на винде делал.

Еще можно рассмотреть вариант, когда "гейт на базе win2003+TI" не трогаем, а просто втыкаем в него эдакий лвл7 коммутатор, сделанный на базе PC-совместимой железки с Линуксом или БСД на борту. Хотя это будет введением лишних сущностей.

 

Если оно уже работает (здоровый неуправляемый сегмент), и не хочется заморачиватся, я бы рекомендовал собрать испытательный стенд из экивалента упомянутого "гейта на базе win2003+TI" с n сетевых карт (сколько сегментов будет столько и карт, плюс одна, или чем оно там наружу смотрит), сделать по меньшей мере DHCP (Nag прав, самое время, чем дольше тянуть тем сложнее будет) и настроить маршрутизацию для разных сегментов. Как именно настраивать, тут я не советчик, я к несколько другому инструментарию привык. Потыкатся тестовым компом в разные карты, удостоверится что работает и можно будет выводить в люди.

 

Я может быть не совсем в теме, что означает буквосочетание "TI", это софтина для NAT'а какая-то под винду?

 

[martin74]

маршрутизаторы на винде? извращенцы.....

[PNOHEP]

Я может быть не совсем в теме, что означает буквосочетание "TI", это софтина для NAT'а какая-то под винду?

Это билинговая система "ТрафикИнспектор", точнее надстройка над виндовыми сервисами, однако достаточно практична и нас полностью устраивает.

Ну я в принципе и остановился на варианте гейта с N сетевухами, в выходной буду делать "лабораторную работу", поковырял поглубже сам TI, нашел, что он сам по себе в принципе с этим должен справиться... посмотрим..

 

маршрутизаторы на винде? извращенцы.....

Ну кому как, просто как то привыкли..

а с линухом есть печальный опыт "обработки напильником паровоза до состояния самолета", больше не хотим.., конечно в полне вероятно что "просто не умем готовить", аднака к мастдаю привыкли..

Edited March 18, 2008 by PNOHEP

[Dmitry88]

хороший маршрутизатор можно слепить на базе kerio winroute. Самое главное что там есть политики.