[Jovanotti]

Если нужно фильровать по ACL по кварталам, можно попробовать Planet WGSD-1022

прим. $145

 

[SSTS]

Что в твоем понимании "первичная очистка трафика" ?

Валер, а может имеет смысл трафик чистить уже на квартальном свиче (L3), кварталов то ведь не сильно много

А как быть с клиентами которые не могут 802.1х ?

Те кто не могут 802.1х - ну не повезло, другим способом решим - например VLAN-per-user.

Серега ты же знаешь что стоит на кварталах и на что мы это меняем.

На кварталах честные L2 от Векторов - 1908s. Там очисткой не пахло и не пахнет.

Абсолютно все что было из D-Link - либо погорело - либо окочурилось ;-) флудит так что думаю кому-бы подарить.

Под первичной очисткой я подразумеваю групповые ACL на квартальный VLAN - разрешенные сети,

вырезание виндового обмена, правила общие применительно к кварталу.

Так я о чем и говорю, может поставить вместо Векторов чего нибудь поумнее и не сильно дорогое (1 умняк на квартал с ACL и прочей лабудой), а в core просто L2 молотилку

[tgz]

А какой сакральный смысл внедрять dot1x, если access switch его не умеет? А слова "очистка трафика" и "трехкомпонентный core" меня конечно очень веселят. Спасибо вам :)

[kww]

А какой сакральный смысл внедрять dot1x, если access switch его не умеет? А слова "очистка трафика" и "трехкомпонентный core" меня конечно очень веселят. Спасибо вам :)

Весело - это хорошо ...

Очистка, фильтрация, ACL на порт/VLAN смысл от этого не измениться, правда ?.

А то что dot1x не умеет - вы не правы, вы просто не умеете их готовить, умеет и работает

правда не совсем access switch - но опять-же смысл от этого не меняется.

Изменено 4 июля, 2008 пользователем kww

[tgz]

Весело - это хорошо ...

Очистка, фильтрация, ACL на порт/VLAN смысл от этого не измениться, правда ?.

чистят толчки, трафик фильтруют. Некоторым я бы посоветовал заниматься первым, а не вторым.

 

А то что dot1x не умеет - вы не правы, вы просто не умеете их готовить, умеет и работает

правда не совсем access switch - но опять-же смысл от этого не меняется.

Давайте оставим мои умения за рамками данной беседы.

У вас написано "тупая мыльница". Первое упоминание о dot1x встречается ниже по тексту про другие коммутаторы. Мое утверждение в том, что в данном случае вы получите дырку (в заднице/от бублика/etc), а не security. Вам хватит знаний опровергнуть это утверждение?

[kww]

чистят толчки, трафик фильтруют. Некоторым я бы посоветовал заниматься первым, а не вторым.

Давайте оставим мои умения за рамками данной беседы.

У вас написано "тупая мыльница". Первое упоминание о dot1x встречается ниже по тексту про другие коммутаторы.

Мое утверждение в том, что в данном случае вы получите дырку (в заднице/от бублика/etc), а не security.

Вам хватит знаний опровергнуть это утверждение?

Действительно взаимные оскорбления (толчки, вантузы) выходят за рамки этого форума,

я Вас не знаю и учить ничему не собираюсь, извините если чем-то задел.

Читайте внимательно посты, тупая мыльница перепрограммирована, дырок в security нет.

Знаний мне хватает хотя-бы потому что эта схема УЖЕ нормально работает.

Опровергать утверждения не буду. Если кому надо, просто расскажу как это реализовать.

 

А вопрос был про о модель - Allied Telesyn AT-9424Ts-50 и его использование.

[tgz]

Действительно взаимные оскорбления (толчки, вантузы) выходят за рамки этого форума,

я Вас не знаю и учить ничему не собираюсь, извините если чем-то задел.

Читайте внимательно посты, тупая мыльница перепрограммирована, дырок в security нет.

Знаний мне хватает хотя-бы потому что эта схема УЖЕ нормально работает.

Опровергать утверждения не буду. Если кому надо, просто расскажу как это реализовать.

 

А вопрос был про о модель - Allied Telesyn AT-9424Ts-50 и его использование.

Ну про толчки я погорячился, наверное. Будте проще. лично к вам я данное утверждение не применял, так, вскольз упомянул. Задеть меня сложно, я бы сказал практически невозможно, так что об этом тоже не беспокойтесь :)

Вот про мыльницы разговор может получиться интересный, давайте конкретику, пообсуждаем. Мы ведь все тут ради этого, а не для того , что бы выяснять у кого толчки чище. Но могу заметить, что как бы внимательно я ни читал, про dot1x на мыльницах тут нет пока что ни слова.

Насчет того, что данная схема нормальна в принципе я сомневался еще задолго до создания этого треда. Так что тут тоже есть о чем поговорить. Но об этом после.

Ну а как станет ясна вся картинка в целом, то может и про AT пообщаемся, на закусочку.

С нетерпением жду :)

[kww]

Ну что-ж, попробуем разобраться в теории данного вопроса, поправьте меня в терминологии если что ;-).

Действительно, как бы вы не вычитывали datasheet на RTL8309 вы не найдете упоминания 802.1x.

Но в этом чипе есть много вкусностей которые я стараюсь использовать.

Уточню более конкретно.

1 - настроены port based VLAN - магистраль/клиенты.

2- выключен flow control со стороны магистрального порта

3 - в некоторых местах клиенты зажаты 10мбит на порту (магистраль 100).

4 - включен loop detection.

5 - еще настройки по мелочи, QoS, лампочки и.т.д.

Мыльница получается не совсем тупая ;-)

Теперь по поводу 802.1x - протокола аутентификации устройств подключеных к LAN порту.

Я решал проблему не в лоб, а постарался обойти ее. Для 802.1x мыльница представляет кусок

провода т.е. ее порты всегда как-бы в режиме force autorized. А вот у квартального свитча есть

802.1х и управление по radius. Т.к. по моей схеме каждый клиент "проброшен" до квартального свитча

и дырок в security не наблюдается. Проблема начинается в том что квартальный свитч хочет поуправлять

физическим портом, а вот тут приходится немного изголяться ;-) Ставим порт в force autorized, включаем

802.1x и по событию от RADIUS , а по snmp закидываем в свитч ACL по MAC адресу на конкретный порт квартального коммутатора. В моем случае на 1 квартальном порту можно авторизовать до 16 абонентов (или 2 8и портовых мыльницы).

Может быть схема неправильная и сложная, зато максимально дешевая ...

Изменено 4 июля, 2008 пользователем kww

[tgz]

Так, я вышел из сумрака^Wзапоя и мы наверно продолжим...

 

Ну что-ж, попробуем разобраться в теории данного вопроса, поправьте меня в терминологии если что ;-).

Действительно, как бы вы не вычитывали datasheet на RTL8309 вы не найдете упоминания 802.1x.

Но в этом чипе есть много вкусностей которые я стараюсь использовать.

Уточню более конкретно.

1 - настроены port based VLAN - магистраль/клиенты.

2- выключен flow control со стороны магистрального порта

Его лучше выключать вообще. Бесполезная и ненужная фича.

 

3 - в некоторых местах клиенты зажаты 10мбит на порту (магистраль 100).

4 - включен loop detection.

5 - еще настройки по мелочи, QoS, лампочки и.т.д.

Мыльница получается не совсем тупая ;-)

Угу, совсем немного до с6500 не хватило.

 

Теперь по поводу 802.1x - протокола аутентификации устройств подключеных к LAN порту.

Я решал проблему не в лоб, а постарался обойти ее. Для 802.1x мыльница представляет кусок

провода т.е. ее порты всегда как-бы в режиме force autorized. А вот у квартального свитча есть

802.1х и управление по radius. Т.к. по моей схеме каждый клиент "проброшен" до квартального свитча

и дырок в security не наблюдается. Проблема начинается в том что квартальный свитч хочет поуправлять

физическим портом, а вот тут приходится немного изголяться ;-) Ставим порт в force autorized, включаем

802.1x и по событию от RADIUS , а по snmp закидываем в свитч ACL по MAC адресу на конкретный порт квартального коммутатора. В моем случае на 1 квартальном порту можно авторизовать до 16 абонентов (или 2 8и портовых мыльницы).

Может быть схема неправильная и сложная, зато максимально дешевая ...

Неправильное и сложое не бывает дешевым. Куча устройств не умеют dot1x, что с

ними делать? Строить линк до "квартального свитча"? А если он далеко и

глубоко? С сертификатами опять же постоянное сношалово вам обеспечено. Много

кастомеров осиливают самостоятельную смену сертификата?

Второй момент, что будет, когда абонент не сделал Logoff по dot1x? Как узнать

что он все еще там? Смотреть за мак адресами и чистить acl? А если сосед себе

такой же мак на сетевушку нарисовал? *** ведь получится.

Третий момент, не принципиальный, но... Завтра кастомеры захотят multicast.

Мыльница асилит раздать его тем кому надо и не давать тем, кто не должен его

получать?

 

P.S.

Многие думают, что вот завтра мы станем богатыми и все переделаем. Так не

бывает. За щасье будет что вас кто-нибудь купит, а не задавят чисто

экономическими методами.

 

 

 

[SmokerMan]

А какую модель вы предлагаете, сэр?..

[tgz]

dhcp option 82 или pppoe. И никакого ***ццкого межюзерского промискуитета. vc до bng и привет.

[ashkalikov]

Если вернуться к АТ9424Ts

1) Он не поддерживает OSPF, только RIP.

2) Он стекируемый - это надо?

[Utk]

А что означает "Basic Layer 3"?, а то тоже присматриваемся к этой железке

[ashkalikov]

Это значит, что только статическая маршрутизация, RIP и ECMP.

[Мартен]

а вот хотите мы вам AT9724ts о 20GE+4Combo SFP недорого продадим? да простит меня Наг за оффтопик. а то валяется полгода зараза на складе новый, а девать некуда :( оспф умеет вроде

[kww]

Так, я вышел из сумрака^Wзапоя и мы наверно продолжим...

 

3 - в некоторых местах клиенты зажаты 10мбит на порту (магистраль 100).

4 - включен loop detection.

5 - еще настройки по мелочи, QoS, лампочки и.т.д.

Мыльница получается не совсем тупая ;-)

Угу, совсем немного до с6500 не хватило.

По соотношению цена/функционал (пусть и статический) переплюнули 6500.

 

Неправильное и сложное не бывает дешевым. Куча устройств не умеют dot1x, что с

ними делать? Строить линк до "квартального свитча"? А если он далеко и

глубоко? С сертификатами опять же постоянное сношалово вам обеспечено. Много

кастомеров осиливают самостоятельную смену сертификата?

Второй момент, что будет, когда абонент не сделал Logoff по dot1x? Как узнать

что он все еще там? Смотреть за мак адресами и чистить acl? А если сосед себе

такой же мак на сетевушку нарисовал? *** ведь получится.

Третий момент, не принципиальный, но... Завтра кастомеры захотят multicast.

Мыльница асилит раздать его тем кому надо и не давать тем, кто не должен его

получать?

 

P.S.

Многие думают, что вот завтра мы станем богатыми и все переделаем. Так не

бывает. За щасье будет что вас кто-нибудь купит, а не задавят чисто

экономическими методами.

Ладно ... Не получилось сбоку , попробуем снизу .. обьяснить.

Средний ARPU в нашей сети 8-10$, клиент не готов платить за подключение

более 20$, более того часто конкуренты подключают вообще бесплатно.

Даже стоя на голове средний ARPU не поднять выше 15$.

Город у нас небольшой и как я писал выше - квартала небольшие, более того

большая часть города это 2-3-5 этажные дома не более 4 подьездов. Плотность абонентов очень низкая.

На дом не больше 10 абонентов а вот расстояния большие. В этом случае экономически невыгодно использовать дорогое оборудование,

которое умеет DHCP Relay Option 82 , IP-MAC-PORT. Остается только pppoe - сомнительный выход для наших 100мбит веток (ARPU помним ?)

В данном раскладе я готов мирится с гимором Logoff по 802.1x, мелким воровством траффика друг у друга и прочими

прелестями провайдерской жизни в маленьком городе.

Нас вряд-ли кто купит, а задавить может разве-что телеком, с их чугунными колесами, в которые можно ввалить столько бабла,

что они платиновыми станут. Задача в нашей сетке извините за каламбур - поуправлять неуправляемым.

По поводу мультикаста - ваша правда, мыльница не осилит, не тот уровень, как собственно и многое другое.

 

P/S

Что-бы сосед себе такой же мак на сетевушку написал он его должен еще увидеть или как-то узнать,

а вариант сканирования или снифинга - исключен.

 

[ingress]

DHCP Relay Option 82 , IP-MAC-PORT.

стоимость порта от длинка - 10 у.е.

[Nafanya]

DHCP Relay Option 82 , IP-MAC-PORT.

стоимость порта от длинка - 10 у.е.

судя по описанию - было бы чем их забить...

[ingress]

DHCP Relay Option 82 , IP-MAC-PORT.

стоимость порта от длинка - 10 у.е.

судя по описанию - было бы чем их забить...

не, это комплекс такой, потратить на пользователя ЦЕЛЫЙ ОДИН ARPU! - кошмар, что мы скажем жабе на утро...

*мой директор обычно начинает вспоминать про всякие амортизации, содержание офиса, зарплаты и прочую лирику* :)

Изменено 10 июля, 2008 пользователем ingress

[tgz]

По соотношению цена/функционал (пусть и статический) переплюнули 6500.

Шутку понял, смешно (с)

 

Ладно ... Не получилось сбоку , попробуем снизу .. обьяснить.

Средний ARPU в нашей сети 8-10$, клиент не готов платить за подключение

более 20$, более того часто конкуренты подключают вообще бесплатно.

Даже стоя на голове средний ARPU не поднять выше 15$.

Это в среднем по больнице нормальная цифра.

 

Город у нас небольшой и как я писал выше - квартала небольшие, более того

большая часть города это 2-3-5 этажные дома не более 4 подьездов. Плотность

абонентов очень низкая. На дом не больше 10 абонентов а вот расстояния

большие. В этом случае экономически невыгодно использовать дорогое

оборудование, которое умеет DHCP Relay Option 82 , IP-MAC-PORT. Остается

только pppoe - сомнительный выход для наших 100мбит веток (ARPU помним ?)

PPPoE поднимается на пицуке стоимостью $1k. Это копейки. Тем более в

долгосрочной перспективе. Сейчас есть железо, которое умеет все что надо при

стоимости порта $10. Вполне по силам.

Немного отвлекусь от темы. Считать что если мы построим очень хорошую сеть и у

нас сразу все будет хорошо и кастомеры прибегут махая перед носом баблом очень

опасное заблуждение. Но и строить сети дешевле грязи нельзя. Ибо кастомер

избалован, и любит когда ему удобно. А удобно, когда включил и все работает.

Без логинов для туннелей, сертификатов для dot1x и прочей поебени. Это решает.

Не все конечно. Без маркетинга тоже делать нечего. И чем выше конкуренция в

вашей деревне, тем аггресивнее нужен маркетинг. Кастомеры есть стадо, простите

за нелестную аналогию, и им нужен пастух, вкладывающий им в головы что вон на

той поляне трава зеленее, воздух чище и солнце ярче. Ну и эту иллюзию потом

надо поддерживать на уровне. Иначе кастемеры абидяццо и уйдут. Как правило

навсегда.

 

В данном раскладе я готов мирится с гимором Logoff по 802.1x, мелким

воровством траффика друг у друга и прочими прелестями провайдерской жизни в

маленьком городе.

Нас вряд-ли кто купит, а задавить может разве-что телеком, с их чугунными

колесами, в которые можно ввалить столько бабла, что они платиновыми станут.

Задача в нашей сетке извините за каламбур - поуправлять неуправляемым.

По поводу мультикаста - ваша правда, мыльница не осилит, не тот уровень, как

собственно и многое другое.

Вот. А кроме тех, кто зарабатывает себе гемморой дома, есть такие, кто делает

это на работе. Корпоративный сектор (ох и ***ццкое выражение) довольно вкусная

часть рынка. Ибо там при умелом обращении можно снимать бабло. Специфики

много, но оно того стоит. Но куда вас отправят после слов dot1x я думаю вы уже

догадываетесь...

 

P/S

Что-бы сосед себе такой же мак на сетевушку написал он его должен еще увидеть или как-то узнать,

а вариант сканирования или снифинга - исключен.

Security through obscurity.