Davion Posted March 31, 2009 Posted March 31, 2009 (edited) Покритикуйте проектик. Оптика до каждого дома, на домах Nortel Baystack 470-24T(VLAN на дом), от них 100мбит аплинк на коммутатор района Nortel Baystack 470-24T с 1Гбит аплинком на ядро сети, а также гигабитное кольцо с другими коммутаторами районов. VLAN с домов по гигабитным аплинкам уходят на центральный коммутатор Cisco Catalyst WS-C3750G-24T который роутит подсети домов. Раздача IP адресов и маршрутов внутренней сети по DHCP. Для доступа в Интернет пользователи подключаются по L2TP к CISCO 7140. Внутри локалки будет P2P. Примерная схема прилагается. p.s. файлы почемуто нецепляет форум)) Edited March 31, 2009 by Davion Вставить ник Quote
Alexandr Ovcharenko Posted March 31, 2009 Posted March 31, 2009 Можно заранее подумать об устранении головной боли с арп- и дхцп-спуфингом, а также о том, что в дальнейшем на дом понадобится 1Г, и сделать так. На дом ставим D-Link DES-3526 (можно 3028 - они малость дешевле), линками 1Г цепляем дома на агрегатор района - D-Link DGS-3100-24TG. Последний в свою очередь цепляем линком 1Г (с запасом волокон для езер-ченела) на ядро cat-3750G. Хочется колец - пожалуйста, делаем кольца между 3100. По деньгам получаем примерно то же самое, но гораздо более функциональное и производительное решение. При этом абсолютно устойчивое к проделкам всяких умников/уродов. У нас примерно так и сделано :) . Вставить ник Quote
vadimus Posted March 31, 2009 Posted March 31, 2009 Да, подтверждаю, Александром описан идеальный вариант. Я тоже так собираюсь сделать. Вставить ник Quote
OLEG Doneck Posted March 31, 2009 Posted March 31, 2009 (edited) Да, подтверждаю, Александром описан идеальный вариант. Я тоже так собираюсь сделать. а есть альтернатива D-Link DGS-3100-24TG той же фирмы но с большим кол-вом sfp и с меньшим? и можно на доступе поставить чтонибудь по проще чем 3028 без ущерба для безопасности? ACL на доступе ненужен, и не планируется запуск иптв и воип... Edited March 31, 2009 by OLEG Doneck Вставить ник Quote
Davion Posted March 31, 2009 Author Posted March 31, 2009 d-link дорого, берется б/у в наге Гиг от свичей доступа ненужен. а Nortel opt.82 может? Вставить ник Quote
mousus Posted March 31, 2009 Posted March 31, 2009 кстати усли речь зашла о б/у коммутаторах и прочей активке, при сдаче в эксплуатацию гоэкспертиза вместе с связьнадзором как смотрят на железо не первой свежести? Вставить ник Quote
Stak Posted March 31, 2009 Posted March 31, 2009 Другой вариант: 1) На доступе - неважно что с 802.1ку (влан на пользователя), звездой в агрегацию 2) На агрегации - циска 3550/3750/45хх/65хх по вкусу - ip unnumbered+dhcp snooping+opt.82 (число SVI=числу влан на домовом свиче доступа (24-96) 3) Брас - 7204 с npe-400 минимум, с ISG (авторизация через радиус по имени пользователя из opt.82, учет тоже.) Вставить ник Quote
Davion Posted March 31, 2009 Author Posted March 31, 2009 Другой вариант: 1) На доступе - неважно что с 802.1ку (влан на пользователя), звездой в агрегацию 2) На агрегации - циска 3550/3750/45хх/65хх по вкусу - ip unnumbered+dhcp snooping+opt.82 (число SVI=числу влан на домовом свиче доступа (24-96) 3) Брас - 7204 с npe-400 минимум, с ISG (авторизация через радиус по имени пользователя из opt.82, учет тоже.) дороговато получается... для небольшого городка некатит... да и каналов таких широких нет чтоб 7204 циску загрузить. Вставить ник Quote
Alexandr Ovcharenko Posted March 31, 2009 Posted March 31, 2009 а есть альтернатива D-Link DGS-3100-24TG той же фирмы но с большим кол-вом sfp и с меньшим?Есть, но дороже. :) и можно на доступе поставить чтонибудь по проще чем 3028 без ущерба для безопасности? ACL на доступе ненужен, и не планируется запуск иптв и воип...АЦЛ не нужен только в схеме "влан на юзера", и то при условии, что терминирует эти вланы циска, а не длинк. Ибо как только юзер (или вирусок) ставит себе адрес шлюза, длинку сильно поплохеет вплоть до летального исхода. А еще юзеры умеют развлекать провайдера тем, что у домашнего роутера типа D-Link DIR-100/300/etc перепутывают порты и втыкают в сторону провайдера LAN-порт. Если при этом у провайдера нет дхцп-снуппинга на доступе, то весь броадкаст-сегмент начинает коннектиться вовсе не к провайдеру :) . Вставить ник Quote
Nag Posted March 31, 2009 Posted March 31, 2009 Имхо - на дома хватит сотки, и самых простых коммутаторов... Лишь бы виланы умели. ;-) Агрегировать сиской, юзать схему вилан на юзера. Вообще, по этой теме через неделю в обзоре статья будет. ;-) Вставить ник Quote
Davion Posted March 31, 2009 Author Posted March 31, 2009 Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь )) Хотелось бы больше услышать о жизнеспособности этой схемы. Вставить ник Quote
Stak Posted March 31, 2009 Posted March 31, 2009 да и каналов таких широких нет чтоб 7204 циску загрузить.Дело не в канале, а в том что ISG начиная с npe-400 есть.Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))А много и не надо, это на доступе влан-на-юзера, а на агрегации максимум 96 svi к примеру. Число пользователей на одну циску ограничено только числом привязок дхцп-снупинга. А их на 65й 8К, а на 76й - 64К. Я эту схему подробно расписывал недавно тут: http://forum.nag.ru/forum/index.php?s=&...st&p=386273 Вставить ник Quote
mystic Posted March 31, 2009 Posted March 31, 2009 Стоит в центре микрорайонов 53хх HP. На каждом доме ProCurve 25xx-26xx. На каждый дом гигабит. Все закольцовано. Вставить ник Quote
D^2 Posted April 1, 2009 Posted April 1, 2009 (edited) Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))Хотелось бы больше услышать о жизнеспособности этой схемы. http://forum.nag.ru/forum/index.php?showto...mp;#entry280965это к слову вланов не напосешься... 3550-24FX в центре соберет 24 аксесных свитча в схеме vlan-per-user + ip unnumbered + dhcp opt.82 + dhcp snooping + ip source guard + dynamic arp inspection + VACL. и не надо на доступ ничего умнее чем свитча с поддержкой dot1.q (+ MVR если надо TVoIP) Edited April 1, 2009 by D^2 Вставить ник Quote
Alexandr Ovcharenko Posted April 1, 2009 Posted April 1, 2009 (edited) Вывод из всего вышеизложенного: чем дешевле оборудование доступа, тем дороже оборудование ядра. ИМХО, для сетей с потолком 1-2К абонентов ставить циски 7ххх + ISG в ядро - это чисто для потешения душеньки осознанием собственной крутизны. Да, конечно, так поступают "очень взрослые дяди телекома", умеющие красиво осваивать инвестиции. Но если вы умеете считать денежки, то схема "d-link 3028 + cat 3750g/3560g + freebsd/linux" для таких сетей более чем достаточна по функционалу и рентабельнее в пару порядков. Edited April 1, 2009 by Alexandr Ovcharenko Вставить ник Quote
vadimus Posted April 1, 2009 Posted April 1, 2009 Вывод из всего вышеизложенного: чем дешевле оборудование доступа, тем дороже оборудование ядра.ИМХО, для сетей с потолком 1-2К абонентов ставить циски 7ххх + ISG в ядро - это чисто для потешения душеньки осознанием собственной крутизны. Да, конечно, так поступают "очень взрослые дяди телекома", умеющие красиво осваивать инвестиции. Но если вы умеете считать денежки, то схема "d-link 3028 + cat 3750g/3560g + freebsd/linux" для таких сетей более чем достаточна по функционалу и рентабельнее в пару порядков. И опять согласен на 100% :-) Вставить ник Quote
Stak Posted April 1, 2009 Posted April 1, 2009 ИМХО, при использовании б.у. циски всё не так плохо как вы описали))) к примеру тот же npe400 1.5K$ стоит (http://shop.nag.ru/core.asp?main=catalog&act=page&id=1356&cat=2). Т.е схема выглядит так: 3028(или даже вплоть до 1228 или 3524XL) + cat 3750g/3560g(тут возможны варианты, но тоже на циске) + ISG(тут по потребностям) Вставить ник Quote
Alexandr Ovcharenko Posted April 1, 2009 Posted April 1, 2009 (edited) Но ведь npe400 надо еще куда-то воткнуть :). То есть еще надо как минимум столько же денег на шасси с портами. А если захочется гиговых портов, то цена вообще уйдет за $10к. А всего за $1.5к можно купить сервер с кучей памяти/сетевух, с показателем наработки на отказ не хуже б/у циски и при этом с гораздо более высокой производительностью. Развернуть на нем Фрю, и поиметь абсолютно весь функционал, какой только душа пожелает. Edited April 1, 2009 by Alexandr Ovcharenko Вставить ник Quote
Stak Posted April 1, 2009 Posted April 1, 2009 Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы. Вставить ник Quote
Kaban Posted April 1, 2009 Posted April 1, 2009 Если выбрать серверную платформу из тех что тут протестировали, то никакого гуру не понадобится. Вставить ник Quote
Alexandr Ovcharenko Posted April 1, 2009 Posted April 1, 2009 Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы. Ну дык и для циски 72 нужен будет кто-то кроме сисадмина-эникейщика широкого профиля. ;-) Вставить ник Quote
sdy_moscow Posted April 1, 2009 Posted April 1, 2009 (edited) Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы. Угу а к циске приложим малограмотного студента - и все сразу заработает.... :-).... Но лично я за линух - с ним проще. Edited April 1, 2009 by sdy_moscow Вставить ник Quote
Davion Posted April 1, 2009 Author Posted April 1, 2009 вообщем из всех рассуждений понял что правильно все делаю))) настройка циско, фребсд, линух, т.д. значения не имеет ибо есть прямые руки которым пофиг что настраивать)) Вставить ник Quote
mousus Posted April 1, 2009 Posted April 1, 2009 а как кстати при сдаче узла связи дяди из связьнадзора и госэкспертизы смотрят на писюки с *nix в качестве софтроутеров? Вставить ник Quote
sdy_moscow Posted April 1, 2009 Posted April 1, 2009 а как кстати при сдаче узла связи дяди из связьнадзора и госэкспертизы смотрят на писюки с *nix в качестве софтроутеров? нормально смотрят... Озадачтесь сертификатом ССС на сервер и проблем не будет. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.