Jump to content
Калькуляторы

проект сети небольшого городка.

Покритикуйте проектик.

Оптика до каждого дома, на домах Nortel Baystack 470-24T(VLAN на дом), от них 100мбит аплинк на коммутатор района Nortel Baystack 470-24T с 1Гбит аплинком на ядро сети, а также гигабитное кольцо с другими коммутаторами районов. VLAN с домов по гигабитным аплинкам уходят на центральный коммутатор Cisco Catalyst WS-C3750G-24T который роутит подсети домов.

Раздача IP адресов и маршрутов внутренней сети по DHCP. Для доступа в Интернет пользователи подключаются по L2TP к CISCO 7140.

Внутри локалки будет P2P.

Примерная схема прилагается.

 

p.s. файлы почемуто нецепляет форум))

Edited by Davion

Share this post


Link to post
Share on other sites

Можно заранее подумать об устранении головной боли с арп- и дхцп-спуфингом, а также о том, что в дальнейшем на дом понадобится 1Г, и сделать так.

На дом ставим D-Link DES-3526 (можно 3028 - они малость дешевле), линками 1Г цепляем дома на агрегатор района - D-Link DGS-3100-24TG. Последний в свою очередь цепляем линком 1Г (с запасом волокон для езер-ченела) на ядро cat-3750G. Хочется колец - пожалуйста, делаем кольца между 3100.

По деньгам получаем примерно то же самое, но гораздо более функциональное и производительное решение. При этом абсолютно устойчивое к проделкам всяких умников/уродов. У нас примерно так и сделано :) .

Share this post


Link to post
Share on other sites

Да, подтверждаю, Александром описан идеальный вариант. Я тоже так собираюсь сделать.

Share this post


Link to post
Share on other sites

Да, подтверждаю, Александром описан идеальный вариант. Я тоже так собираюсь сделать.

а есть альтернатива D-Link DGS-3100-24TG той же фирмы но с большим кол-вом sfp и с меньшим? и можно на доступе поставить чтонибудь по проще чем 3028 без ущерба для безопасности? ACL на доступе ненужен, и не планируется запуск иптв и воип...

Edited by OLEG Doneck

Share this post


Link to post
Share on other sites

d-link дорого, берется б/у в наге

Гиг от свичей доступа ненужен.

 

а Nortel opt.82 может?

Share this post


Link to post
Share on other sites

кстати усли речь зашла о б/у коммутаторах и прочей активке, при сдаче в эксплуатацию гоэкспертиза вместе с связьнадзором как смотрят на железо не первой свежести?

Share this post


Link to post
Share on other sites

Другой вариант:

1) На доступе - неважно что с 802.1ку (влан на пользователя), звездой в агрегацию

2) На агрегации - циска 3550/3750/45хх/65хх по вкусу - ip unnumbered+dhcp snooping+opt.82 (число SVI=числу влан на домовом свиче доступа (24-96)

3) Брас - 7204 с npe-400 минимум, с ISG (авторизация через радиус по имени пользователя из opt.82, учет тоже.)

Share this post


Link to post
Share on other sites
Другой вариант:

1) На доступе - неважно что с 802.1ку (влан на пользователя), звездой в агрегацию

2) На агрегации - циска 3550/3750/45хх/65хх по вкусу - ip unnumbered+dhcp snooping+opt.82 (число SVI=числу влан на домовом свиче доступа (24-96)

3) Брас - 7204 с npe-400 минимум, с ISG (авторизация через радиус по имени пользователя из opt.82, учет тоже.)

дороговато получается... для небольшого городка некатит... да и каналов таких широких нет чтоб 7204 циску загрузить.

Share this post


Link to post
Share on other sites
а есть альтернатива D-Link DGS-3100-24TG той же фирмы но с большим кол-вом sfp и с меньшим?
Есть, но дороже. :)

 

и можно на доступе поставить чтонибудь по проще чем 3028 без ущерба для безопасности? ACL на доступе ненужен, и не планируется запуск иптв и воип...
АЦЛ не нужен только в схеме "влан на юзера", и то при условии, что терминирует эти вланы циска, а не длинк. Ибо как только юзер (или вирусок) ставит себе адрес шлюза, длинку сильно поплохеет вплоть до летального исхода. А еще юзеры умеют развлекать провайдера тем, что у домашнего роутера типа D-Link DIR-100/300/etc перепутывают порты и втыкают в сторону провайдера LAN-порт. Если при этом у провайдера нет дхцп-снуппинга на доступе, то весь броадкаст-сегмент начинает коннектиться вовсе не к провайдеру :) .

 

Share this post


Link to post
Share on other sites

Имхо - на дома хватит сотки, и самых простых коммутаторов... Лишь бы виланы умели. ;-)

Агрегировать сиской, юзать схему вилан на юзера.

Вообще, по этой теме через неделю в обзоре статья будет. ;-)

Share this post


Link to post
Share on other sites

Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))

Хотелось бы больше услышать о жизнеспособности этой схемы.

Share this post


Link to post
Share on other sites
да и каналов таких широких нет чтоб 7204 циску загрузить.
Дело не в канале, а в том что ISG начиная с npe-400 есть.
Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))
А много и не надо, это на доступе влан-на-юзера, а на агрегации максимум 96 svi к примеру. Число пользователей на одну циску ограничено только числом привязок дхцп-снупинга. А их на 65й 8К, а на 76й - 64К. Я эту схему подробно расписывал недавно тут: http://forum.nag.ru/forum/index.php?s=&amp...st&p=386273

 

Share this post


Link to post
Share on other sites

Стоит в центре микрорайонов 53хх HP. На каждом доме ProCurve 25xx-26xx. На каждый дом гигабит. Все закольцовано.

Share this post


Link to post
Share on other sites
Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))

Хотелось бы больше услышать о жизнеспособности этой схемы.

http://forum.nag.ru/forum/index.php?showto...mp;#entry280965

это к слову вланов не напосешься...

3550-24FX в центре соберет 24 аксесных свитча в схеме vlan-per-user + ip unnumbered + dhcp opt.82 + dhcp snooping + ip source guard + dynamic arp inspection + VACL. и не надо на доступ ничего умнее чем свитча с поддержкой dot1.q (+ MVR если надо TVoIP)

Edited by D^2

Share this post


Link to post
Share on other sites

Вывод из всего вышеизложенного: чем дешевле оборудование доступа, тем дороже оборудование ядра.

ИМХО, для сетей с потолком 1-2К абонентов ставить циски 7ххх + ISG в ядро - это чисто для потешения душеньки осознанием собственной крутизны. Да, конечно, так поступают "очень взрослые дяди телекома", умеющие красиво осваивать инвестиции. Но если вы умеете считать денежки, то схема "d-link 3028 + cat 3750g/3560g + freebsd/linux" для таких сетей более чем достаточна по функционалу и рентабельнее в пару порядков.

Edited by Alexandr Ovcharenko

Share this post


Link to post
Share on other sites
Вывод из всего вышеизложенного: чем дешевле оборудование доступа, тем дороже оборудование ядра.

ИМХО, для сетей с потолком 1-2К абонентов ставить циски 7ххх + ISG в ядро - это чисто для потешения душеньки осознанием собственной крутизны. Да, конечно, так поступают "очень взрослые дяди телекома", умеющие красиво осваивать инвестиции. Но если вы умеете считать денежки, то схема "d-link 3028 + cat 3750g/3560g + freebsd/linux" для таких сетей более чем достаточна по функционалу и рентабельнее в пару порядков.

И опять согласен на 100% :-)

Share this post


Link to post
Share on other sites

ИМХО, при использовании б.у. циски всё не так плохо как вы описали))) к примеру тот же npe400 1.5K$ стоит (http://shop.nag.ru/core.asp?main=catalog&act=page&id=1356&cat=2).

Т.е схема выглядит так:

3028(или даже вплоть до 1228 или 3524XL) + cat 3750g/3560g(тут возможны варианты, но тоже на циске) + ISG(тут по потребностям)

Share this post


Link to post
Share on other sites

Но ведь npe400 надо еще куда-то воткнуть :). То есть еще надо как минимум столько же денег на шасси с портами. А если захочется гиговых портов, то цена вообще уйдет за $10к.

А всего за $1.5к можно купить сервер с кучей памяти/сетевух, с показателем наработки на отказ не хуже б/у циски и при этом с гораздо более высокой производительностью. Развернуть на нем Фрю, и поиметь абсолютно весь функционал, какой только душа пожелает.

Edited by Alexandr Ovcharenko

Share this post


Link to post
Share on other sites

Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы.

Share this post


Link to post
Share on other sites

Если выбрать серверную платформу из тех что тут протестировали, то никакого гуру не понадобится.

Share this post


Link to post
Share on other sites

Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы.

Ну дык и для циски 72 нужен будет кто-то кроме сисадмина-эникейщика широкого профиля. ;-)

Share this post


Link to post
Share on other sites
Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы.

Угу а к циске приложим малограмотного студента - и все сразу заработает.... :-)....

 

Но лично я за линух - с ним проще.

Edited by sdy_moscow

Share this post


Link to post
Share on other sites

вообщем из всех рассуждений понял что правильно все делаю))) настройка циско, фребсд, линух, т.д. значения не имеет ибо есть прямые руки которым пофиг что настраивать))

Share this post


Link to post
Share on other sites

а как кстати при сдаче узла связи дяди из связьнадзора и госэкспертизы смотрят на писюки с *nix в качестве софтроутеров?

Share this post


Link to post
Share on other sites
а как кстати при сдаче узла связи дяди из связьнадзора и госэкспертизы смотрят на писюки с *nix в качестве софтроутеров?

нормально смотрят...

Озадачтесь сертификатом ССС на сервер и проблем не будет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this