Davion Опубликовано 31 марта, 2009 (изменено) · Жалоба Покритикуйте проектик. Оптика до каждого дома, на домах Nortel Baystack 470-24T(VLAN на дом), от них 100мбит аплинк на коммутатор района Nortel Baystack 470-24T с 1Гбит аплинком на ядро сети, а также гигабитное кольцо с другими коммутаторами районов. VLAN с домов по гигабитным аплинкам уходят на центральный коммутатор Cisco Catalyst WS-C3750G-24T который роутит подсети домов. Раздача IP адресов и маршрутов внутренней сети по DHCP. Для доступа в Интернет пользователи подключаются по L2TP к CISCO 7140. Внутри локалки будет P2P. Примерная схема прилагается. p.s. файлы почемуто нецепляет форум)) Изменено 31 марта, 2009 пользователем Davion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 31 марта, 2009 · Жалоба Можно заранее подумать об устранении головной боли с арп- и дхцп-спуфингом, а также о том, что в дальнейшем на дом понадобится 1Г, и сделать так. На дом ставим D-Link DES-3526 (можно 3028 - они малость дешевле), линками 1Г цепляем дома на агрегатор района - D-Link DGS-3100-24TG. Последний в свою очередь цепляем линком 1Г (с запасом волокон для езер-ченела) на ядро cat-3750G. Хочется колец - пожалуйста, делаем кольца между 3100. По деньгам получаем примерно то же самое, но гораздо более функциональное и производительное решение. При этом абсолютно устойчивое к проделкам всяких умников/уродов. У нас примерно так и сделано :) . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 31 марта, 2009 · Жалоба Да, подтверждаю, Александром описан идеальный вариант. Я тоже так собираюсь сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OLEG Doneck Опубликовано 31 марта, 2009 (изменено) · Жалоба Да, подтверждаю, Александром описан идеальный вариант. Я тоже так собираюсь сделать. а есть альтернатива D-Link DGS-3100-24TG той же фирмы но с большим кол-вом sfp и с меньшим? и можно на доступе поставить чтонибудь по проще чем 3028 без ущерба для безопасности? ACL на доступе ненужен, и не планируется запуск иптв и воип... Изменено 31 марта, 2009 пользователем OLEG Doneck Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 31 марта, 2009 · Жалоба d-link дорого, берется б/у в наге Гиг от свичей доступа ненужен. а Nortel opt.82 может? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mousus Опубликовано 31 марта, 2009 · Жалоба кстати усли речь зашла о б/у коммутаторах и прочей активке, при сдаче в эксплуатацию гоэкспертиза вместе с связьнадзором как смотрят на железо не первой свежести? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 31 марта, 2009 · Жалоба Другой вариант: 1) На доступе - неважно что с 802.1ку (влан на пользователя), звездой в агрегацию 2) На агрегации - циска 3550/3750/45хх/65хх по вкусу - ip unnumbered+dhcp snooping+opt.82 (число SVI=числу влан на домовом свиче доступа (24-96) 3) Брас - 7204 с npe-400 минимум, с ISG (авторизация через радиус по имени пользователя из opt.82, учет тоже.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 31 марта, 2009 · Жалоба Другой вариант: 1) На доступе - неважно что с 802.1ку (влан на пользователя), звездой в агрегацию 2) На агрегации - циска 3550/3750/45хх/65хх по вкусу - ip unnumbered+dhcp snooping+opt.82 (число SVI=числу влан на домовом свиче доступа (24-96) 3) Брас - 7204 с npe-400 минимум, с ISG (авторизация через радиус по имени пользователя из opt.82, учет тоже.) дороговато получается... для небольшого городка некатит... да и каналов таких широких нет чтоб 7204 циску загрузить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 31 марта, 2009 · Жалоба а есть альтернатива D-Link DGS-3100-24TG той же фирмы но с большим кол-вом sfp и с меньшим?Есть, но дороже. :) и можно на доступе поставить чтонибудь по проще чем 3028 без ущерба для безопасности? ACL на доступе ненужен, и не планируется запуск иптв и воип...АЦЛ не нужен только в схеме "влан на юзера", и то при условии, что терминирует эти вланы циска, а не длинк. Ибо как только юзер (или вирусок) ставит себе адрес шлюза, длинку сильно поплохеет вплоть до летального исхода. А еще юзеры умеют развлекать провайдера тем, что у домашнего роутера типа D-Link DIR-100/300/etc перепутывают порты и втыкают в сторону провайдера LAN-порт. Если при этом у провайдера нет дхцп-снуппинга на доступе, то весь броадкаст-сегмент начинает коннектиться вовсе не к провайдеру :) . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 31 марта, 2009 · Жалоба Имхо - на дома хватит сотки, и самых простых коммутаторов... Лишь бы виланы умели. ;-) Агрегировать сиской, юзать схему вилан на юзера. Вообще, по этой теме через неделю в обзоре статья будет. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 31 марта, 2009 · Жалоба Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь )) Хотелось бы больше услышать о жизнеспособности этой схемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 31 марта, 2009 · Жалоба да и каналов таких широких нет чтоб 7204 циску загрузить.Дело не в канале, а в том что ISG начиная с npe-400 есть.Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))А много и не надо, это на доступе влан-на-юзера, а на агрегации максимум 96 svi к примеру. Число пользователей на одну циску ограничено только числом привязок дхцп-снупинга. А их на 65й 8К, а на 76й - 64К. Я эту схему подробно расписывал недавно тут: http://forum.nag.ru/forum/index.php?s=&...st&p=386273 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mystic Опубликовано 31 марта, 2009 · Жалоба Стоит в центре микрорайонов 53хх HP. На каждом доме ProCurve 25xx-26xx. На каждый дом гигабит. Все закольцовано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 1 апреля, 2009 (изменено) · Жалоба Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))Хотелось бы больше услышать о жизнеспособности этой схемы. http://forum.nag.ru/forum/index.php?showto...mp;#entry280965это к слову вланов не напосешься... 3550-24FX в центре соберет 24 аксесных свитча в схеме vlan-per-user + ip unnumbered + dhcp opt.82 + dhcp snooping + ip source guard + dynamic arp inspection + VACL. и не надо на доступ ничего умнее чем свитча с поддержкой dot1.q (+ MVR если надо TVoIP) Изменено 1 апреля, 2009 пользователем D^2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 1 апреля, 2009 (изменено) · Жалоба Вывод из всего вышеизложенного: чем дешевле оборудование доступа, тем дороже оборудование ядра. ИМХО, для сетей с потолком 1-2К абонентов ставить циски 7ххх + ISG в ядро - это чисто для потешения душеньки осознанием собственной крутизны. Да, конечно, так поступают "очень взрослые дяди телекома", умеющие красиво осваивать инвестиции. Но если вы умеете считать денежки, то схема "d-link 3028 + cat 3750g/3560g + freebsd/linux" для таких сетей более чем достаточна по функционалу и рентабельнее в пару порядков. Изменено 1 апреля, 2009 пользователем Alexandr Ovcharenko Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 1 апреля, 2009 · Жалоба Вывод из всего вышеизложенного: чем дешевле оборудование доступа, тем дороже оборудование ядра.ИМХО, для сетей с потолком 1-2К абонентов ставить циски 7ххх + ISG в ядро - это чисто для потешения душеньки осознанием собственной крутизны. Да, конечно, так поступают "очень взрослые дяди телекома", умеющие красиво осваивать инвестиции. Но если вы умеете считать денежки, то схема "d-link 3028 + cat 3750g/3560g + freebsd/linux" для таких сетей более чем достаточна по функционалу и рентабельнее в пару порядков. И опять согласен на 100% :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 1 апреля, 2009 · Жалоба ИМХО, при использовании б.у. циски всё не так плохо как вы описали))) к примеру тот же npe400 1.5K$ стоит (http://shop.nag.ru/core.asp?main=catalog&act=page&id=1356&cat=2). Т.е схема выглядит так: 3028(или даже вплоть до 1228 или 3524XL) + cat 3750g/3560g(тут возможны варианты, но тоже на циске) + ISG(тут по потребностям) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 1 апреля, 2009 (изменено) · Жалоба Но ведь npe400 надо еще куда-то воткнуть :). То есть еще надо как минимум столько же денег на шасси с портами. А если захочется гиговых портов, то цена вообще уйдет за $10к. А всего за $1.5к можно купить сервер с кучей памяти/сетевух, с показателем наработки на отказ не хуже б/у циски и при этом с гораздо более высокой производительностью. Развернуть на нем Фрю, и поиметь абсолютно весь функционал, какой только душа пожелает. Изменено 1 апреля, 2009 пользователем Alexandr Ovcharenko Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 1 апреля, 2009 · Жалоба Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kaban Опубликовано 1 апреля, 2009 · Жалоба Если выбрать серверную платформу из тех что тут протестировали, то никакого гуру не понадобится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 1 апреля, 2009 · Жалоба Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы. Ну дык и для циски 72 нужен будет кто-то кроме сисадмина-эникейщика широкого профиля. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 1 апреля, 2009 (изменено) · Жалоба Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы. Угу а к циске приложим малограмотного студента - и все сразу заработает.... :-).... Но лично я за линух - с ним проще. Изменено 1 апреля, 2009 пользователем sdy_moscow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Davion Опубликовано 1 апреля, 2009 · Жалоба вообщем из всех рассуждений понял что правильно все делаю))) настройка циско, фребсд, линух, т.д. значения не имеет ибо есть прямые руки которым пофиг что настраивать)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mousus Опубликовано 1 апреля, 2009 · Жалоба а как кстати при сдаче узла связи дяди из связьнадзора и госэкспертизы смотрят на писюки с *nix в качестве софтроутеров? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 1 апреля, 2009 · Жалоба а как кстати при сдаче узла связи дяди из связьнадзора и госэкспертизы смотрят на писюки с *nix в качестве софтроутеров? нормально смотрят... Озадачтесь сертификатом ССС на сервер и проблем не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...