Перейти к содержимому
Калькуляторы

проект сети небольшого городка.

Покритикуйте проектик.

Оптика до каждого дома, на домах Nortel Baystack 470-24T(VLAN на дом), от них 100мбит аплинк на коммутатор района Nortel Baystack 470-24T с 1Гбит аплинком на ядро сети, а также гигабитное кольцо с другими коммутаторами районов. VLAN с домов по гигабитным аплинкам уходят на центральный коммутатор Cisco Catalyst WS-C3750G-24T который роутит подсети домов.

Раздача IP адресов и маршрутов внутренней сети по DHCP. Для доступа в Интернет пользователи подключаются по L2TP к CISCO 7140.

Внутри локалки будет P2P.

Примерная схема прилагается.

 

p.s. файлы почемуто нецепляет форум))

Изменено пользователем Davion

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно заранее подумать об устранении головной боли с арп- и дхцп-спуфингом, а также о том, что в дальнейшем на дом понадобится 1Г, и сделать так.

На дом ставим D-Link DES-3526 (можно 3028 - они малость дешевле), линками 1Г цепляем дома на агрегатор района - D-Link DGS-3100-24TG. Последний в свою очередь цепляем линком 1Г (с запасом волокон для езер-ченела) на ядро cat-3750G. Хочется колец - пожалуйста, делаем кольца между 3100.

По деньгам получаем примерно то же самое, но гораздо более функциональное и производительное решение. При этом абсолютно устойчивое к проделкам всяких умников/уродов. У нас примерно так и сделано :) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, подтверждаю, Александром описан идеальный вариант. Я тоже так собираюсь сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, подтверждаю, Александром описан идеальный вариант. Я тоже так собираюсь сделать.

а есть альтернатива D-Link DGS-3100-24TG той же фирмы но с большим кол-вом sfp и с меньшим? и можно на доступе поставить чтонибудь по проще чем 3028 без ущерба для безопасности? ACL на доступе ненужен, и не планируется запуск иптв и воип...

Изменено пользователем OLEG Doneck

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

d-link дорого, берется б/у в наге

Гиг от свичей доступа ненужен.

 

а Nortel opt.82 может?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кстати усли речь зашла о б/у коммутаторах и прочей активке, при сдаче в эксплуатацию гоэкспертиза вместе с связьнадзором как смотрят на железо не первой свежести?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Другой вариант:

1) На доступе - неважно что с 802.1ку (влан на пользователя), звездой в агрегацию

2) На агрегации - циска 3550/3750/45хх/65хх по вкусу - ip unnumbered+dhcp snooping+opt.82 (число SVI=числу влан на домовом свиче доступа (24-96)

3) Брас - 7204 с npe-400 минимум, с ISG (авторизация через радиус по имени пользователя из opt.82, учет тоже.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Другой вариант:

1) На доступе - неважно что с 802.1ку (влан на пользователя), звездой в агрегацию

2) На агрегации - циска 3550/3750/45хх/65хх по вкусу - ip unnumbered+dhcp snooping+opt.82 (число SVI=числу влан на домовом свиче доступа (24-96)

3) Брас - 7204 с npe-400 минимум, с ISG (авторизация через радиус по имени пользователя из opt.82, учет тоже.)

дороговато получается... для небольшого городка некатит... да и каналов таких широких нет чтоб 7204 циску загрузить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а есть альтернатива D-Link DGS-3100-24TG той же фирмы но с большим кол-вом sfp и с меньшим?
Есть, но дороже. :)

 

и можно на доступе поставить чтонибудь по проще чем 3028 без ущерба для безопасности? ACL на доступе ненужен, и не планируется запуск иптв и воип...
АЦЛ не нужен только в схеме "влан на юзера", и то при условии, что терминирует эти вланы циска, а не длинк. Ибо как только юзер (или вирусок) ставит себе адрес шлюза, длинку сильно поплохеет вплоть до летального исхода. А еще юзеры умеют развлекать провайдера тем, что у домашнего роутера типа D-Link DIR-100/300/etc перепутывают порты и втыкают в сторону провайдера LAN-порт. Если при этом у провайдера нет дхцп-снуппинга на доступе, то весь броадкаст-сегмент начинает коннектиться вовсе не к провайдеру :) .

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Имхо - на дома хватит сотки, и самых простых коммутаторов... Лишь бы виланы умели. ;-)

Агрегировать сиской, юзать схему вилан на юзера.

Вообще, по этой теме через неделю в обзоре статья будет. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))

Хотелось бы больше услышать о жизнеспособности этой схемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да и каналов таких широких нет чтоб 7204 циску загрузить.
Дело не в канале, а в том что ISG начиная с npe-400 есть.
Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))
А много и не надо, это на доступе влан-на-юзера, а на агрегации максимум 96 svi к примеру. Число пользователей на одну циску ограничено только числом привязок дхцп-снупинга. А их на 65й 8К, а на 76й - 64К. Я эту схему подробно расписывал недавно тут: http://forum.nag.ru/forum/index.php?s=&amp...st&p=386273

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стоит в центре микрорайонов 53хх HP. На каждом доме ProCurve 25xx-26xx. На каждый дом гигабит. Все закольцовано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну если вилан на юзера тогда цисок не напосешся, много виланов там не поднимешь ))

Хотелось бы больше услышать о жизнеспособности этой схемы.

http://forum.nag.ru/forum/index.php?showto...mp;#entry280965

это к слову вланов не напосешься...

3550-24FX в центре соберет 24 аксесных свитча в схеме vlan-per-user + ip unnumbered + dhcp opt.82 + dhcp snooping + ip source guard + dynamic arp inspection + VACL. и не надо на доступ ничего умнее чем свитча с поддержкой dot1.q (+ MVR если надо TVoIP)

Изменено пользователем D^2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вывод из всего вышеизложенного: чем дешевле оборудование доступа, тем дороже оборудование ядра.

ИМХО, для сетей с потолком 1-2К абонентов ставить циски 7ххх + ISG в ядро - это чисто для потешения душеньки осознанием собственной крутизны. Да, конечно, так поступают "очень взрослые дяди телекома", умеющие красиво осваивать инвестиции. Но если вы умеете считать денежки, то схема "d-link 3028 + cat 3750g/3560g + freebsd/linux" для таких сетей более чем достаточна по функционалу и рентабельнее в пару порядков.

Изменено пользователем Alexandr Ovcharenko

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вывод из всего вышеизложенного: чем дешевле оборудование доступа, тем дороже оборудование ядра.

ИМХО, для сетей с потолком 1-2К абонентов ставить циски 7ххх + ISG в ядро - это чисто для потешения душеньки осознанием собственной крутизны. Да, конечно, так поступают "очень взрослые дяди телекома", умеющие красиво осваивать инвестиции. Но если вы умеете считать денежки, то схема "d-link 3028 + cat 3750g/3560g + freebsd/linux" для таких сетей более чем достаточна по функционалу и рентабельнее в пару порядков.

И опять согласен на 100% :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ИМХО, при использовании б.у. циски всё не так плохо как вы описали))) к примеру тот же npe400 1.5K$ стоит (http://shop.nag.ru/core.asp?main=catalog&act=page&id=1356&cat=2).

Т.е схема выглядит так:

3028(или даже вплоть до 1228 или 3524XL) + cat 3750g/3560g(тут возможны варианты, но тоже на циске) + ISG(тут по потребностям)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но ведь npe400 надо еще куда-то воткнуть :). То есть еще надо как минимум столько же денег на шасси с портами. А если захочется гиговых портов, то цена вообще уйдет за $10к.

А всего за $1.5к можно купить сервер с кучей памяти/сетевух, с показателем наработки на отказ не хуже б/у циски и при этом с гораздо более высокой производительностью. Развернуть на нем Фрю, и поиметь абсолютно весь функционал, какой только душа пожелает.

Изменено пользователем Alexandr Ovcharenko

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если выбрать серверную платформу из тех что тут протестировали, то никакого гуру не понадобится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы.

Ну дык и для циски 72 нужен будет кто-то кроме сисадмина-эникейщика широкого профиля. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конечно можно и так. И к серверу на фре в комплекте гуру приложить, дабы настраивал и устранял проблемы.

Угу а к циске приложим малограмотного студента - и все сразу заработает.... :-)....

 

Но лично я за линух - с ним проще.

Изменено пользователем sdy_moscow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вообщем из всех рассуждений понял что правильно все делаю))) настройка циско, фребсд, линух, т.д. значения не имеет ибо есть прямые руки которым пофиг что настраивать))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а как кстати при сдаче узла связи дяди из связьнадзора и госэкспертизы смотрят на писюки с *nix в качестве софтроутеров?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а как кстати при сдаче узла связи дяди из связьнадзора и госэкспертизы смотрят на писюки с *nix в качестве софтроутеров?

нормально смотрят...

Озадачтесь сертификатом ССС на сервер и проблем не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.