[resident_k]

Начинаем разворачивать сеть, но опыта большого нет в работе с MetroEthernet.

Планируем следующую схему:

 

На головной станции, пока еще не определились с выбором коммутатора L3. Нужен коммутатор на 12-16 SFP ports. (или взять с медными гигабитными портами + блок медиаконверторов ???)

От головной станции оптика идет на 12-16 микрорайончиков, в каждом из которых 10-15 домов (в основном, 5-ти этажки хрущовки)

 

 

В каждом из микрорайонов устанавливаем центральный свич

GSW-2416SF 24-Port Web Smart Gigabit Ethernet Switch with 16 Shared SFP (видимо, не лучший вариант, но взяли один для тестирования пока работает без нареканий, но и абонентов подключено мало)

или

D-Link <DGS-3100-24TG> Switch 24port (8 UTP10/100/1000 Mbps + 16 SFP) (дороже чем Planet где-то на $130)

 

 

Дальше звездой оптика к каждому дому, на домах решили использовать

Управляемый L2 коммутатор FoxGate S-6008-S1L2 (8 портов)

или

Управляемый L2 коммутатор FoxGate S-6024-S1L2 (24 порта)

 

Все SFP-модули - 1Ge.

[Andrеw]

критиковать тут особо нечего, т.к. отсутствует экономически обоснованная физическая и логическая схема предоставления услуг в сети. Судя по тому, как Вы ставите вопрос, особого понимания принципов работы сети оператора ethernet у Вас нет, поэтому неплохо будет изучить матчасть тут и тут (хотя бы за последние 4 года)

[satboy]

C3560G, C3750G

 

 

[resident_k]

критиковать тут особо нечего, т.к. отсутствует экономически обоснованная

Спасибо за ссылки. Хорошо хоть не гугль отправили :) Услуги Интернет предоставляем уже около пяти лет, но по другой технологии. Сейчас решили параллельно построить MetroEthernet, так что єкономические обоснования у нас есть. Больше интересуют следующие вопросы - насколько работоспособна такая схема на практике. Один райончик оборудовали, все работает, но абонентов пока мало подключено. Может уже заложены какие-то проблемы в самой такой схеме?

 

 

C3560G, C3750G

Это в качестве центрального коммутатора?

 

[Alexandr Ovcharenko]

Сделайте небольшой эксперимент:

1. Возмите простенький свич-"мыльницу", воткните в него абонентский кабель и патчкордом замкните в нем 2 свободных порта.

2. На компе абонента вместо собственного IP-адреса подставте IP-адрес шлюза.

3. На компе абонента вместо собственного МАС-адреса подставте МАС-адрес шлюза.

4. Подайте в абонентский кабель по очереди в разные пары проводков переменку 60В 50Гц (имитация сгоревшей сетевушки на незаземленном компе абонента). Для ограничения тока (дабы не спалить порты) последовательно включить резистор на 10К.

 

После содеянного наблюдайте за тем, как живется остальным абонентам в сети и вашему магистральному оборудованию. Вот тогда и придет понимание оптимальности выбранной схемы и оборудования сети. :)

[resident_k]

Сделайте небольшой эксперимент:

После содеянного наблюдайте за тем, как живется остальным абонентам в сети и вашему магистральному оборудованию. Вот тогда и придет понимание оптимальности выбранной схемы и оборудования сети. :)

В домах ставим управляемые свичи, на каждом порту прописываем разрешенный МАС-адрес, в биллинге привязка МАС - IP, таким образом, подмена МАС и IP адреса, т.е. п. 2 и 3 не должны быть сильно актуальны. (хотя умельцы, конечно же найдутся, но их не так много и их можно вычислить).

 

П. 1 и 4, мне кажется,встречаются не так уж часто (может я ошибаюсь?)

 

[vIv]

За привязку МАС-а - бить канделяброй по яйцам, после чего кастрировать по самое горло!

[resident_k]

За привязку МАС-а - бить канделяброй по яйцам, после чего кастрировать по самое горло!

аргументы есть?

[vIv]

Тут треть форума в этих аргументах, юзайте поиск. Лучше гугловый. http://www.google.ru/search?q=%D0%BF%D1%80...GGGL_en___RU346

Вот хотя бы: http://forum.nag.ru/forum/index.php?showtopic=46616

[resident_k]

Тут треть форума в этих аргументах, юзайте поиск.

Вот хотя бы:

Почитал, есть аргументы как за привязку МАСа, так и против. Те что "ЗА", как-то мне больше понравились. Ну уж, по крайней мере, не все так однозначно - "канделябром по яйцам ...". Однако, вопрос не в этом.

 

Вопрос в следующем - будет ли жизнеспособна описанная выше схема.

 

От центрального свича а головной станции - оптика 1Г до района (квартала)

В каждом районе свой свич, желательно не очень дорогой по цене, в районе $500-600 (циско в каждый район поставить не сможем - дорого)

 

От центрального районного свича оптика до дома 1Г. В качестве домовых свичей выбрали FoxGate - (с ними кто-то работал на практике?).

 

Что-то я делаю не так - ткните носом :)

[vIv]

Всё было написано ещё в 2006 году.

Чтение вывода поиска - платное: $50/hour, минимальный заказ 4 часа, 100% предоплата

Тонкие намёки на ответ на поставленный вопросы - выше в этом треде.

[L-ZiX]

За привязку МАС-а - бить канделяброй по яйцам, после чего кастрировать по самое горло!

+ 100

Делайте IPoE с vlan-per-user и не морочте никому голову )))

Изменено 10 декабря, 2009 пользователем L-ZiX

[resident_k]

За привязку МАС-а - бить канделяброй по яйцам, после чего кастрировать по самое горло!

+ 100

Делайте IPoE с vlan-per-user и не морочте никому голову )))

Ok, сделаю.

Мне оборудование надо закупать - свич центральный на район с 16 SFP портами, домовые свичи.

[x86]

Используем Foxgate на доступе - нормальные свитчи. Если вылетают - только из-за проблем с электропитанием.

В приведенной схеме не понятно, будет-ли разбивка по VLAN. В любом случае следует ограничивать broadcast и подумать как бороться со спуфингом.

[resident_k]

Используем Foxgate на доступе - нормальные свитчи. Если вылетают - только из-за проблем с электропитанием.

благодарю за отзыв, нам тоже понравились эти свитчи, закупили с десяток.

 

В приведенной схеме не понятно, будет-ли разбивка по VLAN. В любом случае следует ограничивать broadcast и подумать как бороться со спуфингом.

пока не определились. Это тогда надо на уровне районов коммутатор ставить более продвинутый?

[x86]

пока не определились. Это тогда надо на уровне районов коммутатор ставить более продвинутый?

Вообще-то для борьбы со спуфингом я вижу 3 решения.

1. Блокировать на доступе используя функционал Access Management, ARP Guard, ARP Scanning Prevention в Foxgate S6224, но этот свитч и подороже будет.

2. Сегментировать пользователей по VLAN и реализовывать защиту на агрегации. Но тогда там-же нужно и терминировать VLANы - а это сразу L3 свитч.

3. Вообще ничего не делать :). НО обязательно нужно реализовать мониторинг попыток спуфинга и автоматическую блокировку портов, с которых он идет - т.е. в итоге получаем п.1, но реализованный софтом.

 

[BeS]

НО обязательно нужно реализовать мониторинг попыток спуфинга

Каким образом вы мониторите?

 

[resident_k]

пока не определились. Это тогда надо на уровне районов коммутатор ставить более продвинутый?

Вообще-то для борьбы со спуфингом я вижу 3 решения.

а PPPoE не решит эти проблемы? Или тогда надо весь трафик, в т.ч. и локальный через сервер гонять?

Изменено 11 декабря, 2009 пользователем resident_k

[x86]

Каким образом вы мониторите?

У нас VLAN-per-user.

Для реализации мониторинга обязательно понадобиться привязка MAC к портам( как некий суррогат VLAN в плане отслеживания источника трафика ). А далее arpwatch и контроль IP+MAC в ядре.

 

[x86]

[а PPPoE не решит эти проблемы? Или тогда надо весь трафик, в т.ч. и локальный через сервер гонять?

PPPoE оно может и неплохо, но гонят ВЕСЬ трафик через ядро - не комильфо. К тому-же надо бороться с возможными ложными PPPoE-серверами.