resident_k Опубликовано 9 декабря, 2009 · Жалоба Начинаем разворачивать сеть, но опыта большого нет в работе с MetroEthernet. Планируем следующую схему: На головной станции, пока еще не определились с выбором коммутатора L3. Нужен коммутатор на 12-16 SFP ports. (или взять с медными гигабитными портами + блок медиаконверторов ???) От головной станции оптика идет на 12-16 микрорайончиков, в каждом из которых 10-15 домов (в основном, 5-ти этажки хрущовки) В каждом из микрорайонов устанавливаем центральный свич GSW-2416SF 24-Port Web Smart Gigabit Ethernet Switch with 16 Shared SFP (видимо, не лучший вариант, но взяли один для тестирования пока работает без нареканий, но и абонентов подключено мало) или D-Link <DGS-3100-24TG> Switch 24port (8 UTP10/100/1000 Mbps + 16 SFP) (дороже чем Planet где-то на $130) Дальше звездой оптика к каждому дому, на домах решили использовать Управляемый L2 коммутатор FoxGate S-6008-S1L2 (8 портов) или Управляемый L2 коммутатор FoxGate S-6024-S1L2 (24 порта) Все SFP-модули - 1Ge. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrеw Опубликовано 9 декабря, 2009 · Жалоба критиковать тут особо нечего, т.к. отсутствует экономически обоснованная физическая и логическая схема предоставления услуг в сети. Судя по тому, как Вы ставите вопрос, особого понимания принципов работы сети оператора ethernet у Вас нет, поэтому неплохо будет изучить матчасть тут и тут (хотя бы за последние 4 года) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
satboy Опубликовано 9 декабря, 2009 · Жалоба C3560G, C3750G Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
resident_k Опубликовано 9 декабря, 2009 · Жалоба критиковать тут особо нечего, т.к. отсутствует экономически обоснованная Спасибо за ссылки. Хорошо хоть не гугль отправили :) Услуги Интернет предоставляем уже около пяти лет, но по другой технологии. Сейчас решили параллельно построить MetroEthernet, так что єкономические обоснования у нас есть. Больше интересуют следующие вопросы - насколько работоспособна такая схема на практике. Один райончик оборудовали, все работает, но абонентов пока мало подключено. Может уже заложены какие-то проблемы в самой такой схеме? C3560G, C3750G Это в качестве центрального коммутатора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 9 декабря, 2009 · Жалоба Сделайте небольшой эксперимент: 1. Возмите простенький свич-"мыльницу", воткните в него абонентский кабель и патчкордом замкните в нем 2 свободных порта. 2. На компе абонента вместо собственного IP-адреса подставте IP-адрес шлюза. 3. На компе абонента вместо собственного МАС-адреса подставте МАС-адрес шлюза. 4. Подайте в абонентский кабель по очереди в разные пары проводков переменку 60В 50Гц (имитация сгоревшей сетевушки на незаземленном компе абонента). Для ограничения тока (дабы не спалить порты) последовательно включить резистор на 10К. После содеянного наблюдайте за тем, как живется остальным абонентам в сети и вашему магистральному оборудованию. Вот тогда и придет понимание оптимальности выбранной схемы и оборудования сети. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
resident_k Опубликовано 9 декабря, 2009 · Жалоба Сделайте небольшой эксперимент:После содеянного наблюдайте за тем, как живется остальным абонентам в сети и вашему магистральному оборудованию. Вот тогда и придет понимание оптимальности выбранной схемы и оборудования сети. :) В домах ставим управляемые свичи, на каждом порту прописываем разрешенный МАС-адрес, в биллинге привязка МАС - IP, таким образом, подмена МАС и IP адреса, т.е. п. 2 и 3 не должны быть сильно актуальны. (хотя умельцы, конечно же найдутся, но их не так много и их можно вычислить). П. 1 и 4, мне кажется,встречаются не так уж часто (может я ошибаюсь?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 9 декабря, 2009 · Жалоба За привязку МАС-а - бить канделяброй по яйцам, после чего кастрировать по самое горло! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
resident_k Опубликовано 9 декабря, 2009 · Жалоба За привязку МАС-а - бить канделяброй по яйцам, после чего кастрировать по самое горло! аргументы есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 9 декабря, 2009 · Жалоба Тут треть форума в этих аргументах, юзайте поиск. Лучше гугловый. http://www.google.ru/search?q=%D0%BF%D1%80...GGGL_en___RU346 Вот хотя бы: http://forum.nag.ru/forum/index.php?showtopic=46616 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
resident_k Опубликовано 9 декабря, 2009 · Жалоба Тут треть форума в этих аргументах, юзайте поиск. Вот хотя бы: Почитал, есть аргументы как за привязку МАСа, так и против. Те что "ЗА", как-то мне больше понравились. Ну уж, по крайней мере, не все так однозначно - "канделябром по яйцам ...". Однако, вопрос не в этом. Вопрос в следующем - будет ли жизнеспособна описанная выше схема. От центрального свича а головной станции - оптика 1Г до района (квартала) В каждом районе свой свич, желательно не очень дорогой по цене, в районе $500-600 (циско в каждый район поставить не сможем - дорого) От центрального районного свича оптика до дома 1Г. В качестве домовых свичей выбрали FoxGate - (с ними кто-то работал на практике?). Что-то я делаю не так - ткните носом :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 9 декабря, 2009 · Жалоба Всё было написано ещё в 2006 году. Чтение вывода поиска - платное: $50/hour, минимальный заказ 4 часа, 100% предоплата Тонкие намёки на ответ на поставленный вопросы - выше в этом треде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 10 декабря, 2009 (изменено) · Жалоба За привязку МАС-а - бить канделяброй по яйцам, после чего кастрировать по самое горло!+ 100Делайте IPoE с vlan-per-user и не морочте никому голову ))) Изменено 10 декабря, 2009 пользователем L-ZiX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
resident_k Опубликовано 10 декабря, 2009 · Жалоба За привязку МАС-а - бить канделяброй по яйцам, после чего кастрировать по самое горло!+ 100Делайте IPoE с vlan-per-user и не морочте никому голову ))) Ok, сделаю. Мне оборудование надо закупать - свич центральный на район с 16 SFP портами, домовые свичи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x86 Опубликовано 10 декабря, 2009 · Жалоба Используем Foxgate на доступе - нормальные свитчи. Если вылетают - только из-за проблем с электропитанием. В приведенной схеме не понятно, будет-ли разбивка по VLAN. В любом случае следует ограничивать broadcast и подумать как бороться со спуфингом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
resident_k Опубликовано 10 декабря, 2009 · Жалоба Используем Foxgate на доступе - нормальные свитчи. Если вылетают - только из-за проблем с электропитанием. благодарю за отзыв, нам тоже понравились эти свитчи, закупили с десяток. В приведенной схеме не понятно, будет-ли разбивка по VLAN. В любом случае следует ограничивать broadcast и подумать как бороться со спуфингом. пока не определились. Это тогда надо на уровне районов коммутатор ставить более продвинутый? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x86 Опубликовано 11 декабря, 2009 · Жалоба пока не определились. Это тогда надо на уровне районов коммутатор ставить более продвинутый?Вообще-то для борьбы со спуфингом я вижу 3 решения.1. Блокировать на доступе используя функционал Access Management, ARP Guard, ARP Scanning Prevention в Foxgate S6224, но этот свитч и подороже будет. 2. Сегментировать пользователей по VLAN и реализовывать защиту на агрегации. Но тогда там-же нужно и терминировать VLANы - а это сразу L3 свитч. 3. Вообще ничего не делать :). НО обязательно нужно реализовать мониторинг попыток спуфинга и автоматическую блокировку портов, с которых он идет - т.е. в итоге получаем п.1, но реализованный софтом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BeS Опубликовано 11 декабря, 2009 · Жалоба НО обязательно нужно реализовать мониторинг попыток спуфинга Каким образом вы мониторите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
resident_k Опубликовано 11 декабря, 2009 (изменено) · Жалоба пока не определились. Это тогда надо на уровне районов коммутатор ставить более продвинутый?Вообще-то для борьбы со спуфингом я вижу 3 решения. а PPPoE не решит эти проблемы? Или тогда надо весь трафик, в т.ч. и локальный через сервер гонять? Изменено 11 декабря, 2009 пользователем resident_k Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x86 Опубликовано 11 декабря, 2009 · Жалоба Каким образом вы мониторите?У нас VLAN-per-user.Для реализации мониторинга обязательно понадобиться привязка MAC к портам( как некий суррогат VLAN в плане отслеживания источника трафика ). А далее arpwatch и контроль IP+MAC в ядре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x86 Опубликовано 11 декабря, 2009 · Жалоба [а PPPoE не решит эти проблемы? Или тогда надо весь трафик, в т.ч. и локальный через сервер гонять?PPPoE оно может и неплохо, но гонят ВЕСЬ трафик через ядро - не комильфо. К тому-же надо бороться с возможными ложными PPPoE-серверами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...