[darkagent]

если они собираются все на одном шлюзе (или если на разных шлюзах, но между ними есть маршрутизация) - то оно все по умолчанию и будет. если только речь не про "сетевое окружение", где работа "через шлюз" просто изолирует всех по своим броадкастовым доменам.

[kf72]

при маршрутизации будет фильтрация бродкастов?

[darkagent]

не то чтобы фильтрация. по сути у каждого vlan'а будет своей broadcast-домен, а иначе тогда теряется смысл в сегментировании, если вы собрались гонять броадкаст сквозняком по всей сети. и поверьте - это не есть хорошо.

[kf72]

сейчас так и есть.. надо сеть нарезать на сегменты

сейчас: мыльницы на доступе -> узловой L2 -> ядро L2 ->бордер-> инет

планируемая сеть: мыльницы на доступе -> узловой L2 -> ядро L3 ->бордер-> инет

если вы собрались гонять броадкаст сквозняком по всей сети...

расскажите как сделать правильно. На агрегации виланов планируется коммутатор L3. Можно ли будет обойтись без переписывания адресов у пользователей. или проще включить изоляцию портов? Я вижу 2 варианта:

 

1-й на узловых коммутаторах включаем изоляцию портов - трафик идет в центр, на L3 пишем правила - что-то запрещаем, что-то разрешаем. все пользователи в одном вилане.

 

2-й ,как я понимаю, классический .. на узле на L2 поднят виртуальный интерфейс, он служит шлюзом для например /24 подсети и все что пришло отправляется в центр. На L2 untag можно только 1 вилан на порт поэтому объединяются сегменты на L3. Такого коммутатора еще в руках не держал, если ошибаюсь поправьте.

 

3-й.. на L2 в сторону мыльниц разные access виланы (по одному на порт), аплинковый порт в trunk на L3 как-то их объединять... у пользователей шлюзом адрес бордера, адреса любые (можно и /32).. будет ли такое работать?

[Nafanya]

сейчас так и есть.. надо сеть нарезать на сегменты

сейчас: мыльницы на доступе -> узловой L2 -> ядро L2 ->бордер-> инет

планируемая сеть: мыльницы на доступе -> узловой L2 -> ядро L3 ->бордер-> инет

Как вы хотите авторизовывать пользователей? Начните с этого вопроса.

[kf72]

Как вы хотите авторизовывать пользователей?

ип статические. локалку не обсчитываем. За интернет отвечает биллинг (ТИ). неплательщиков баним L2NG, злостных отключаем физически.

сейчас живых порядка 700.. предел города 2 тысячи абонентов

Изменено 26 декабря, 2009 пользователем kf72

[darkagent]

все что касается маршрутизируемых интерфейсов - это уже L3.

во время всеобщей паники касательно маков на 3028, представители длинка предлагали такой вариант - влан на свитч, поднимать до узлов, а оттуда уже при необходимости поднимать по QinQ до ядра. но не в qinq суть, а в том что сегментация по вланам - рекомендуемая стратегия. некоторые доводят это до уровня vlan на пользователя. в статьях нага это не так давно кто то опубликовывал кстати.

собирать всех абонов в одном влане - не есть хорошо. а если учесть что на доступе у вас мыльницы - это вообще противопоказано. не дай бог вам когда нибудь повстречать такого зверя как arp-spoofing.

и кстати от мыльниц можно вполне бюджетно уйти, а вот как - зависит от ваших потребностей - для начала запросите производителей железа, чтоб вам предложили бюджетные варианты железа под ваши нужды. сначала у одних, потом у других.

если заранее заложить в сеть адекватные коммутаторы на доступ - вы в дальнейшем будете экономить на диагностике и тех.обслуживании сети. это как в свое время "межподъездная медь vs волокно/через крышу" - медь дешевле, но при каждой грозе.. вообщем сами понимаете.

[Nafanya]

Как вы хотите авторизовывать пользователей?

ип статические. локалку не считаем. За интернет отвечает биллинг (ТИ). неплательщиков баним L2NG, злостных отключаем физически.

А если я, допустим возьму ip-адрес(и mac-адрес) своего соседа и начну юзать его инет. Ваши действия?

По сути утилита L2NG это обычный подточенный спуфер. Я запускаю у себя дома такой же L2NG(или аналог) и становлюсь вторым управляющим своей подсети(в вашем случае целого микрорайона). Что будете делать Вы? :)

 

Ну и последний вопрос. Чьи инвестиции? Ваши или привлечённые со стороны?

Изменено 26 декабря, 2009 пользователем Nafanya

[kf72]

хочется конкретики исходя из имеющихся условий.. 150 домов * 4 (самый дешевый вариант (длинк 2108 не предлагать)) тыр = 600 тыр на коммутаторы доступа сейчас не потянуть. для начала влан на узел 7-8 домов, потом на дом.. всякий раз перенастраивать абонентов не вариант.

дхцп из-за мыльниц на доступе не подходит. vpn / ppoe - не умеют его домохозяйки настраивать. пугаются и убегают

 

Я запускаю у себя дома такой же L2NG(или аналог)

путем выдергивания проводов (сегментов) такой умник вычисляется и его подвяленное чучело навсегда отобъет охоту совершать подобные поступки..

есть дебилы которые и оптику режут...

 

 

Ну и последний вопрос. Чьи инвестиции? Ваши или привлечённые со стороны?

инвестиции были давно на сеть на 200 абонентов.. развиваемся из оборота.

 

вот приедет L3.. а у меня в голове еще картинка не сформирована.... настрадался уже из-за необдуманных поступков коллег... раньше писал как абонентов теряли. не хочется на живых людях эксперименты проводить

Изменено 26 декабря, 2009 пользователем kf72

[Nafanya]

хочется конкретики исходя из имеющихся условий.. 150 домов * 4 (самый дешевый вариант (длинк 2108 не предлагать)) тыр = 600 тыр на коммутаторы доступа сейчас не потянуть. для начала влан на узел 7-8 домов, потом на дом.. всякий раз перенастраивать абонентов не вариант.

дхцп из-за мыльниц на доступе не подходит. vpn / ppoe - не умеют его домохозяйки настраивать. пугаются и убегают

т.е. у Вас сейчас уже есть рабочая сеть с отлаженными механизмами. Почему не следуете им?

 

вот приедет L3.. а у меня в голове еще картинка не сформирована.... настрадался уже из-за необдуманных поступков коллег... раньше писал как абонентов теряли.

Это называется побежали вперёд паровоза. И сейчас он Вас догоняет :)

Изменено 26 декабря, 2009 пользователем Nafanya

[kf72]

Почему не следуете им?

епрст.. все в одном вилане... выдаваемые /32 легко превратятся в /24 или /16... (была /16) и облегчения не приносит.. сеть трясет, пакеты теряются.

 

уважаемый NAG - добавьте в проекты описалово по сегментированию сети (настройке виланов) с примерной конфигурацией на доступ, узел, ядро...

чтоб локалка быстро и просто, инет отдельно и желательно с приоретизацией... и какое оборудование на кол-во пользователей / внешний канал.. (что с чем справляется) - опыт готовых и успешных проектов есть.. а то приходится при покупке любой железки свою печальную историю менеджеру пересказывать, а у него другие задачи..

 

в который раз на вопрос "а чего делать-то" пространные рассуждения на тему "ой как у вас все запущено"

Изменено 26 декабря, 2009 пользователем kf72

[Nafanya]

уважаемый NAG - добавьте в проекты описалово по сегментированию сети (настройке виланов) с примерной конфигурацией на доступ, узел, ядро...

Для чего? У всех производителей оборудования есть документация, там это всё описано.

 

в который раз на вопрос "а чего делать-то" пространные рассуждения на тему "ой как у вас все запущено"

Да пока не получается конкретней. Ибо из того, что вы упомянули про ТИ, L2NG, 150домов, нет денег, пакеты теряются, сеть колбасит, скоро приедет мифическая L3, домохозяйки не знают о pppoe\pptp никаких советов хороших не получится.

[Konstantin Klimchev]

уважаемый NAG - добавьте в проекты описалово по сегментированию сети (настройке виланов) с примерной конфигурацией на доступ, узел, ядро...

чтоб локалка быстро и просто, инет отдельно и желательно с приоретизацией... и какое оборудование на кол-во пользователей / внешний канал.. (что с чем справляется) - опыт готовых и успешных проектов есть.. а то приходится при покупке любой железки свою печальную историю менеджеру пересказывать, а у него другие задачи..

что-то мне кажется, что хотелки вы не по адресу.... Вам с этим к интегратору....

ЗЫ. не обижайтесь, но то что вы хотите стоит денег...

[Voicemaster]

Такие интригаторам нах не нужны.

[kf72]

что-то мне кажется, что хотелки вы не по адресу.... Вам с этим к интегратору....

ЗЫ. не обижайтесь, но то что вы хотите стоит денег...

интеграторы типа инопланетяне чтоли с тайными познаниями..??? во всех доках про vlan написано как разделить сеть чтобы комп А видел Б а С видел Д и подсети не пересекались, а мне нужно чтоб А Б С Д не видели друг друга но видели сервер (подсеть) S... был бы один сервер - поднял бы на нем виртуальные влан и обошелся L2. НО есть сеть магазинов и их надо объединить - т.е. разрешить некоторым членам РАЗНЫХ сегментов обмен.

По оборудованию... несколько раз встречал, что заявленные производителем цифры не соответствуют.. основная нагрузка - локальный межабонентский трафик и многие опытным (или математическим) путем получили цифры сколько абонентов можно повесить на узел с длинк 3526(например), при каком кол-ве пора магистраль делать гигабитной, и чего при этом надо в ядро.

пппое - красиво.. пробовали но потеряли 200 абонентов.

 

[Nag]

что-то мне кажется, что хотелки вы не по адресу.... Вам с этим к интегратору....

К какому интегратору??? Они все еще сети на мультимоде строят... ;-)

 

[Konstantin Klimchev]

что-то мне кажется, что хотелки вы не по адресу.... Вам с этим к интегратору....

ЗЫ. не обижайтесь, но то что вы хотите стоит денег...

интеграторы типа инопланетяне чтоли с тайными познаниями..??? во всех доках про vlan написано как разделить сеть чтобы комп А видел Б а С видел Д и подсети не пересекались, а мне нужно чтоб А Б С Д не видели друг друга но видели сервер (подсеть) S... был бы один сервер - поднял бы на нем виртуальные влан и обошелся L2. НО есть сеть магазинов и их надо объединить - т.е. разрешить некоторым членам РАЗНЫХ сегментов обмен.

По оборудованию... несколько раз встречал, что заявленные производителем цифры не соответствуют.. основная нагрузка - локальный межабонентский трафик и многие опытным (или математическим) путем получили цифры сколько абонентов можно повесить на узел с длинк 3526(например), при каком кол-ве пора магистраль делать гигабитной, и чего при этом надо в ядро.

пппое - красиво.. пробовали но потеряли 200 абонентов.

Для начала начните отсюда:

http://www.ciscotrain.ru/rates/icnd2.asp

http://www.ciscotrain.ru/rates/bcmsn.asp

http://www.ciscotrain.ru/rates/bsci.asp

 

Хоть это и cisco, но теоретический материал выдается не плохой. После этого ваши вопросы отпадут сами собой.

 

Потом: "несколько раз встречал, что заявленные производителем цифры не соответствуют.. " и т.п. На то интегратор и есть, чтобы промоделировать у себя предлагаемое решение. На вопрос: а не кинут ли? не обманут? - самое простое - спросите у кого построили и напроситесь в гости. Если интегратор адекватный - проблем не будет с этим.

 

Вы же хотите, чтоб вам все готовенькое: рассказали, начертили, научили....Мысль приходит, чтоб и проект за вас сделали. Халявой попахивает....

Если у вас есть КОНКРЕТНЫЕ вопросы - вы без проблем найдете здесь решение, помощь, совет или ссылку на материалы, где это можно почитать/найти...

 

 

что-то мне кажется, что хотелки вы не по адресу.... Вам с этим к интегратору....

К какому интегратору??? Они все еще сети на мультимоде строят... ;-)

К адекватному.... Понятное же дело... Сами что-то придумывать будут - остальных абонентов потеряют - у меня такое впечатление сложилось...

Изменено 27 декабря, 2009 пользователем Konstantin Klimchev

[kf72]

Сами что-то придумывать будут - остальных абонентов потеряют - у меня такое впечатление сложилось...

мда . ценник курсов впечатлил... из жизненного опыта - 30% знаний приводят к 90% успеха.. мнеб на 2 тыр пары часов хватило на нужные вопросы нужные ответы получить. мне в моем мухосранске не надо телеком строить.. самое главное сейчас - абонентов не будоражить.

 

[Konstantin Klimchev]

Сами что-то придумывать будут - остальных абонентов потеряют - у меня такое впечатление сложилось...

мда . ценник курсов впечатлил... из жизненного опыта - 30% знаний приводят к 90% успеха.. мнеб на 2 тыр пары часов хватило на нужные вопросы нужные ответы получить. мне в моем мухосранске не надо телеком строить.. самое главное сейчас - абонентов не будоражить.

эти курсы в бумажном(электронном если не печатать) виде можно в сети найти.

Изменено 27 декабря, 2009 пользователем Konstantin Klimchev

[darkagent]

и многие опытным (или математическим) путем получили цифры сколько абонентов можно повесить на узел с длинк 3526

вы меня конечно извините, но коммутаторы DES серии ставятся исключительно на доступ, и использовать их для организации узлов, мягко говоря бред.

одно дело соединить между собой пару-тройку DES, но другое дело когда вы с него дома запускаете на мыльницах. абонентов откровенно говоря жалко становится...

мда . ценник курсов впечатлил... из жизненного опыта - 30% знаний приводят к 90% успеха.. мнеб на 2 тыр пары часов хватило на нужные вопросы нужные ответы получить. мне в моем мухосранске не надо телеком строить.. самое главное сейчас - абонентов не будоражить.

было бы желание - нашли б уже все и забесплатно. на хабре как то раз проползала статейка про CCNA, так вот в ней автор выложил ссылочки на учебные материалы (на торрентах), но это еще не все, есть еще и такие сайты как anticisco.ru, на которых тоже придостаточно полезного чтива.

а вобще - это тот базис, за который не стоит жадничать денег. скупой платит дважды ;)

[photon]

В курсе CCNA даются только основы работы с сетевым оборудованием Cisco и терминология. Теория проектирования многоуровневых сетей с core, distribution и access, делением на вланы и динамической маршрутизацией дается в курсе CCNP. Так что советую качать еще и CCNP.

Изменено 27 декабря, 2009 пользователем photon

[vIv]

В курсе CCNA даются только основы работы с сетевым оборудованием Cisco и терминология. Теория проектирования многоуровневых сетей с core, distribution и access, делением на вланы и динамической маршрутизацией дается в курсе CCNP.

Вообще-то Network Design - это другая ветка, - CCDP. А CCNP - это field engineer, исполнитель того, что уже надизайнили дизайнеры. Профессиональный сетевой сисадмин, вобщем.

[kf72]

но коммутаторы DES серии ставятся исключительно на доступ, и использовать их для организации узлов, мягко говоря бред

про des 3010g.. коммутационная фабрика 5,6 гбит/сек / 9 портов (1 гигабитный) = 622 мбит на порт, учитывая что 30% онлайн от общего количества, при 15 абонентах на порт (максимум) они друг другу не мешают.. и скорость отдачи через dc++ или инета намного меньше.

разговор ващето про ядро начинался

и плясать приходится от того что уже имеется в большом количестве

Изменено 27 декабря, 2009 пользователем kf72

[Konstantin Klimchev]

про des 3010g.. коммутационная фабрика 5,6 гбит/сек / 9 портов = 622 мбит на порт, учитывая что 30% онлайн от общего количества, при 15 абонентах на порт (максимум) они друг другу не мешают.. и скорость отдачи через dc++ или инета намного меньше.

вы хоть пытались читать спецификацию?

какие "5,6 гбит/сек / 9 портов = 622 мбит"? там 8-м портов сотки....

 

http://www.dlink.ru/ru/products/1/519.html

 

Вы не с того края подходите. Определитесь сначала с хотелками. Затем с бюджетом. После скорректируйте хотелки.

Потом ядро (или 45-ю или 65-ю циски) в эконом набивке + CWDM + доступа.

ядро + CWDM найдете на shop.nag.ru. набивку вам порекомендуют исходя из бюджета.

 

ЗЫ. "пальцем в небо" не хорошая методика подбора оборудования. "А вот эта.... Не угадал? Ладно, тогда эта...."

[Konstantin Klimchev]

разговор ващето про ядро начинался

и плясать приходится от того что уже имеется в большом количестве

 

сколько у вас 3010? лично я не в восторге от железки. acl нет, mvr нет, dhcp local relay нет, кривой ingress policer (без flow control не хорошо работает).... хотя используем эти железки за неимением лучшего. на микро бизнес-центры... 3-4 мелких юрика.... Как только есть хоть один физик - 3526. Классика. Про 3028 сначала "хвала", щас "отстой".... поэтому только 3526. надо будет 3528 покрутить по случаю...

 

Вам в ядро (раньше у нага бандлы были, проще новичкам ориентироваться было...):

http://shop.nag.ru/core.asp?main=catalog&a...=2173&cat=1 - 1 шт

http://shop.nag.ru/core.asp?main=catalog&a...=2055&cat=1 - 2 шт

не нашел 2-го SUPа, но думаю это обсуждаемо, лучше 2-а

1,2-е сетевой карты (в зависимости от доступов) медные. На начало можно по проще, с большой переподпиской. Потом расширитесь, а освободившиеся - на server-farm, например...

и медиокрнвертеры с sfp, куда вставите cwdm sfp (уходит на район на 5-8 доступов, где развернете в нормальные sfp и в доступа. если со временем не хватит - скаскадируете доступа).

закроете и локалку и объединение офисов для юриков и т.п.

 

Для локалки (опережаю) искать про меж_влан_роутинг... ссылки выше я давал - там это есть.

 

на 3-5 тыщ. абонентов вы закрыли. На большее - поменяете ЭВОЛЮЦИОННО набивку 65-ой - 5-7 тыщ закроете. Т.е. резерв есть....

 

Дальше авторизация. тут или ipoe. вопрос как натить будите? не знаю как *nix, про cisco asa: 5520 отнатит 300 метров. 5550 - 700 метров. (практический опыт)

или pptp/l2tp/pppoe. при "все равно" - pptp отметаем - серьезные железки его не поддерживают, кто его знает что у вас будет в будущем.

тут cisco 7301/7201 (на скока хватит - не готов сказать - у нас esr1k8).

 

на границу:

7206-G2 - 700-800 Мбит внешки хватит (без ната, фловов)

 

ЗЫ. считайте курсом молодого бойца. Думаю есть более адекватное, но не от меня...

Изменено 27 декабря, 2009 пользователем Konstantin Klimchev