[Ilya Evseev]

Nevermore

s.lobanov

не валите всё в одну кучу.

Сбор каналов в транк (агрегация) - это одно.

pppoe - это другое.

nat - третье.

Они сочетаемы в произвольных комбинациях.

[Nevermore]

А куда вы собрались уходить? Серый IP+NAT?

Примерно так, затем можно перейти к белым адресам

 

[Lynx10]

Если речь идёт про сбор домовых каналов от des3526 в тегированный транк к центральной циске,

то зачем для этого нужен layer3?

IMHO для этого оптимален layer2 со встроенными GBIC/SFP, например, DGS-3100-24TG или DGS-3700.

Возможно ли в таком случае уйти от пппое?

конечно можно - главное чтобы на доступе не было тупарей

[Lynx10]

если на агрегации на первое время использовать 3526 чем их лучше объединить?

Чем нибудь гигабитным малопортовым Л3 типа 3612g?

Если речь идёт про сбор домовых каналов от des3526 в тегированный транк к центральной циске,

то зачем для этого нужен layer3?

IMHO для этого оптимален layer2 со встроенными GBIC/SFP, например, DGS-3100-24TG или DGS-3700.

тут есть одно "но" - которое все в упор не хотят замечать - в первом посте "VLAN на юзера - требование обязательное. " - тогда картинка рассыпается...... потому что вланов будет явно больше чем прожуёт агрегация на 3526! и скорее всего тут уже начинается вопрос общий как влезть в 4096!

 

вариант только такой - что будет не влан на пользователя а влан на дом + запрет между портами на доступе ...... иначе схема существенно усложняется !

 

хотя опять же с первого поста "Сеть планируется быть малюсенькая. Не более 1000 юзверей" - получается что 4096 вместится - но тогда не понимаю нафига на 1000 абонентов супермега проект с влан на пользователя и т д

Изменено 21 мая, 2010 пользователем Lynx10

[jab]

Сотка на дом, мыльницы на акцесс, DES-3526 на агрегацию, PPPoE в интырнет, static IP на внутрисеть.

подскажите как при такой структуре бороться с нелегалами & неплательщиками & неправильно прописанными адресами

Организационно.

 

тут есть одно "но" - которое все в упор не хотят замечать - в первом посте "VLAN на юзера - требование обязательное. " - тогда картинка рассыпается...... потому что вланов будет явно больше чем прожуёт агрегация на 3526! и скорее всего тут уже начинается вопрос общий как влезть в 4096!

 

вариант только такой - что будет не влан на пользователя а влан на дом + запрет между портами на доступе ...... иначе схема существенно усложняется !

 

хотя опять же с первого поста "Сеть планируется быть малюсенькая. Не более 1000 юзверей" - получается что 4096 вместится - но тогда не понимаю нафига на 1000 абонентов супермега проект с влан на пользователя и т д

Да ему и port-based vlan на мыльницах подойдет...

[kf72]

Организационно

- этож сколько надо бригад с "обходчиками"? мне очень актуально. не до смеха.

 

[Alexandr Ovcharenko]

Организационно

- этож сколько надо бригад с "обходчиками"? мне очень актуально. не до смеха.

Знаю одну сеть сильно похожую на ту, что описал ТС. Около 200 малоэтажных домов, волокно на каждый дом, на домах стоят тупые длинки 1024/1016. Дома агрегируются на длинки 3200-28F. Обходчики требуются раз в месяц туда, где отрезали электропитание/ящик взломали/кабель резанули. Отзывы абонентов положительные, сервис очень стабильный.

Изменено 22 мая, 2010 пользователем Alexandr Ovcharenko

[Nevermore]

конечно можно - главное чтобы на доступе не было тупарей

DES 1228 пойдет?

 

[kf72]

Отзывы абонентов положительные, сервис очень стабильный.

... появились у нас конкуренты.. начали с того что по нашим магистралям раздавали свой инет. теперь переключают абонентов в свои ящики. сейчас Более 200 человек не платят за подключение к локалке (из 1.2 к)- ходим, режем у квартиры, освобождаем порты. значит практика общепринятая? на неполадки выходим в день заявки, край на следующий рабочий день. внедрил локал прокси-арп. сеть стала зачительно стабильнее.

Изменено 22 мая, 2010 пользователем kf72

[jab]

Организационно

- этож сколько надо бригад с "обходчиками"? мне очень актуально. не до смеха.

 

Вы уверены, что у вас с "организацией" все нормально ? :-) И мыльницы с port-based vlan ?

[kf72]

Вы уверены, что у вас с "организацией" все нормально ? :-) И мыльницы с port-based vlan ?

у вас совсем запрещен обмен между абонентами?

а кто запретит в такой порт воткнуть мыльницу и подключить к ней весь дом?

[jab]

у вас совсем запрещен обмен между абонентами?

У меня уже управляемый доступ.

 

а кто запретит в такой порт воткнуть мыльницу и подключить к ней весь дом?

Это колхозы что-ли ?

 

[kf72]

У меня уже управляемый доступ.

значит рекламируемая вами в данной теме схема не отвечает всем потребностям

Это колхозы что-ли ?

- если вы не знаете про проделки всяких "умников" - это не значит что их в вашей сети нет

 

зыЖ как обычно.. дешевых решений не бывает, а когда выуживаешь практическое решение (все равно приделывают костыли, или как-то выкручиваются) - "посылают к интегратору". спасает только управляемый доступ, с контролем каждого порта, и вероятно придется запрещать обмен между абонентами, чтоб трафик не перепродавали.

Изменено 22 мая, 2010 пользователем kf72

[jab]

значит рекламируемая вами в данной теме схема не отвечает всем потребностям

Всем потребностям на этой планете ни одна из схем не отвечает.

 

если вы не знаете про проделки всяких "умников" - это не значит что их в вашей сети нет

Думаю в моей сети их значительно больше, чем у Вас когда-либо будет. И что ? :-)

 

 

[kf72]

И что ? :-)

- затраты на борьбу превышают потенциальные убытки?

 

[jab]

затраты на борьбу превышают потенциальные убытки?

Да какие там затраты... Обычно достаточно позвонить и напугать уголовным преследованием.

[20512]

тут есть одно "но" - которое все в упор не хотят замечать - в первом посте "VLAN на юзера - требование обязательное. " - тогда картинка рассыпается...... потому что вланов будет явно больше чем прожуёт агрегация на 3526! и скорее всего тут уже начинается вопрос общий как влезть в 4096!

Когда у меня будет сеть в 1000 абонентов, она к тому времени отобьется вся два раза.

К тому времени управляемый доступ, я думаю, будет по цене тупых мыльниц :)

И даже если не будет, то все равно ни чего не помешает переделать всю сеть с ног до головы....

 

не понимаю нафига на 1000 абонентов супермега проект с влан на пользователя и т д

Долго обьяснять.

Для начала достаточно, чтобы юзеры друг друга в сетевом окружении не видели :)

 

[jab]

Для начала достаточно, чтобы юзеры друг друга в сетевом окружении не видели :)

У меня vlan на дом. Юзеры друг-друга в теории могут видеть... Но запись в руководстве пользователя про вирусы и трояны через SMB ( а также обзвоны техподдержки )

отбила у них всякую охоту этим окружением пользоваться.

[Alexandr Ovcharenko]

У меня vlan на дом. Юзеры друг-друга в теории могут видеть... Но запись в руководстве пользователя про вирусы и трояны через SMB ( а также обзвоны техподдержки )

отбила у них всякую охоту этим окружением пользоваться.

+1

влана на дом достаточно для исключения большинства проблем, даже если при этом на доме стоит тупейшая мыльница. Ну нагадят они друг другу в пределах дома да успокоятся, остальная сеть об этом даже не догадается. Ну в сетевом окружении юзер увидит пару соседских машин, интереса хватит на пару часов, потом забъет на это.

... появились у нас конкуренты.. начали с того что по нашим магистралям раздавали свой инет. теперь переключают абонентов в свои ящики. сейчас Более 200 человек не платят за подключение к локалке (из 1.2 к)- ходим, режем у квартиры, освобождаем порты. значит практика общепринятая? на неполадки выходим в день заявки, край на следующий рабочий день. внедрил локал прокси-арп. сеть стала зачительно стабильнее.

Отсекать левых партизан и неплательщиков можно путем прибивания IP к порту на агрегации. Если на доме не более 20-ти юзеров, то 3526 в некоторых случаях может и хватить на агрегацию (3200 точно хватает).

Изменено 22 мая, 2010 пользователем Alexandr Ovcharenko

[Lynx10]

И даже если не будет, то все равно ни чего не помешает переделать всю сеть с ног до головы....

думаю не так всё гладко может быть - но можно всё

не понимаю нафига на 1000 абонентов супермега проект с влан на пользователя и т д

Долго обьяснять.

Для начала достаточно, чтобы юзеры друг друга в сетевом окружении не видели :)

тогда влан на дом и портбейсед на доступе достаточно

[kf72]

Отсекать левых партизан и неплательщиков можно путем прибивания IP к порту на агрегации. Если на доме не более 20-ти юзеров, то 3526 в некоторых случаях может и хватить на агрегацию (3200 точно хватает).

про это можно подробнее? тут "агрегация" - микрорайонный узел на несколько домов?

 

 

[Ilya Evseev]

Более 200 человек не платят за подключение к локалке (из 1.2 к)- ходим, режем у квартиры, освобождаем порты.

Во-первых, если коммутаторы управляемые, достаточно погасить порт на коммутаторе, не выходя из офиса.

 

Во-вторых, можно смотреть на ARP-записи на шлюзе, выделять должников и тут же их обзванивать.

Мы активно использовали такой метод во времена плоской сети, ARP-записи брали с сервера.

 

В сегментированной сети можно использовать утилиту ActiveBlocked, которая читает ARP-записи с Цисок и Д-Линков, проверяет в биллинге, кто из них заблокирован, и распечатывает с сортировкой по величине долга:

http://svn1.homelinux.net/viewcvs/cgi-bin/...amp;view=markup

 

не понимаю нафига на 1000 абонентов супермега проект с влан на пользователя и т д

Долго обьяснять.

Для начала достаточно, чтобы юзеры друг друга в сетевом окружении не видели :)

На DES-3526 это делается через ACL.

Пример костыля, который выгружает на коммутатор нужные настройки:

http://svn1.homelinux.net/viewcvs/cgi-bin/...amp;view=markup

[Ilya Evseev]

у вас совсем запрещен обмен между абонентами?

а кто запретит в такой порт воткнуть мыльницу и подключить к ней весь дом?

Запрещать обмен между абонентами неправильно, т.к. теряется главное преимущество домонета - скоростной бесплатный доступ к внутренним ресурсам и участие пользователей в их развитии.

 

Пиратские мыльницы блокируются через port security на клиентских портах.

Если port security нет, но есть возможность просматривать записи MAC-Port, то через периодическое сканирование.

Например, сканер в routers_mgmt выдаёт предупреждение "Port have many macaddrs, but no peerlink status", если видит на клиентском порту несколько маков (по умолчанию - больше 3):

http://svn1.homelinux.net/viewcvs/scripts/...amp;view=markup

[Ilya Evseev]

спасает только управляемый доступ, с контролем каждого порта,

и вероятно придется запрещать обмен между абонентами, чтоб трафик не перепродавали.

Моё лично IMHO - такое лекарство будет вреднее болезни.

Боритесь ценами - высокий порог на подключение к локальной сети и маленькая доплата за выход в Интернет.

Тогда к вам станет невыгодно подключаться в качестве транспорта до шлюза конкурентов.

Плюс найдите, где у них стык с вашей сетью, и ликвидируйте его.

[Searcher]

Здравствуйте. Подскажите, где я могу найти параметры модулей компенсации дисперсии на DC волокнах используемых в усилителях компании NEC? и возможно ли установка модулей другой фирмы производителя в стойках усилителя NEC?