[Andrew40]

нормальному свичу должно быть пофиг, что творится в разных vlan'ах, т.е. пусть хоть десять одинаковых mac, но каждый в своем vlan. ip проще выдавать по dhcp с привязкой к vlan. считаем себе преспокойно трафик по подсетям и в ус не дуем.

Я так понимаю, что Вы предлагаете выделять по 1 vlan на абонента? Если так, то для ДС абонент - это как правило один компьютер. Соответственно, на каждого абонента тратится по 4 IP-адреса. Не говоря про прочие проблемы.

[Ilya Shulman]

а кому то жалко private address space ?

[Mik]

а кому то жалко private address space ?

 

99% наших клиентов живут с реальными айпишками

 

кроме того, при таком раскладе весь траффик между клиентами идёт через центральный роутер, что далеко не всегда радует

[Ilya Shulman]

то, что у вас 99% клиентов живут на реальных IP - скорее неправильно, чем правильно.

а по поводу трафика через центральный роутер, так может это и хорошо - считать можно..

[Sultan]

Я так понимаю, что Вы предлагаете выделять по 1 vlan на абонента?  

Именно так

Если так, то для ДС абонент - это как правило один компьютер.  

эт как сказать...

Соответственно, на каждого абонента тратится по 4 IP-адреса.

за сколько абонент заплатит - столько и дать. 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 - мало?

Не говоря про прочие проблемы.

Например? Народу в отделе "секс по телефону" меньше держать надо.

[Sultan]

а кому то жалко private address space ?

 

99% наших клиентов живут с реальными айпишками

если нужно дать один-два реальных ip, то можно поставить pptp/pppoe-сервер и давать его оттуда.

кроме того, при таком раскладе весь траффик между клиентами идёт через центральный роутер,  

L3-коммутатор, который может быть на магистральным, а не центральным.

что далеко не всегда радует

свои недостатки есть, но достоинств больше. чтоб народ файлом менялся - проще поднять p2p-сеть. Вот тут от лайткомовского коммутатора желательна бы такая фича, как ограничение скорости на порту с мегабитным шагом (от 1 Mbps).

[Mik]

то, что у вас 99% клиентов живут на реальных IP - скорее неправильно, чем правильно.  

а по поводу трафика через центральный роутер, так может это и хорошо - считать можно..

 

увы

абсолютное большинство клиентов _требуют_ реальный айпишник

 

а насчёт "считать траффик" - смотри город, у нас ни один провайдер этим не занимается, у всех анлим тарифы для домашников, только скоростями отличаются

[Гость]

"1)Гостем" в антиMACовых постах был я :)

2)это называется "секс по телефону", без которого вполне можно обойтись указанным мной способом.

3)нормальному свичу должно быть пофиг, что творится в разных vlan'ах, т.е. пусть хоть десять одинаковых mac, но каждый в своем vlan.

1) суть дела неменяет

2)секс с девушкой меня больше устраивает поверте...

3) мда.. комутатору может быть и пофиг(в чем я лично сомниваюсь)

но вот роутеру или тому кто будет обрабатывать это все я на 80% уверен что он с ума сойдет.. когда 3макадреса увидет... работать будет но через....

[Ilya Shulman]

то, что у вас 99% клиентов живут на реальных IP - скорее неправильно, чем правильно.  

а по поводу трафика через центральный роутер, так может это и хорошо - считать можно..

 

увы

абсолютное большинство клиентов _требуют_ реальный айпишник

 

а насчёт "считать траффик" - смотри город, у нас ни один провайдер этим не занимается, у всех анлим тарифы для домашников, только скоростями отличаются

 

никто не мешает реальный ip назначать на nat сервере, тем, кому он действительно нужен

[Mik]

никто не мешает реальный ip назначать на nat сервере, тем, кому он действительно нужен

 

имхо - абсолютно бессмысленная нагрузка на роутер

плюс гемор с передачей голоса и видео, а так же с пиринговыми сетями

 

исторически сложилось что у каждого есть реальные айпишки, и не вижу смысла это менять

[DiM_TauRus]

исторически сложилось что у каждого есть реальные айпишки, и не вижу смысла это менять

Это у вас так а у многих, причем явно у большинства, совсем не так

[Mik]

Это у вас так а у многих, причем явно у большинства, совсем не так

 

я же не спорю и не говорю что наш вариант единственно правильный

 

но если на свитчах не будет привяски по МАКам, а вместо этого будет влан - то для меня они потеряют всякую ценность

и уж я точно не один такой

[Sultan]

2)секс с девушкой меня больше устраивает поверте...

3) мда.. комутатору может быть и пофиг(в чем я лично сомниваюсь)

но вот роутеру или тому кто будет обрабатывать это все я на 80% уверен что он с ума сойдет.. когда 3макадреса увидет... работать будет но через....

2) круглосуточно "сексовать" - дорогое удовольствие, а я говорил именно про нерабочее время.

3) маршрутизатор тоже будет работать нормально - проверенно.

[Ilya Shulman]

Это у вас так а у многих, причем явно у большинства, совсем не так

 

я же не спорю и не говорю что наш вариант единственно правильный

 

но если на свитчах не будет привяски по МАКам, а вместо этого будет влан - то для меня они потеряют всякую ценность

и уж я точно не один такой

 

насколько я помню рекомендации то ли ripe, то ли internic/ IANA , они рекомендуют давать конечным пользователям real ip только в случае, если иначе невозможно..

 

ish

[Mik]

насколько я помню рекомендации то ли ripe, то ли internic/ IANA , они рекомендуют давать конечным пользователям real ip только в случае, если иначе невозможно..

 

ish

 

если клиент задаёт при подключении вопросы:

1. стабильность

2. скорость

3. реальный айпи

 

то иначе действительно невозможно

[zoro]

2)секс с девушкой меня больше устраивает поверте...

3) мда.. комутатору может быть и пофиг(в чем я лично сомниваюсь)

но вот роутеру или тому кто будет обрабатывать это все я на 80% уверен что он с ума сойдет.. когда 3макадреса увидет... работать будет но через....

2) круглосуточно "сексовать" - дорогое удовольствие, а я говорил именно про нерабочее время.

3) маршрутизатор тоже будет работать нормально - проверенно.

2)круглосуточно сапорт ето круто конечно, но просто так карточки не меняют... так что у нас нет круглосуточного сапорта и за последнии 3года неодного звонка в нерабочее время.. если и звонят то спрашивают что завтра будем менять комп а матушка с встроеной сетевой что нужно сделать... зарание все обговорили итд итп... а таких вот резких движений нет.. и не было... юзеры спокойно гоняют траф меж собой.. инет пожалуйста... есть..

3) как проверяли?

[Гость]

Привязка мака к порту обязательна, с вланами проблем больше, а за секс можно с клиента денежку взять, да и не так часто он сетевухи меняет, а если часто, то он и так всё умеет!

а когда пойду такие расчудестные свитчики? уже заждался...., а реальные Ип тоже желеть не надо, если они есть.

[Andrew40]

а кому то жалко private address space ?

 

99% наших клиентов живут с реальными айпишками

Простите, а что Вы догда подразумеваете под доступом в Internet? Я уже писал где то, что если это NAT, Proxy и т.п. вещи - это не Internet, это внутренняя сеть с присоединением к Internet. Причем на "прикладном", а не "транспортном" уровне. Это абсолютно нормально и правильно для внутрикорпоративной сети, и абсолютно неприемлемо для договора с абонентом. Во всяком случае, я не взял бы такой договор. А про 99% мне как то все равно.

То есть дайте мне реальный IP и никаих фильтров!

если нужно дать один-два реальных ip, то можно поставить pptp/pppoe-сервер и давать его оттуда.

А это вообще странно. Сначала делать нормальную с точки зрения построения сети структуру, т.е. никакой авторизации, паролей, 100% разделение пользователей и т.д. - и тут же прикручивать туннели! "Робот-манипулятор берет болванку и засовывает ее в пресс времен братьев Карамазовых"...

Просто опять выплывает забавная вещь - TCP/IP при нынешнем числе адресов и хостов - протокол больше для локальной сети.

[Sultan]

2)круглосуточно сапорт ето круто конечно, но просто так карточки не меняют... так что у нас нет круглосуточного сапорта и за последнии 3года неодного звонка в нерабочее время.. если и звонят то спрашивают что завтра будем менять комп а матушка с встроеной сетевой что нужно сделать... зарание все обговорили итд итп... а таких вот резких движений нет.. и не было... юзеры спокойно гоняют траф меж собой.. инет пожалуйста... есть..

3) как проверяли?

2) "если вы не предусмотриели какой-то ситуации, то это не значит, что такое не может случиться" :) ситуация элементарная - у некоторых дома лежит карточка в запасе. в результате "форсмажора", используемый в данный момент сетевоф интерфейс вылетает - меняем карточку. "а дело было вечером..." - делать до утра нечего :)

3) элементарно - делал одинаковые mac машинам, сидюящим в разных vlan'ах.

напоминаю, что маршрутизация разделяет broadcast domain.

[Sultan]

Привязка мака к порту обязательна, с вланами проблем больше

кому как... еще раз повторяю - mac security не защищает ни от mac spoofing, ни от ip spoofing. без vlan из сети получается болото.

[Sultan]

а кому то жалко private address space ?

 

99% наших клиентов живут с реальными айпишками

Простите, а что Вы догда подразумеваете под доступом в Internet? Я уже писал где то, что если это NAT, Proxy и т.п. вещи - это не Internet, это внутренняя сеть с присоединением к Internet. Причем на "прикладном", а не "транспортном" уровне. Это абсолютно нормально и правильно для внутрикорпоративной сети, и абсолютно неприемлемо для договора с абонентом. Во всяком случае, я не взял бы такой договор. А про 99% мне как то все равно.

То есть дайте мне реальный IP и никаих фильтров!

я буду фильтровать то, что меня обяжут фильтровать, но такую возможность я должен иметь. а сполитикой продаж вы поторопились эдак до ввода IPv6...

если нужно дать один-два реальных ip, то можно поставить pptp/pppoe-сервер и давать его оттуда.

А это вообще странно. Сначала делать нормальную с точки зрения построения сети структуру, т.е. никакой авторизации, паролей, 100% разделение пользователей и т.д. - и тут же прикручивать туннели! "Робот-манипулятор берет болванку и засовывает ее в пресс времен братьев Карамазовых"...

Просто опять выплывает забавная вещь - TCP/IP при нынешнем числе адресов и хостов - протокол больше для локальной сети.

это не странно, это разумно, если пытаться юзать ethernet в таком качестве. можно давать клиенту и подсети (dhcp), но тогда будет повышенный расход ip (похоже, что вас подобный вопрос не заботит, либо у вас пара-тройка клиентов). иначе вам надо юзать frame ralay или atm (готовы за это платить?). а так у вас получается большая локалка с методами организации уместными для внутриквартирной сети, а никак не операторская сеть передачи данных.

[Ilya Shulman]

согласен с султаном в вопросе выделения IP и фильтрации

полного отсутствия фильтров не бывает, а для 99% лучше вообще фильтровать как можно больше, а то они потом приходят с претензиями, почему провайдер не защитил их от вирусов или от выскакивания порнухи

[KoloBok]

Привязка мака к порту обязательна, с вланами проблем больше

кому как... еще раз повторяю - mac security не защищает ни от mac spoofing, ни от ip spoofing. без vlan из сети получается болото.

 

Я думаю ты не совсем прав. Реальная картина: 25 коммутаторов 3COM SSII в локалке. ВСЕ клиенты включены в порты с установленным Security. На пограничном маршрутизаторе включена статическая привязка IP к МАС. Никакой дополнительной авторизации нет.

 

КАК по вашему в такой конфигурации пользователь может осушествить spoofing или украсть чужой IP?

 

Для тех кто не знает, что такое Port Security на 3СОМ поясню: в этом режиме МАС привязывается статически к порту и при получении на этом порту другого МАС порт сразу же блокируется и генерится SNMP trap. Повторю вопрос: КАК в такой конфигурации пользователь может осушествить spoofing или украсть чужой IP?

[KoloBok]

Про реальные адреса.

Есть два фактора.

1. Клиент должен сам себя защищать от атак из Интернет.

2. Клиент ДОЛЖЕН ПЛАТИТЬ за ВЕСЬ трафик, который пришел на его РЕАЛЬНЫЕ АДРЕСА (а не задавать глупых вопросов, почему за воскресенье у него полметра набежало).

 

Если человек это понимает - у нас он получает реальный адрес без лишних вопросов и денег - ему видимо действительно необходимо.

Но из 500 абонентов - у нас таких набралось почему-то только ДВА человека!

 

Andrew40 - ты не оператор. И рассуждаешь как абонент. Большинству абонентов, нужны только исходящие соединения и НЕ НУЖНЫ проблемы безопасности связанные с наичием реальных адресов.

[Sultan]

Я думаю ты не совсем прав. Реальная картина: 25 коммутаторов 3COM SSII в локалке. ВСЕ клиенты  включены в порты с установленным Security. На пограничном маршрутизаторе включена статическая привязка IP к МАС. Никакой дополнительной авторизации нет.

 

КАК по вашему в такой конфигурации пользователь может осушествить spoofing или украсть чужой IP?

 

Для тех кто не знает, что такое Port Security на 3СОМ поясню: в этом режиме МАС привязывается статически к порту и при получении на этом порту другого МАС порт сразу же блокируется и генерится SNMP trap. Повторю вопрос: КАК в такой конфигурации пользователь может осушествить spoofing или украсть чужой IP?

у вас тут две "засады":

1. не обеспечивается бесперебойность сервиса (вспоминаем про замену в нерабочее время "сломанной" карточки - не каждый день, но оператора характеризует не 99% времени безотказной работы, а 1% времени простоя)

2. вы незащищены от баловства клиента, когда он может свалить любой ipв сети, прописав его себе.

3. у вас отсутствует возможность предотвращения распространения вирусов в вашей сети (оператор может получить по башке, если с его сети начнут валить вирусы. я предпочитаю лечению профилактику).

насчет полной бесполезности mac security, признаю - я неправ, но "вредоносность" за этим делом всё ж водится.