[Sultan]

полного отсутствия фильтров не бывает, а для 99% лучше вообще фильтровать как можно больше, а то они потом приходят с претензиями, почему провайдер не защитил их от вирусов или от выскакивания порнухи

я подразумевал возможность фильтрации tcp/udp 135-139 и rpc-шных виндовых дыр. фильтровать http-трафик я и не предлогал - всё есть в условиях договора.

[Mik]

2. вы незащищены от баловства клиента, когда он может свалить любой ipв сети, прописав его себе.

 

может всё-таки попробуешь читать?

мы говорим не о привязке МАК-айпи на внешнем роутере, куда втыкается пара сотен клиентов через неуправляемые свитчи

 

а о привязке МАК к конкретному порту, куда втыкается провод от клиента (в идеале один порт=один клиент, в реальности там может быть 5-10 клиентов)

 

и максимум, чего можно добиться сменой айпи и мака - уронить кого-то из соседей по порту, но не более того

 

если ты до сих пор не понимаешь - RTFM много раз

[Sultan]

Повторяю еще раз - вы фиксируете на порту свича mac, но вы не можете контроллировать на порту свича ip. у вас остается единый broadcast domain. так что предлагаю самому rtfm. попомните мои слова - всегда найдется дурак, который попробует прописать себе частный ip вашего гейта или своего соседа, для непонятливых поясняю: в тырнет он таким образом не выйдет, но вы скипидару заработаете.

[Mik]

Повторяю еще раз - вы фиксируете на порту свича mac, но вы не можете контроллировать на порту свича ip. у вас остается единый broadcast domain. так что предлагаю самому rtfm. попомните мои слова - всегда найдется дурак, который попробует прописать себе частный ip вашего гейта или своего соседа, для непонятливых поясняю: в тырнет он таким образом не выйдет, но вы скипидару заработаете.

 

даже если мы не можем айпи к порту привязать - то с неизменным МАКом он вычисляется с полпинка и его порт просто даунится автоматом

к этому можно лёгко прикрутить arpwatch какой-нить

[Ilya Shulman]

если он себе поставит default gateway, то есть у меня сомнения, что что то можно будет сделать автоматически :)

[Sultan]

Повторяю еще раз - вы фиксируете на порту свича mac, но вы не можете контроллировать на порту свича ip. у вас остается единый broadcast domain. так что предлагаю самому rtfm. попомните мои слова - всегда найдется дурак, который попробует прописать себе частный ip вашего гейта или своего соседа, для непонятливых поясняю: в тырнет он таким образом не выйдет, но вы скипидару заработаете.

 

даже если мы не можем айпи к порту привязать - то с неизменным МАКом он вычисляется с полпинка и его порт просто даунится автоматом

к этому можно лёгко прикрутить arpwatch какой-нить

Это опять "лечение глистов", а не "мытьё рук". Я предлагаю "мытьё рук".

[Mik]

если он себе поставит default gateway, то есть у меня сомнения, что что то можно будет сделать автоматически :)

 

значит придётся извращаться с ещё одной машинкой-логгером

в любом случае, какие-то логи должны остаться, а так как это уже сознательное вредительство, и за это по договору ой-ой-ой как финансово больно будет

 

ЗЫ: но если можно будет к порту связку мак-айпи привязывать - жить будет значительно легче, не спорю :)

[Mik]

Это опять "лечение глистов", а не "мытьё рук". Я предлагаю "мытьё рук".

 

расскажи, как в сетке из пары сотен клиентов сделать это "мытьё рук" при условии, что нужны реальные айпишки (не обсуждается), и примерно 10% траффика идёт между юзерами

[Disease]

народ а вы все еще по теме топика общаетесь или лучше разговоры в другие ветки перекидывать?

[Sultan]

Это опять "лечение глистов", а не "мытьё рук". Я предлагаю "мытьё рук".

 

расскажи, как в сетке из пары сотен клиентов сделать это "мытьё рук" при условии, что нужны реальные айпишки (не обсуждается), и примерно 10% траффика идёт между юзерами

я уже предлогал - читай еще раз.

[Гость]

если он себе поставит default gateway, то есть у меня сомнения, что что то можно будет сделать автоматически :)

 

А надо сеть управления свитчами и сеть клиентскую на разных подсетях держать. Это раз.

И два: если хосты находятся в одной подсети, то им default gateway нафиг не нужен.

[avial]

если он себе поставит default gateway, то есть у меня сомнения, что что то можно будет сделать автоматически :)

 

Была такая фигня. Правда, неосознано. Гейт падает само собой, в логи постоянно сыпятся сообщения arpwatch о смене мака. Меняются местами внутренний интерфейс и карточка абонента.

Мак абонента в логах есть :)

Чем больше времени проходит - тем реже сообщения.

[Sultan]

Не знаю, как остальным, а мне было бы интересно, если б конечный продукт умел следующее:

1. управление по rs232 (для минимизации места можно и RJ45 вместо DB9 ),

2. управление по telnet (не менюшка, а cli) + acl на telnet,

3. snmp + acl на это дело,

4. 802.1q:

а) полный диапазон тэгов,

б) возможность вынести управление в отдельный vlan,

в) возможность организации транзита тэгов через выбранные порты,

4. rstp, ну или stp на худой конец,

5. возможность ограничения скорости порта (простой drop пакетов) от 1Mbps с шагом в 1 Mbps.

[Andrew40]

Не знаю, как остальным, а мне было бы интересно, если б конечный продукт умел следующее:

1. управление по rs232 (для минимизации места можно и RJ45 вместо DB9 ),

2. управление по telnet (не менюшка, а cli) + acl на telnet,

3. snmp + acl на это дело,

4. 802.1q:

а) полный диапазон тэгов,

б) возможность вынести управление в отдельный vlan,

в) возможность организации транзита тэгов через выбранные порты,

4. rstp, ну или stp на худой конец,

5. возможность ограничения скорости порта (простой drop пакетов) от 1Mbps с шагом в 1 Mbps.

Правильный подход профессионального телекоммуникационщика! Только стоить это будет совсем другие деньги.

А впрочем, можно еще раз можно прочитать "Про езернет, операторов..." Там это хорошо описано.

[Sultan]

Больше 0.34 от стоимости des-3226s не дам :)

[zoro]

:) мда...Sultan,мне интересно зачем ограничивать скорость до не стандартных... 10мб не много-не мало...

[Sultan]

чтобы не перегружать магистрали. юзверь, ведь, - существо несознательное, но крикливое...

[Mik]

если возможность скоростей кроме 10/100 будет стоить 2-5 баксов - согласен, если 10-15 - ну его нафиг

хотя опция потенциально весьма интересная

[RA_Marauder]

Mik,

Чипсет не тот. Лайтком делает свитч под вполне определенную микросхему. И делать его под другую - практически начинать работу заново.

[Sirco]

если возможность скоростей кроме 10/100 будет стоить 2-5 баксов - согласен, если 10-15 - ну его нафиг

хотя опция потенциально весьма интересная

Если ты хочеш только управлять скоростью - то да это стоит 2-5 баксов , купи ЕЕПРОМ запрограмируй и запаяй .

Мне нужна фильтрация по МАС ну и управлением скорость + сторожевая собака ... а по моим подсчетам это стоит 20-30 баксов

тойсь я готов за такой свич заплатить 50-60 баксов и буду всем говорить что это дешево ....

[Sultan]

Если хватит сил у разработчиков, то можно вести пару веток свичей. Не обязательно навроченным свичем затыкать все дыры - каждый купит то, что ему будет нужно за адекватные деньги.

[Ilya Shulman]

веток уже получается больше чем пара..

[Sultan]

1. делать больше 3-4-х веток внутри одного "отряда" (8-портовых L2) - это уже смущать потребителя :) с другой стороны, тут могут быть вариации и на одном и том же чипсете, т.к. можно варьировать "обвязку".

2. делать snmp без ip acl и без возможности спихнуть его в отдельный vlan(802.1q вообще предполагается?) - это будет вредительством. я неправ?

[Ilya Shulman]

acl будут

про 802.1 q - лучше читать сначала треда :)

[Sultan]

написать "будет" или "не будет", по-моему было короче :)