Sultan Опубликовано 15 июня, 2004 · Жалоба полного отсутствия фильтров не бывает, а для 99% лучше вообще фильтровать как можно больше, а то они потом приходят с претензиями, почему провайдер не защитил их от вирусов или от выскакивания порнухи я подразумевал возможность фильтрации tcp/udp 135-139 и rpc-шных виндовых дыр. фильтровать http-трафик я и не предлогал - всё есть в условиях договора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mik Опубликовано 15 июня, 2004 · Жалоба 2. вы незащищены от баловства клиента, когда он может свалить любой ipв сети, прописав его себе. может всё-таки попробуешь читать? мы говорим не о привязке МАК-айпи на внешнем роутере, куда втыкается пара сотен клиентов через неуправляемые свитчи а о привязке МАК к конкретному порту, куда втыкается провод от клиента (в идеале один порт=один клиент, в реальности там может быть 5-10 клиентов) и максимум, чего можно добиться сменой айпи и мака - уронить кого-то из соседей по порту, но не более того если ты до сих пор не понимаешь - RTFM много раз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 15 июня, 2004 · Жалоба Повторяю еще раз - вы фиксируете на порту свича mac, но вы не можете контроллировать на порту свича ip. у вас остается единый broadcast domain. так что предлагаю самому rtfm. попомните мои слова - всегда найдется дурак, который попробует прописать себе частный ip вашего гейта или своего соседа, для непонятливых поясняю: в тырнет он таким образом не выйдет, но вы скипидару заработаете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mik Опубликовано 15 июня, 2004 · Жалоба Повторяю еще раз - вы фиксируете на порту свича mac, но вы не можете контроллировать на порту свича ip. у вас остается единый broadcast domain. так что предлагаю самому rtfm. попомните мои слова - всегда найдется дурак, который попробует прописать себе частный ip вашего гейта или своего соседа, для непонятливых поясняю: в тырнет он таким образом не выйдет, но вы скипидару заработаете. даже если мы не можем айпи к порту привязать - то с неизменным МАКом он вычисляется с полпинка и его порт просто даунится автоматом к этому можно лёгко прикрутить arpwatch какой-нить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Shulman Опубликовано 15 июня, 2004 · Жалоба если он себе поставит default gateway, то есть у меня сомнения, что что то можно будет сделать автоматически :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 15 июня, 2004 · Жалоба Повторяю еще раз - вы фиксируете на порту свича mac, но вы не можете контроллировать на порту свича ip. у вас остается единый broadcast domain. так что предлагаю самому rtfm. попомните мои слова - всегда найдется дурак, который попробует прописать себе частный ip вашего гейта или своего соседа, для непонятливых поясняю: в тырнет он таким образом не выйдет, но вы скипидару заработаете. даже если мы не можем айпи к порту привязать - то с неизменным МАКом он вычисляется с полпинка и его порт просто даунится автоматом к этому можно лёгко прикрутить arpwatch какой-нить Это опять "лечение глистов", а не "мытьё рук". Я предлагаю "мытьё рук". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mik Опубликовано 15 июня, 2004 · Жалоба если он себе поставит default gateway, то есть у меня сомнения, что что то можно будет сделать автоматически :) значит придётся извращаться с ещё одной машинкой-логгером в любом случае, какие-то логи должны остаться, а так как это уже сознательное вредительство, и за это по договору ой-ой-ой как финансово больно будет ЗЫ: но если можно будет к порту связку мак-айпи привязывать - жить будет значительно легче, не спорю :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mik Опубликовано 15 июня, 2004 · Жалоба Это опять "лечение глистов", а не "мытьё рук". Я предлагаю "мытьё рук". расскажи, как в сетке из пары сотен клиентов сделать это "мытьё рук" при условии, что нужны реальные айпишки (не обсуждается), и примерно 10% траффика идёт между юзерами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Disease Опубликовано 15 июня, 2004 · Жалоба народ а вы все еще по теме топика общаетесь или лучше разговоры в другие ветки перекидывать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 15 июня, 2004 · Жалоба Это опять "лечение глистов", а не "мытьё рук". Я предлагаю "мытьё рук". расскажи, как в сетке из пары сотен клиентов сделать это "мытьё рук" при условии, что нужны реальные айпишки (не обсуждается), и примерно 10% траффика идёт между юзерами я уже предлогал - читай еще раз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 15 июня, 2004 · Жалоба если он себе поставит default gateway, то есть у меня сомнения, что что то можно будет сделать автоматически :) А надо сеть управления свитчами и сеть клиентскую на разных подсетях держать. Это раз. И два: если хосты находятся в одной подсети, то им default gateway нафиг не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avial Опубликовано 15 июня, 2004 · Жалоба если он себе поставит default gateway, то есть у меня сомнения, что что то можно будет сделать автоматически :) Была такая фигня. Правда, неосознано. Гейт падает само собой, в логи постоянно сыпятся сообщения arpwatch о смене мака. Меняются местами внутренний интерфейс и карточка абонента. Мак абонента в логах есть :) Чем больше времени проходит - тем реже сообщения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 16 июня, 2004 · Жалоба Не знаю, как остальным, а мне было бы интересно, если б конечный продукт умел следующее: 1. управление по rs232 (для минимизации места можно и RJ45 вместо DB9 ), 2. управление по telnet (не менюшка, а cli) + acl на telnet, 3. snmp + acl на это дело, 4. 802.1q: а) полный диапазон тэгов, б) возможность вынести управление в отдельный vlan, в) возможность организации транзита тэгов через выбранные порты, 4. rstp, ну или stp на худой конец, 5. возможность ограничения скорости порта (простой drop пакетов) от 1Mbps с шагом в 1 Mbps. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrew40 Опубликовано 16 июня, 2004 · Жалоба Не знаю, как остальным, а мне было бы интересно, если б конечный продукт умел следующее:1. управление по rs232 (для минимизации места можно и RJ45 вместо DB9 ), 2. управление по telnet (не менюшка, а cli) + acl на telnet, 3. snmp + acl на это дело, 4. 802.1q: а) полный диапазон тэгов, б) возможность вынести управление в отдельный vlan, в) возможность организации транзита тэгов через выбранные порты, 4. rstp, ну или stp на худой конец, 5. возможность ограничения скорости порта (простой drop пакетов) от 1Mbps с шагом в 1 Mbps. Правильный подход профессионального телекоммуникационщика! Только стоить это будет совсем другие деньги. А впрочем, можно еще раз можно прочитать "Про езернет, операторов..." Там это хорошо описано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 16 июня, 2004 · Жалоба Больше 0.34 от стоимости des-3226s не дам :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 16 июня, 2004 · Жалоба :) мда...Sultan,мне интересно зачем ограничивать скорость до не стандартных... 10мб не много-не мало... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 16 июня, 2004 · Жалоба чтобы не перегружать магистрали. юзверь, ведь, - существо несознательное, но крикливое... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mik Опубликовано 16 июня, 2004 · Жалоба если возможность скоростей кроме 10/100 будет стоить 2-5 баксов - согласен, если 10-15 - ну его нафиг хотя опция потенциально весьма интересная Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RA_Marauder Опубликовано 16 июня, 2004 · Жалоба Mik, Чипсет не тот. Лайтком делает свитч под вполне определенную микросхему. И делать его под другую - практически начинать работу заново. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sirco Опубликовано 16 июня, 2004 · Жалоба если возможность скоростей кроме 10/100 будет стоить 2-5 баксов - согласен, если 10-15 - ну его нафигхотя опция потенциально весьма интересная Если ты хочеш только управлять скоростью - то да это стоит 2-5 баксов , купи ЕЕПРОМ запрограмируй и запаяй . Мне нужна фильтрация по МАС ну и управлением скорость + сторожевая собака ... а по моим подсчетам это стоит 20-30 баксов тойсь я готов за такой свич заплатить 50-60 баксов и буду всем говорить что это дешево .... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 17 июня, 2004 · Жалоба Если хватит сил у разработчиков, то можно вести пару веток свичей. Не обязательно навроченным свичем затыкать все дыры - каждый купит то, что ему будет нужно за адекватные деньги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Shulman Опубликовано 17 июня, 2004 · Жалоба веток уже получается больше чем пара.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 17 июня, 2004 · Жалоба 1. делать больше 3-4-х веток внутри одного "отряда" (8-портовых L2) - это уже смущать потребителя :) с другой стороны, тут могут быть вариации и на одном и том же чипсете, т.к. можно варьировать "обвязку". 2. делать snmp без ip acl и без возможности спихнуть его в отдельный vlan(802.1q вообще предполагается?) - это будет вредительством. я неправ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Shulman Опубликовано 17 июня, 2004 · Жалоба acl будут про 802.1 q - лучше читать сначала треда :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sultan Опубликовано 17 июня, 2004 · Жалоба написать "будет" или "не будет", по-моему было короче :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...