sump Posted July 27, 2004 Posted July 27, 2004 Имеется в виду как подсчитать весь локальный трафик чтобы сделать его хоть минимально платным? Всех перевести на VPN или PPPoE для того чтобы они не могли расшаривать ресурсы на своих компах и не гоняли по 10Гб/сут между собой? И что потом они авторизуются, например по VPN, получают реальный IP и тогда весь трафик начинает литься через сервак который и ведет подсчет трафика? Или как? Намекните как примерно это делается... Вставить ник Quote
repa Posted July 27, 2004 Posted July 27, 2004 Это одно из направлений. Но реализация на PPPoE не поможет. Пользователь не станет его подымать, а присвоит адрес сетевой карте и будет передавать фильм. Либо акаунтинг на порту, либо VLAN на пользователя. Других решений мне не известно. Вставить ник Quote
Kuzmich Posted July 27, 2004 Posted July 27, 2004 ИМХО, только VLAN тебе поможет. Каждому юзеру свой VLAN, связь между VLAN'ами только через центральный свич, на нем настраиваешь "отражение" всего трафика на один из портов, и считаешь его любым снифером. При этом, правда, получаешь падение производительности сетки: если локальным трафиком обмениваются даже соседи по свичу, то трафик всё-равно поползет по магистрали на центральный коммутатор, и с него же по магистрали обратно... Чтобы этого избежать, нужно ставить умные свичи, мозгов которых хватит на самостоятельный сбор статистики по портам/макам/адресам... Еще вариант - порезать сеть маршрутизаторами на куски по 3-4 свича, и считать платным трафик только между сегментами... правда в этом случае тоже придется мудрить с работоспособностью "сетевого окружения"... Вставить ник Quote
jab Posted July 27, 2004 Posted July 27, 2004 repa: как только он ставит у себя ip - его система просылает бродкаст, админ это видит и принимает меры. Вставить ник Quote
sump Posted July 27, 2004 Author Posted July 27, 2004 repa: как только он ставит у себя ip - его система просылает бродкаст, админ это видит и принимает меры. Нет. Меры можно не успеть принять и проблема останется до прихода админа на рабочее место. Вставить ник Quote
jab Posted July 27, 2004 Posted July 27, 2004 Ну и что вы теряете ? Пару гигабайт халявного траффика ? Включите в договор пункт об ответственности пользователей за нарушение работоспособности сети и впаяйте ему все эти гигабайты по максимальному тарифу. Через пару недель такие смельчаки переведутся сами-собой. :-) Хотя конечно если у вас админы раз в месяц ходят на работу... Вставить ник Quote
sump Posted July 27, 2004 Author Posted July 27, 2004 Чтобы этого избежать, нужно ставить умные свичи, мозгов которых хватит на самостоятельный сбор статистики по портам/макам/адресам... Т.е. предлагается магистральными свичами решать такую проблему? Трафик будет платным только когда юзер подключенный к магистральному свичу М1 будет качать фильмы у юзера подключенного к магистральному свичу М2, а когда они оба находятся на М1 и нет у них VLAN то сервер не увидит их взаимоотношений - трафик будет бесплатным, а М1 прийдет жопа после 5 таких умельцев? Еще вариант - порезать сеть маршрутизаторами на куски по 3-4 свича, и считать платным трафик только между сегментами... правда в этом случае тоже придется мудрить с работоспособностью "сетевого окружения"... И все равно халявы останется выше крыши, между собой в пределах 2-3 свичей люди модут гонять трафик без лимитно? А VLANами кто-нибудь такое делает? Ну т.е. гонять весь магистральный трафик через сервак с целью выщитать весь трафик. Кажется сервак такого не переживет :( Вставить ник Quote
jab Posted July 27, 2004 Posted July 27, 2004 Если есть управляемые свичи - то проще всего получать количество внутреннего траффика вычитанием внешнего траффика из общего. Точность правда не ахти-какая... Вставить ник Quote
sump Posted July 27, 2004 Author Posted July 27, 2004 Если есть управляемые свичи - то проще всего получать количество внутреннего траффикавычитанием внешнего траффика из общего. Точность правда не ахти-какая... Ну не увидит админ того чего может твориться в пределах 2-3 зданий которые подключены последовательно. Можно ведь приличную нагрузку сделать при желании, а потом сыпятся жалобы на плохую связь со шлюзом от не учавствовавших в этих нагрузках... VPN и PPPoE реально можно обойти, просто договорились между собой и поставили себе на карточках локальные адреса 192.168.0.1-3 и качай, расшаривай, а оборудование нагружается к томуже оборудованием на таком уровне служит простой D-Link DES1008, а потом хоп и обратно все поставили и пользуйся Интернетом за деньги, потом опять друган купил новый фильм а в гости идти неохота и все заново... Может всамом деле только VLAN спасет? Вставить ник Quote
repa Posted July 27, 2004 Posted July 27, 2004 Ну если постараться, может что нибуть получится. На порту пользователя выставить 10 скорость. Магистраль сто. По магистрали 10 пользователей смогут работать не мешая друг другу. Реально комфортно будут там работать больше. Сколько? Покажет снятие статистики на магистральном линке. У нас в сети по 60 пользователей подключеных по 100 шарят магистральную 100. И работают комфортно. Можешь оценить сколько можно подключить по 10. О узловом коммутаторе. Поэкспериментируй с FreeBSD, ng_netflow, ng_bridge, NeTraMet. Посмотри производительность, а потом подумай об оборудовании потдерживающем VLAN. На пне 4 она меня приятно удивила. Вставить ник Quote
jab Posted July 27, 2004 Posted July 27, 2004 Админ увидит что ip адреса такие-то были включены столько-то времени, пусть умножит время на пропускную способность канала и тарифицирует как внешний интернетовский траффик. Юзера прибегут разбираться - ткните их в пункт договора. Об ответственности были предупреждены. Вставить ник Quote
repa Posted July 27, 2004 Posted July 27, 2004 Админ увидит что ip адреса такие-то были включены столько-то времени, пусть умножит время на пропускную способность канала и тарифицирует как внешний интернетовский траффик. Юзера прибегут разбираться - ткните их в пункт договора. Об ответственности были предупреждены. Ну и как же вы собираетесь узнать время когда был передан последний файл (пакет)? А теперь представим пользователь переставляет винду, по-умолчанию она на сетевой карте прописала адрес из сети 169.254.0.0 И что, будете брать штраф в размере 100 рублей за каждый пришедший пакет. А если пользователь забыл выключить IP стек на сетевой карте? Будете бегать к каждому и выключать, или будете без конца брать штрафы? Вставить ник Quote
Kuzmich Posted July 27, 2004 Posted July 27, 2004 static arp + резать файрволом исходящие броадкасты - и даже самый наблюдательный админ ничего не заметит... VLAN или учет прямо на портах оконечного оборудования, другого пока не дано... Ну или самый простой вариант - заменить все свичи хабами.... только он явно не устроит :) Вставить ник Quote
jab Posted July 27, 2004 Posted July 27, 2004 У Вас, уважаемый, сколько пользователей, что Вы к ним еще и бегаете ? Вставить ник Quote
repa Posted July 27, 2004 Posted July 27, 2004 У Вас, уважаемый, сколько пользователей, что Вы к ним еще и бегаете ? Если это адресовано мне, то много больше 60 корпоративных пользователей. И, как ни страно, к ним приходится ходить. А не задело ли вас слово "бегаете"? Вставить ник Quote
jab Posted July 27, 2004 Posted July 27, 2004 У "корпоративных" своего персонала отвечающего за доступ к сети значит нету ? Или они Вам за каждый вызов не платят ? Юзер установивший случайно левый ip и заплативший за вызов специалиста - в следующий раз трижды подумает прежде чем что-то в системе менять. Вставить ник Quote
repa Posted July 27, 2004 Posted July 27, 2004 У нас есть админы и есть пользователи которым таже не придет в голову установить IP. А если придет, то права на машине позволят. А те кому права позволяют, или могут их обойти, левый не поставят.... Вставить ник Quote
jab Posted July 27, 2004 Posted July 27, 2004 А Вы задумывались почему им в голову не придет установить IP ? Они знают про неотвратимость расплаты. Точно так же и в домовых сетях - административные меры бывают не менее действенны чем технические. :-) Только административные бьют по карману пользователя, а технические по карману провайдера. Вставить ник Quote
sump Posted July 27, 2004 Author Posted July 27, 2004 У "корпоративных" своего персонала отвечающего за доступ к сети значит нету ? Или они Вам за каждый вызов не платят ? Юзер установивший случайно левый ip и заплативший за вызов специалиста - в следующий раз трижды подумает прежде чем что-то в системе менять. Нет. Тут есть жесткая разница в наказаниях, если юзер пытается поменять свой IP на IP своего другана чтоб его нагреть на деньги и порадоваться какой он кул хацкер то тут ему по голове сперва мы настучим оштрафуем и отключим при дальнейших попытках потом друган настучит, а вот если он чисто экспериментировал с немаршрутизируемым диапазоном IP (192.168.*.*, 10.*.*.*) то тут просто прийдется провести объяснительную работу т.к. ущерба он не несет (ведь считается что мы правильно настроили Фряху). В ходе эксперимента он выяснил что халява сер и его не видит админ за его фаерволом тут туши свет... Короче все примерно стало понятно. Вставить ник Quote
jab Posted July 27, 2004 Posted July 27, 2004 (ведь считается что мы правильно настроили Фряху). В ходе эксперимента он выяснил что халява сер и его не видит админ за его фаерволом тут туши свет...Короче все примерно стало понятно. У Вас там юзеры что, телепаты что ли ? Откуда они знают, видит их админ или нет ? Вставить ник Quote
sump Posted July 27, 2004 Author Posted July 27, 2004 static arp + резать файрволом исходящие броадкасты - и даже самый наблюдательный админ ничего не заметит... VLAN или учет прямо на портах оконечного оборудования, другого пока не дано... Ну или самый простой вариант - заменить все свичи хабами.... только он явно не устроит :) Хабы-хабы :) Т.е. ты предлогаешь если очень охота считать все и всех ставить заместо простых DES-1008 какие-нибудь управляемые свичи? Это по мат.затратам очень крупная сумма. Хотя конечно это была бы сама крутая сеть в которой все оборудование управляемое и тогда все дело было бы за правильной конфигурацией фряхи. ЗЫ И вообще я тут почитал что пишут конкуренты, а они тоже не считаю трафик в одном сегменте, только в разных. Нам тоже наверно прийдется так сделать. Видать это и программно и технологически жутко не точно и геморойно. ЗЫЫ Вопрос наверно уже не сюда...Сколько VLAN на одном порту обычно поддерживает коммутатор? 255? Вставить ник Quote
sump Posted July 27, 2004 Author Posted July 27, 2004 (ведь считается что мы правильно настроили Фряху). В ходе эксперимента он выяснил что халява сер и его не видит админ за его фаерволом тут туши свет...Короче все примерно стало понятно. У Вас там юзеры что, телепаты что ли ? Откуда они знают, видит их админ или нет ? Потому что трафик в статистику не попадает, а значит не видят, а отключить такого баловня можно если у тебя вся сеть управляемая или физически лезть на крышу дома где он живет и выдергивать из свича, потом проводить разьяснительные работы. Видать только так! Вставить ник Quote
jab Posted July 27, 2004 Posted July 27, 2004 Ну мало ли почему у меня статистика не сразу в биллинг попадает... Вставить ник Quote
Kuzmich Posted July 27, 2004 Posted July 27, 2004 Сколько VLAN на одном порту обычно поддерживает коммутатор? 255? 802.1q - идентификатор VLAN'а 12 бит, т.е. на всю сеть 4096 VLAN'ов (читай - пользователей). Т.к. четыре тыщи пользователей в один сегмент всё-равно сажать не будешь, то это, считай, и не ограничение... Другое дело, что не все коммутаторы в полной мере это поддерживают (память, что-ли, экономят?). Это по мат.затратам очень крупная сумма К сожалению... впрочем, просто свичи с VLAN уже не так сильно дороже, а вот "умные", с SNMP, статистикой, MAC-security уже, конечно, не копеечные... Пусть тебя греет хотя-бы то, что наличие VLAN-свичей практически отменяет необходимость VPN или PPPoE в сети, что позволит сэкономить сотку-другую баксов на сервере :) Кроме того, оно же начнёт потихоньку окупаться - локальный трафик тоже начнет приносить денежки потихоньку... Если, например, 0.5 доллара за гигабайт локального трафика поставить, то лишняя десятка в сутки обеспечена... итого 3.5 килобакса за год, уже десяток не самых тупых свичей окупит. Впрочем, при сложившейся в ДС традиции не считать локальный трафик ввод тотального учета, ИМХО, будет признанием своей технической несостоятельности - не смогли обеспечить достаточной пропускной способности, пришлось разгружать сеть финансовыми методами. ИМХО, правильным решением проблемы будет грамотная нарезка сети на подсети высокопроизводительными маршрутизаторами с приоритезацией трафика (простенькой совсем: всё, что имеет src и dst из 192.168/16 - в pipe на 50 Mbit/s) + гигабитные магистрали и работа над структурой сети... Вставить ник Quote
Guest Posted July 27, 2004 Posted July 27, 2004 Впрочем, при сложившейся в ДС традиции не считать локальный трафик ввод тотального учета, ИМХО, будет признанием своей технической несостоятельности - не смогли обеспечить достаточной пропускной способности, пришлось разгружать сеть финансовыми методами. ИМХО, правильным решением проблемы будет грамотная нарезка сети на подсети высокопроизводительными маршрутизаторами с приоритезацией трафика (простенькой совсем: всё, что имеет src и dst из 192.168/16 - в pipe на 50 Mbit/s) + гигабитные магистрали и работа над структурой сети... Ну насчет 50Mbit/s - это пожалуй уж слишком... :-) Достаточно просто понизить приоритет. А в остальном все верно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.