grendel Posted November 27, 2004 Posted November 27, 2004 Здравствуйте, Уважаемые. По теме. Создали ООО, нашли провайдера, заключили с ним договор о партнерстве, денег немного есть. Осталось соединять, подключать дома, устаналивать серверы, и всем абонентам велкам. Взымать небольшую ежемесячную абонентскую плату и работать, работать. Но. Сеть планируется 100Мбитная, с магистралями между домами 1 Гигабит, ибо фильмы, игры, музыка....И вот же отдельные умельцы могут подключить у себя через коммутатор, например соседей, или еще лучше установть Д-линковский роутер-коммутатор (хоть и 10МБит, а все-таки она, халява:)). Как сделать, так чтобы у умельца ничего не заработало? Читал в этом форуме, о привязке к МАС-адресам, но и против нее тоже тут читал. Что бы такое сделать, что бы всем кроме умельцев было хорошо? Еще умелец может скачать с интернета интересную прогу, и тутже испытать её в действии на ближайшем компьютере какой-нибудь тётенки, как ее от него защитить? P.S. Ничего не имею против умельцев, просто надо каким-то словом обозначить этот сплав подростка и компьютера. P.S.S Или может я вообще не с того начинаю? Вставить ник Quote
Alf Posted November 27, 2004 Posted November 27, 2004 Ну вобщем то привязка мака к порту частично решает проблему. А вообще не о том у тебя сейчас голова болит... :) Лично моё мнение... Вставить ник Quote
ReFlex Posted November 27, 2004 Posted November 27, 2004 у тебя еще не те масштабы :) сам по началу умельцев будешь бегать из свича выдергивать :) Вставить ник Quote
pirat_os Posted November 27, 2004 Posted November 27, 2004 Привязка к маку и четкое описание тредований к подключению в договоре, иногда контролить что в щитах твориться... Вставить ник Quote
grendel Posted November 28, 2004 Author Posted November 28, 2004 Alf: С ЖЭУ вопросов не будет. О чем на данном этапе должна болеть голова? Или это, в будущем, жаренный петух подскажет:)) ReFlex: Что не те масштабы, оно и ясно. Но свич, понятное дело, в железном ящике находится. И получается в этом случае резать чужие провода, от соседа к соседу идущие, ими лично проложенные, что не есть хорошо. pirat_os: большинство людей совершенно не подозревают о существавании МАС -адресов и даже сетевых плат. Им сложно будет объяснить почему он купил комп, а у него сеть перестала работать. Правда если у него будет пошаговая инструкция, о том как подключать комп к сети (и какой-нибудь ключик, файлик, паролик для входа в сеть) то он и сам все подключит, читать умеют все. А МАС-адрес мне кажется не очень надежным средством обороны. Вставить ник Quote
avm Posted November 28, 2004 Posted November 28, 2004 Если принять во внимание, что против привязанного к порту свитча MAC, умник будет бороться установкой у себя роутера/прокси/второй карты, и пакеты все равно будут идти нормально от его имени, то фича привязки MAC клиента к порту свитча оказывается полезна только для предотвращения подмены MAC, но не спасает от "вложенных подсетей". Если задаться целью не дать вражеским подсетям ни байта, нужно делать VLAN'ы (любые) для того чтобы трафик любого клиента сначала попал на ваш роутер/шейпер, а не на соседний порт другого клиента. Уже тут нужно авторизовать его, резать ему кол-во одновременных TCP сессий, полосу пропускания индивидуально для каждого, и т.д. Про бродкасты между клиентами и "сетевое окружение" лучше забыть сразу, и сделать сервер обмена. При этом трафик между пользователями назвать "транзитным" и сделать платным... Тоесть в результате получаем правильную "сеть доступа" к своему "узлу связи", и мощности этой сети как раз и являются товаром. Если на клиентских портах не экономить и сразу делать tagget vlan, можно будет предоставлять дополнительную услугу - "предоставление каналов в аренду" (лицензируется отдельно) в котором юзеры смогут гонять изолированное "сетевое окружение" между своими офисами. Вставить ник Quote
Guest Posted November 28, 2004 Posted November 28, 2004 Не, всё-таки к маку привязываться надо, причём можно логи на всех писАть кто куда и зачем ходил. А даже если кто-то из клиентов обнаружит пропадание трафика - сам соседу-умельцу по шарабану и настучит :-)) Вставить ник Quote
avm Posted November 28, 2004 Posted November 28, 2004 Не, всё-таки к маку привязываться надоВопросы только "где? и что привязывать?"... Правильнее залочить определенный MAC на порту клиентского свитча, чтобы с другим MAC'ом он не смог ничего делать - это даст гарантию, что он вообще не сможет даже попытаться что-либо сделать от чужого имени (неважно что, хотябы привести сеть в нестабильное состояние).Если нет возможности это сделать, то вся остальная привязка ip-mac (по изменениям в arp таблицах) на неуправляемых свитчах - защита от ламеров... логи на всех писАть кто куда и зачем ходилЕсли авторизация "тунельная", то достаточно запоминать какой логин с какого мака авторизовался. Это даст возможность узнать с каких компов юзер коннектился (статистика активности юзера с привязкой к географии сети - мы же знаем где у нас какой свитч стоит). Если авторизация "проксевая", то в логи придется лить мак на каждый посещенный url (и то если прокси это умеет). Все это справедливо в случае жесткой привязки уникального мака к порту - иначе толку от этих логов - никакого... Вставить ник Quote
Demid_SPb Posted November 28, 2004 Posted November 28, 2004 Создали ООО, нашли провайдера, заключили с ним договор о партнерстве, денег немного есть. Осталось соединять, подключать дома, устаналивать серверы, и всем абонентам велкам. Взымать небольшую ежемесячную абонентскую плату и работать, работать. Вот из этих слов становиться ясно, что при небольшой абонентке и доступных условиях подключения ни один умелец не будет париться с выходом группы компов через один адрес и мак. Ему проще будет подключиться официально (в своей сети на 300 компов я не знаю случаев самоволки, а у нас роутеры только между домами). Я считаю что использование управляемых свитчей и привязка мака к порту - максимум что ему нужно. А остальное - излишняя работа grendelу и головная боль клиентам при всяческих настройках. Вставить ник Quote
029ah Posted November 28, 2004 Posted November 28, 2004 а еще за TTL можно понаблюдать... ;) от суперумельцев не спасет, но простой роутер вычислит.. TTL пакетов входящих от клиента потоков будет на 1 меньше чем TTL ответа на ping <ip клиента>. Вставить ник Quote
grendel Posted November 29, 2004 Author Posted November 29, 2004 avm: "мощности этой сети как раз и являются товаром. Если на клиентских портах не экономить и сразу делать tagget vlan, можно будет предоставлять дополнительную услугу - "предоставление каналов в аренду" (лицензируется отдельно) в котором юзеры смогут гонять изолированное "сетевое окружение" между своими офисами." - очень хорошо особенно про изолированное сетевое окружение. Спасибо. Demid_SPb: отлично. А между конторами отдельные каналы зашифрованые организовывать. Спасибба. Я понял, достаточно привязаться к маку, и все пойдет по плану. Можно конечно у сетевухи сменить МАС, но не всякий сможет, кто сможет скорее всего не захочет. Спасибо всем. тема, думаю, закрыта. Вставить ник Quote
Barsick Posted November 29, 2004 Posted November 29, 2004 Можно конечно у сетевухи сменить МАС, но не всякий сможет Ты наверно не в курсе, как это просто... Подсказывать открыто не буду, "во избежание" Но однажды ЭТО у меня в сетке сделала девятилетняя акселератка :) Вставить ник Quote
Veskit Posted November 30, 2004 Posted November 30, 2004 Можно конечно у сетевухи сменить МАС, но не всякий сможет Ты наверно не в курсе, как это просто... Подсказывать открыто не буду, "во избежание" Но однажды ЭТО у меня в сетке сделала девятилетняя акселератка :) Хм. А вот вопрос: она это СПЕЦИАЛЬНО сделала? А то IP адрес вместо MAC написать - это народ запросто умудряется. Вставить ник Quote
avm Posted November 30, 2004 Posted November 30, 2004 А то IP адрес вместо MAC написать - это народ запросто умудряется.Дык это ж не для каждой карты и не в каждой винде есть! Что там где MAC ставится простому юзеру делать-то? Да и уже не помню - неужели поле MAC адреса простой строкой, а не форматное?IP вместо MAC :))))))) Вот это да! Вставить ник Quote
Guest Posted November 30, 2004 Posted November 30, 2004 Можно построить всю сеть на VLAN тогда будет гораздо проще Вставить ник Quote
avm Posted November 30, 2004 Posted November 30, 2004 Можно построить всю сеть на VLAN тогда будет гораздо проще смотря сколько клиентов... Вставить ник Quote
ToSHiC Posted November 30, 2004 Posted November 30, 2004 ставь такие свитчи, чтобы можно было отрубать порты удалённо - тогда и бегать не придётся, и каждого в влан запихивать тоже. достаточно пассивного сканнера активности. ну и привязку тоже не стоит списывать со счетов. а вообще - возможно стоит делать в каждом сегменте пппое сервер, и выпускать дальше только тех, кто авторизовался на нём. т.е. на шлюзе стоит пппое сервер, выдаёт клиентам ипшники. не присоединился к нему - сиди в своём сегменте и дальше не вылазий. можно развить эту схему дальше - с каждого порта пакеты идут только к серверу доступа. авторизовался на нём - юзаешь сеть, нет - сидишь один. Вставить ник Quote
Guest Posted November 30, 2004 Posted November 30, 2004 а ты представь производительность и цену этого аппарата ... на гигабит, и желательно ссылку на эту мысль ведь мы здесь не фантазируем :) а соображаем как делать домашнюю сеть Вставить ник Quote
Guest Posted December 24, 2004 Posted December 24, 2004 помогите!!! надо сделать беспроводную сеть на растоянии 400м!подскажите как лучше качественее и девшле это сделать?в игрушки охото порезаться!какое оборудование надо?и чтоб уложиться в 120 доларов!чтобы скорость была приличная! Вставить ник Quote
Giga-Byte Posted December 25, 2004 Posted December 25, 2004 у меня тоже был инцидент, написали в настройках сетевой платы IP адрес а про привязку к МАК-у не есть хорошая идея. в каждом подезде ставить мост (FreeBSD напр.) либо из д-линка чтото выбирать. тогда да, ниодного IP адреса не упустишь. а про умельцев, ну и пускай работают. вообще я против таких агрессоров на умельцев. у нас пришел один тоже развернулся. у нас сеть домашняя и с инетом 2мега и компов 90 шт, подключаем не кого попало. а по знакомству, а он пошел по всем квартирам, ну подключил 20 человек, потом свернулся и усё. Вставить ник Quote
Giga-Byte Posted December 25, 2004 Posted December 25, 2004 помогите!!! надо сделать беспроводную сеть на растоянии 400м!подскажите как лучше качественее и девшле это сделать?в игрушки охото порезаться!какое оборудование надо?и чтоб уложиться в 120 доларов!чтобы скорость была приличная! ну нифига ты загнал в 120 баксов :) я чуть со стула не упал в 300 баксов ещё можно уложиться на счет DWL-900 всё равно более 20мегабит не получишь по воздуху ещё если охота купи полторы бухты кабеля FTP, у него жила толще. и ставь хабы метров через 130. (как раз в 130 баксов) ну не есть хорошо так делать особенно зимой :) ещё вариант - П-296, я его не пробовал, ничего сказать не могу, говорят на 500метров качает, аж шуба заворачивается. самый простой вариант - Беспроводные точки доступа Вставить ник Quote
hcube Posted December 25, 2004 Posted December 25, 2004 На 400 метров можно антенну поставить только с одной стороны. Такая связка по идее достанет километра на 3 в максимуме. Вставить ник Quote
Guest Posted December 26, 2004 Posted December 26, 2004 дело в том что кабель не кинешь.дома находятся через дорогу.через дорогу кто тебе даст кинуть провод!!!и ещё один дом закрывает другой.т.е почти прямая видимость,как антены ставить если дом мешает!прошу совета... и еще у меня вопрос.какую скорость дает сетевой кабель от компа до компа? Вставить ник Quote
Guest Posted December 27, 2004 Posted December 27, 2004 народ помогите!!! при загрузке у менря комп выдает маленькую ошибку в маленьком окне-registry data not found! что делать?как её устранить? Вставить ник Quote
Антон Богатов Posted December 27, 2004 Posted December 27, 2004 паблито, format c: /s/u Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.