форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Хочу продавать интернет по ethernet-у. Как адресовать кучу к..."
Сообщение от GreatFoolDad (ok) on 09-Сен-05, 10:27  (MSK)
Желаю продавать интернет. Доставлять клиенту буду ethernet-ом. Хочу обинтернетить новые жилые массивы - т.е. клиентов может быть даже несколько тысяч. Имеется такая схема и оборудование: Cisco 3725 (Se0/0, Fa0/0, Fa0/1) - вышестоящий провайдер подключается через серийный порт (Se0/0). Через fastethernet (Fa0.0) подключен Catalyst 3750 (12x Gi, 12xSFP) с оптическими портами. Этими портами подключены Catalyst-ы 2950 - они находятся в пределах 10 км. Клиенты включаются в 2950-е Catalyst-ы. Клиентам планирую давать серые адреса. Затем NAT-ить. (Если захотят реальный адрес - дам реальный.....) Первоначально я планировал под каждого клиента завести VLAN. Но больше 4090 или что-то около так я не смогу подключить. А тут я еще подумал - наверное все это перестанет работать гораздо раньше - либо работа с тегированными пакетами просто перегрузит процессор, либо таблицы маршрутизации забьют память. Да и NAT еще нагрузки добавит... Мне, правда, посоветовали для NAT-а либо еще один маршрутизатор взять, либо сервер какой софтверный встроить между 3725 и 3750 цисками.... Мне бы хотелось иметь нормально масштабируемую, секурную для клиентов и удобную для учета систему подключения клиентов - чтобы не пришлось, начиная с N-го подключения менять вообще все. Что посоветуете при существующей схеме (т.е. оборудование уже реально есть - вон в стойке стоит, оптика тоже проложена, продажники бегают клиентов ищут)?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Хочу продавать интернет по ethernet-у. Как адресовать кучу к..."
Сообщение от Nailer (??) on 09-Сен-05, 10:47  (MSK)
>Клиенты включаются в 2950-е Catalyst-ы. Хорошо живете. >Клиентам планирую давать серые адреса. Затем NAT-ить. >(Если захотят реальный адрес - дам реальный.....) >Первоначально я планировал под каждого клиента завести VLAN. Зачем? Используйте Private Vlan Edge, сэкономите и адресное пространство, и не будете иметь гемморой с пробросом и обслуживанием. >Но больше 4090 или что-то около так я не смогу подключить. Больше 4000 вы на один роутер и не посадите, так что это не очень актуально. На самом деле через каталисты вы не протащите больше 256 вланов.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Хочу продавать интернет по ethernet-у. Как адресовать кучу к..."
	Сообщение от GreatFoolDad (ok) on 09-Сен-05, 11:21  (MSK)
	>Зачем? Используйте Private Vlan Edge, сэкономите и адресное пространство, и не будете иметь гемморой с пробросом и обслуживанием. The PVLAN edge (protected port) is a feature that has only local significance to the switch (unlike Private Vlans), and there is no isolation provided between two protected ports located on different switches. A protected port does not forward any traffic (unicast, multicast, or broadcast) to any other port that is also a protected port in the same switch. Traffic cannot be forwarded between protected ports at L2, all traffic passing between protected ports must be forwarded through a Layer 3 (L3) device Т.е. это фича на свиче, которая запрещает любое "общение" между защищенными портами В ПРЕДЕЛАХ ДАННОГО СВИЧА. А дальше?????? (а дальше еще один свич. насколько я понял, такое подключение объединит там эти разные порты. т.е. про секурность клиентов можно будет забыть) >На самом деле через каталисты вы не протащите больше 256 вланов. Через 2950 больше и не надо - там максимум портов 48 (96?) А через 3750 можно 1000 прокинуть The switch supports 1005 VLANs in VTP client, server, and transparent modes. (это из мануала....)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Хочу продавать интернет по ethernet-у. Как адресовать кучу к..."
	Сообщение от Nailer (??) on 09-Сен-05, 11:57  (MSK)
	>>Зачем? Используйте Private Vlan Edge, сэкономите и адресное пространство, и не будете иметь гемморой с пробросом и обслуживанием. > >The PVLAN edge (protected port) is a feature that has only local >significance to the switch (unlike Private Vlans), and there is no >isolation provided between two protected ports located on different switches. A >protected port does not forward any traffic (unicast, multicast, or broadcast) >to any other port that is also a protected port in >the same switch. Traffic cannot be forwarded between protected ports at >L2, all traffic passing between protected ports must be forwarded through >a Layer 3 (L3) device > >Т.е. это фича на свиче, которая запрещает любое "общение" между защищенными портами >В ПРЕДЕЛАХ ДАННОГО СВИЧА. А дальше?????? >(а дальше еще один свич. насколько я понял, такое подключение объединит там >эти разные порты. т.е. про секурность клиентов можно будет забыть) А что дальше? :-) Вы подключаете свитч с PVE к другому. Подключать можно либо в отдельный VLAN, который тянуть до роутера, или делать на агрегирующем свитче порты, в которые подключены аплинки клиентских свитчей также protected портами :-) Клиент в превом кидает arp в поисках роутера. Первый свитч кидет его arp во все не-протектед порты, то есть, в упрощенном случае, только в порт аплинка. Аплинк, по той же логике, кидает его на роутер. Роутер отвечает unicast-ом, который проходит по уже установленному маршруту через коммутатор. Если arp кидает роутер, то доходит он до всех. И роутер будет единственным, кто сможет броадкастить в этом сегменте.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Хочу продавать интернет по ethernet-у. Как адресовать кучу к..."
	Сообщение от GreatFoolDad (ok) on 09-Сен-05, 12:27  (MSK)
	Я не настроен категорически против PVE! Я хочу разобраться.... PVE запрещает портам общаться между собой. Но не запрещает общения в пределах самого порта. Таким образом, когда весь трафик с 2950-го приходит на порт 3750-го, разные порты этого 2950 могут обращаться друг к другу не в рамках своего свича (2950), а потому, что приходят на один порт 3750-го. Я желаю обеспечить секурность клиентов, т.е. чтобы никакой хакер Вася не мог портить жизнь домохозяйке тете Груше, домогаясь ее компа только на том основании, что они оба подключены к одному свичу. Я не прав?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Хочу продавать интернет по ethernet-у. Как адресовать кучу к..."
	Сообщение от Nailer (??) on 09-Сен-05, 13:00  (MSK)
	>Я не настроен категорически против PVE! >Я хочу разобраться.... >PVE запрещает портам общаться между собой. >Но не запрещает общения в пределах самого порта. >Таким образом, когда весь трафик с 2950-го приходит на порт 3750-го, разные >порты этого 2950 могут обращаться друг к другу не в рамках >своего свича (2950), а потому, что приходят на один порт 3750-го. Сначала хотел уверенно ответить, что свитч не будет форвардить пакеты в тот же порт, откуда они пришли. Потом задумался. Потом пошел и озадачил этим вопросом двух CCIE :-))) Вообще надо проверять. И, помимо всего этого, для начала хакеру Васе надо узнать mac тети Груши, чтобы до нее пакетом докинуться. >Я желаю обеспечить секурность клиентов, т.е. чтобы никакой хакер Вася не мог >портить жизнь домохозяйке тете Груше, домогаясь ее компа только на том >основании, что они оба подключены к одному свичу. >Я не прав?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Хочу продавать интернет по ethernet-у. Как адресовать кучу к..."
	Сообщение от Nailer (??) on 09-Сен-05, 13:18  (MSK)
	>>Я не настроен категорически против PVE! >>Я хочу разобраться.... >>PVE запрещает портам общаться между собой. >>Но не запрещает общения в пределах самого порта. >>Таким образом, когда весь трафик с 2950-го приходит на порт 3750-го, разные >>порты этого 2950 могут обращаться друг к другу не в рамках >>своего свича (2950), а потому, что приходят на один порт 3750-го. > >Сначала хотел уверенно ответить, что свитч не будет форвардить пакеты в тот >же порт, откуда они пришли. Потом задумался. Потом пошел и озадачил >этим вопросом двух CCIE :-))) > >Вообще надо проверять. >И, помимо всего этого, для начала хакеру Васе надо узнать mac тети >Груши, чтобы до нее пакетом докинуться. > >>Я желаю обеспечить секурность клиентов, т.е. чтобы никакой хакер Вася не мог >>портить жизнь домохозяйке тете Груше, домогаясь ее компа только на том >>основании, что они оба подключены к одному свичу. >>Я не прав? Еще немного подумал. Хакер Вася не докинется до тети Груши, так как mac тети Груши известен каталисту 2950, в которого подключены хакер Вася и тетя Груша. И так как порты тети Груши и Васи не должны сообщатся, судя по настройке PVE, то пакет от Васи к тете Груше на дойдет до порта 3750, так как 2950 знает, где mac тети Груши, знает, что они не должны общаться друг с другом, и дропнет пакет. Единственный теоретически возможный момент - если на 2950 и 3750 не совпадают времена устаревания таблицы коммутации и на 2950 mac тети Груши пропадет, а на 3750 останется. Но и тогда, при условии, что 3750 отфорвардит пакет обратно в порт, таким образом пройдет только один пакет.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Хочу продавать интернет по ethernet-у. Как адресовать кучу к..."
	Сообщение от Nailer (??) on 09-Сен-05, 13:41  (MSK)
	>>>Я не настроен категорически против PVE! >>>Я хочу разобраться.... >>>PVE запрещает портам общаться между собой. >>>Но не запрещает общения в пределах самого порта. >>>Таким образом, когда весь трафик с 2950-го приходит на порт 3750-го, разные >>>порты этого 2950 могут обращаться друг к другу не в рамках >>>своего свича (2950), а потому, что приходят на один порт 3750-го. >> >>Сначала хотел уверенно ответить, что свитч не будет форвардить пакеты в тот >>же порт, откуда они пришли. Потом задумался. Потом пошел и озадачил >>этим вопросом двух CCIE :-))) >> >>Вообще надо проверять. >>И, помимо всего этого, для начала хакеру Васе надо узнать mac тети >>Груши, чтобы до нее пакетом докинуться. >> >>>Я желаю обеспечить секурность клиентов, т.е. чтобы никакой хакер Вася не мог >>>портить жизнь домохозяйке тете Груше, домогаясь ее компа только на том >>>основании, что они оба подключены к одному свичу. >>>Я не прав? > >Еще немного подумал. >Хакер Вася не докинется до тети Груши, так как mac тети Груши >известен каталисту 2950, в которого подключены хакер Вася и тетя Груша. >И так как порты тети Груши и Васи не должны сообщатся, >судя по настройке PVE, то пакет от Васи к тете Груше >на дойдет до порта 3750, так как 2950 знает, где mac >тети Груши, знает, что они не должны общаться друг с другом, >и дропнет пакет. > >Единственный теоретически возможный момент - если на 2950 и 3750 не совпадают >времена устаревания таблицы коммутации и на 2950 mac тети Груши пропадет, >а на 3750 останется. Но и тогда, при условии, что 3750 >отфорвардит пакет обратно в порт, таким образом пройдет только один пакет. > И в догонку, если к порту свитча подключен хаб, то в хабе переданный одной из машин фрейм получают все, в том числе и получатель, и порт коммутатора. Но порт коммутатора не будет перенаправлять пакет, получатель которого на том же порту, что и отправитель, иначе это приведет к дублированию пакетов в сегменте.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Хочу продавать интернет по ethernet-у. Как адресовать кучу к..."
	Сообщение от GreatFoolDad (??) on 12-Сен-05, 14:57  (MSK)
	хм...... я, пожалуй, посмотрю на этот самый PVE. а вдруг это и правда "то самое"?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.