Jump to content
  • 0

сегментиране - VLAN или рутери


puh

Въпрос

здравейте

сондирам мнения за сегментиране на мрежа. постановката е следната: топология звезда, на няколко нива - 5Ghz линкове до сравнително малки населени места - до 50-100 клиента. в селищата - комбинация от LAN и 5Ghz.

основен проблем - паразитен трафик, вируси или повреден клиентски харуер - радиото направо се чупи, всички интерфейси се товарят на максимум. във всички ретранслатори са пуснати филтри в бриджа между интерфейсите(WDS). принципно няма видимост между клиентите - надявам се :) .

;D да бъде решението - vlan от сървъра до последния ретранслатор или последният ретранслатор да рутира:)

предварително благодаря за вашите мнения!!!

Адрес на коментара
Сподели в други сайтове

  • Отговори 43
  • Created
  • Последен отговор

Top Posters For This Question

  • puh

    11

  • 111111

    10

  • Mile

    5

  • gbdesign

    4

Recommended Posts

  • 0

Я ми обясни практически, а не теоретично (щото аз теории много съм слушал и малко от тях работят) следния случай:

В твоето решение се случва например: Хакната линукс машина която служи например за видеонаблюдение на вход на аптека... Или на там нещо си. Почва от там един изходящ трафик да кажем 120-130к ппс. Как разбираме от каде идва тоя трафик и достъпен ли ни е гейта въобще или се е свлякъл със скороста на падаща мазилка. Каква част от юзерите са засегнати от проблема, време на реакция и отстраняване....

Сега друг случай.

Буря. 2 свича сдават багажа и действието по дефаулт на ланаджиите "рестарт" не оправя 1 побъркал се свич. Как разбираме кой и каде е? Колко от потребителите са засегнати от проблема? Време за реакция и отстраняване..

Нека бъде едно howto направо.

Адрес на коментара
Сподели в други сайтове

  • 0

при него проблема вероятно не е от това , че му се товари крайната щаига ,а  че вероятно тези няколко к пакета от заразена машина някъде минават през някое радио и заедно с нормалния трафик го омазват . с едно ей такова нещо http://www.smc.com/index.cfm?event=viewProduct&cid=8&scid=43&localeCode=EN_BGR&pid=1604  ще си решиш проблема с луп или с бродкаст в различните сигменти по мрежата ти.

Адрес на коментара
Сподели в други сайтове

  • 0

Mile, ако има хакната машина, която да бълва премного пакети в секунда /до сега не е имало/ си я хващам с iptraf и tcpdump. Ако някой суич се ошашави, най често от залупване заради окъсен кабел или изгърмяла мрежова карта или суич, просто си поглеждам картата на мрежата и гледам до къде работят клиентите. Качеството на L2 връзките тествам единствено с arping. Времето ми за реакция е около 5 мин. до локализиране, къде точно или в най-лошият случай - приблизително точно. Разбира се не ползвам разни рутерчета с ограничена функционалност а сериозни Линукс машини.

Адрес на коментара
Сподели в други сайтове

  • 0

Аз мисля проблема е в наивноста му ^^

С 15лв свич ще се шейпи, ще се прави аккоунтинг на порт...  Хубаво е да се събудим и да разберем, че с цена към абонат 25лв не е възможно това да се случи. Освен да има само 16 етажни блокове и неограничен бюджет за изграждане на точките в тях. Тогава може би има шанс да е икономически оправдано. С моментното ARPU при повечето доставчици сме точно там кадето ни е мястото. В кофите и 15лв решенията.

пп 5 минути е добро пожелание. Не каза каква част от юзерите е засегната от подобен проблем. Дали 5 сек време на реакция е по-добър вариант? И оставането на проблема в сегмента естествено.

Адрес на коментара
Сподели в други сайтове

  • 0

lorddredbg имам изцяло гигабитовата версия на SMC-то дето си цитирал и не мисля че ще стане с него. Той е отказоустойчив и няма Loop protection, както и повечето опции възможни за устройства в същият ценови клас, че и по-евтини. Единствено може да намали количеството броадкаст.


Post Merge: [time]1258581600[/time]

Mile, не съм казал че с 15 левов свич може да се прави адекватен порт-акаунтинг.  :)

За блоковете решението си е само едно - оптика до станцията или Нод, читав многопортов смарт суич или стек от такива и отделен UTP линк до всеки клиент. Така си решаваш 90% от проблемите в мрежата.


Post Merge: [time]1258623287[/time]

Миле, Нямам по-големи сигмента от 50 клиента зад порт на по-сериозен L2 суич, така че в най-лошият случай толкова. Иначе във локалната фирмена мрежа съм пробвал монтански суич, настроен с порт-базиран V-lan, в който пъхам пач кабел в 2 порта. До минута суича се ошашавва и всичко дето е закачено за и след него губи нет...обаче всичко пред него си работи перфектно.

Адрес на коментара
Сподели в други сайтове

  • 0

gbdesign аз знам какво се получава, но идеята е да си направят сметка хората почващи с това. Ясни са ми предимствата на твоето решение, но мрежата ти с подобни решения и смотани ланаджии (което е стандарт) става супер тромава и абсурдна за поддръжка от нормалния персонал (който евентуално ползва мултицет веднъж годишно и vlan за него е синоним на wlan), с което се загубва смисъла от цялата галимация. Също и става трудна за ориентация при евентуалниен растеж и прокарване на нови vlan-и по различните портове, опции за локал връзка между точки в мрежата и т.н. Все услуги позволяващи ARPU да расте (защото клиентите са N брой и нарастването на броя им в един момент става доста комплицирано). Съответно и всеки свикнал до сега да удвоява капацитет, оборот и прочие влиза в доста порочен кръг.

При моя начин също е пълно с недостатъци и недомислици, но е факт, че дори ланаджия олигофрен е невъзможно да обърка нещо. Дори и да се постарае. Каквото и да направи щетата обикновено ще е за 1 клиент или малък сегмент от 8-16 клиента. Дори да обърка адрес, мрежа, маска и етк не е фатално, а клиентите с локални връзки така или иначе са затворени сами със себе си ако не им е платен нет-а (по default).

Варианти много, но цената per user не си заслужава усилията. Братята руснаци са го сметнали в няколко теми в техния форум и не е нужно да откриваме топлата вода.

Адрес на коментара
Сподели в други сайтове

  • 0

zdraveite

sled malko testove - tvurdo sum za ruteri. vsiako seliste tr da ima ruter, s vlana se poiaviha sustite problemi - vse edno che niama nikakva promiana v mrejata. s ruterite vsichko si e na miastoto - bez paraziten trafik prez opornite traseta!

pozdravi

пиши на кирилица

Адрес на коментара
Сподели в други сайтове

  • 0

Аз не успях да схвана идеята на тази постановка, но определено vlan сегментирането не е пенкилер. Има си плюсове, има си и минуси.

"вируси и др подобни си остава" каде се очаква да отиде тоя трафик с vlan-и? В космоса ли? Религията ли какво не ви позволява да шейпите на вярното място със сравнително приличен хардуер, който да удържи няколко к пакета генерирани от случайно заразена машина?

+1 и + още дори 1 :)

Както и първия пост на Миро Петков за рутирането е +1.

- Рутиране: OSPF

- 'Шейп'-ене на правилното място.

EoIP има голям голям голям овърхед - допълнтиелна иформация която не бих предавал.

За VLAN ти трябва Layer2 свързаност, освен ако не го пускаш върху EoIP.

Дори WDS има овърхед, а и nstreme и т.н. не работи добре с него.

Както и SS7 е казвал преди - рутиране! И аз мисля така.

Какво по-точно ви липсва на arping-а?

Какво толкова ви трябва на Layer2 ?

Мерси.

P.S. поздравления, Puh, че си открил правилния начин :o

P.S. 2: За клиентско потребление - Layer 3 - рутиране

Ако имате нужди за административни цели до Layer 2 сегмента - може да се направи с EoIP което да се употребавя рядко само при нужда. Има прекалено голям овърхед понеже.

*овърхед - overhead - когато информацията се предава заедно с друга - контролна информация - която от своя страна е прекалено голяма, особено когато се сумират много потоци, клиенти, пакети, фреймове ...

-

Адрес на коментара
Сподели в други сайтове

  • 0

И мен ме мъчи таз тема когато иде реч за безжичен достъп , да речеме HotSpot мрежи.

Сега конкретно:

Имаме Покрив на висок хотел и тех. стаичка :-)

На около 1,5-2км. плажна ивица с добре разпределени (конкуренция бате) барчета-капанчета.

На всяко капанче имаме 5GHz радио към кулата и 2GHz радио с омни за лаптопите на плажуващите.

Вариянт РУТИРАНЕ:

Наистина красив - отделна частна мрежа на DHCP на всяко AP и NAT на едно реално IP към кулата.

Абе като по НЕКЕРМАН :-) . Проблема е , когато накои лаптопи се намират на границата на сигнала между две АП-та - ше съ кандилка DHCP постоянно ..... а такива зони много.

Вариант БРИДЖИНГ:

Една голяма частна IP мрежа и

1. EBTABLES на АПтата

или

2. VLAN от всяко АП до централния рутер и там всичките vlan=> br0

... и яз можем, и тате може, ма козата си сака пръч!

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

В изградена от мен мрежа всички АР-та с 2 карти всяко обединени в бридж последващ по ЕоИП

до основния сървър кадето има бридж на всички еоипита и  Хотспот

лимит по сигнал на всяки wifi деваис -80 почти без зони на покритие

возейки се на колелото и минавайки прокрай 10-тина АР-та

не ми дропи скаипа дори когато говоря

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

В изградена от мен мрежа всички АР-та с 2 карти всяко обединени в бридж последващ по ЕоИП

до основния сървър кадето има бридж на всички еоипита и  Хотспот

лимит по сигнал на всяки wifi деваис -80 почти без зони на покритие

возейки се на колелото и минавайки прокрай 10-тина АР-та

не ми дропи скаипа дори когато говоря

по време на разговор

Аз помня преди време пробвах точно такъв вариант, отделните Ап-та да се бриджнат през еоип и на брижда се пусне хотспот ама не винаги мо работеше както трябва, но може да е било и от разликата във версиите на двете машини едната беше 2.9.27.като се направи изолация между ап-тата поне няма да има мноо паразитен трафик.

Не отговарям на постове написани с шльокавица!

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

за това се ползва бридж филтър

ако не е насочен към/през хотспота трафика "да оди на м*** си"

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.

×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.