Настало время разбить на подсети.

[ucTuHa 199]

В данный момент имеется сеть. Ip адреса 10.10.10 10.10.11 10.10.12 10.10.14. Маска 255.255.0.0

Естественно сеть в пик перегружена. Нужно бить на подсети. В данный момент из серверной уходит 3 линка в разные стороны.

Маска 255.255.0.0 позволяет всем компьютерам общаться между собой, и они то есть компьютеры грузят сеть broadcast'ами.

Вопрос: как правильней разбить на подсети.

Могу ли я просто поставить в центре L3, которое просто будет блокировать порты 137-139 и 445, и тем самым снизить хождения пекетов broadcast,

или же мне нужно делать что бы в одну сторону уходили 10.10.10 с маской 255.255.255.0, в другую 10.10.11 с той же маской, и в третью 10.10.12 с той же маской, а на железке связать эти подсети в одну.

И еще такой вопрос, для этих целей обязательно L3. Или же это можно сделать и на l2 железе которое намного дешевле?

Заранее спасибо за ваши ответы.

[icecybe 35]

Освойте для начала основы сете строения, вланы, вланы на базе портов и откроется вам настоявший смысл вашего Ника

[mr.Dream 164]

И еще такой вопрос, для этих целей обязательно L3. Или же это можно сделать и на l2 железе которое намного дешевле?

 

По суті л2 це комутатор, л3 - маршрутизатор. У вашому випадку потрібна маршрутизація трафіку з однієї підмережі в іншу. (ви хочете, щоби юзери підмереж бачились?)

Можна замутити і без роутера - на одній мережевій налаштувати кілька підмереж (якщо всі "гілки" сходитимуться в одну)

[Mobil 68]

есть 2 варианта:

 

1) свитч л2+роутер FreeBSD или Mikrotik с VLANами.

2) Железка л3 в центр с VLANами.

 

Что бы сети друг друга видели нужно настроить маршрутизацию в обоих случаях.

[natiss 16]

Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик

[911 140]

а можно поставить циску с ip unnumbered )))

[natiss 16]

а можно поставить циску с ip unnumbered )))

может вятту?

вообще в крупных сетях никто не дробит сетки на /24

вот предлагаю ucTuHa подумать почему.

[ucTuHa 199]

Освойте для начала основы сете строения, вланы, вланы на базе портов и откроется вам настоявший смысл вашего Ника

С утра до вечера сижу на википедии, но порой лучше что бы на пальцах объяснили.

Вот почитал много статей про VLAN. Описано, что это, какие есть разновидности, что такую сеть легко контролировать,а что именно это дает хз.

По суті л2 це комутатор, л3 - маршрутизатор. У вашому випадку потрібна маршрутизація трафіку з однієї підмережі в іншу. (ви хочете, щоби юзери підмереж бачились?)

Можна замутити і без роутера - на одній мережевій налаштувати кілька підмереж (якщо всі "гілки" сходитимуться в одну)

Я понял. Да мне нужно что бы все могли играть по сети, и что бы все клиенты могли обмениваться торрент трафиком.

Вот цитата natiss: Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик.

Чем этот вариант плох? Что такого все таки дает VLAN.

И самый главный вопрос Если я выберу вариант с VLAN. обязательно что каждая подсеть имела именно свое ip?

или же мне нужно делать что бы в одну сторону уходили 10.10.10 с маской 255.255.255.0, в другую 10.10.11 с той же маской, и в третью 10.10.12 с той же маской, а на железке связать эти подсети в одну.

То есть приходят в серверную к линии, и на каждой из них есть 10.10.10. 10.10.11 10.10.12. 10.10.14

Придется всем заново раздавать ip? Что бы с одной стороны приходила 10.10.10. с другой 10.10.11 с третей 10.10.12 с четвертой 10.10.14??

[icecybe 35]

обьясните для начала по другому.

1 метод авторизаций клиентов

2 пропускная способность канала или траффик который должен кататся в подсетях

3 зачем вообше такая лабудень с подсетками ?

[ucTuHa 199]

1. В данный момент Трафик Инспектор. С нового года будем переходить на Nodeny. Авторизация скорее всего будет их L2 авторизатором.

2. 100 мегабит мир. 300 FTP + Торрент.

3. Я не знаю что мне нужно что бы убрать BroadCast мусор, все пишут бей на подсети, вот я и спросил.

Или можно просто по всей сети наставить DLinkов и просто рубить 135-137? Вроде бы так сделано в одной из сетей нашего города.

Но мне нужно на перспективу, сделать так что бы сеть нормально работала и мог подключить еще много народу.

[NEP 217]

а можно поставить циску с ip unnumbered )))

 

Ну, не все сразу. Что бы это понять многим необходимо пройти долгий путь

- сначала всех поместить в один широковещательный домен. освоить принципы ip адресации на не маршрутизируемых в Интернет диапазонах

- потом надо освоить НАТ

- потом надо прийти к пониманию планов адресации и "разбить" одну сеть на много небольших

- столкнуться с высокой нагрузкой НАТ

- потом надо получить блок маршрутизируемых в Интернет адресов

- ну какое то время посидеть на двух планах адресации и PPPoE/VPN и понять всю проблемность и не масштабируемость схем с двумя планами адресации и двумя схемами маршрутизации

- получить еще один блок маршрутизируемых в Интернет адресов, ведь первый был очень скромного размера

- перейти на один план адресации на маршрутизируемых в Интернет адресах

- побаловаться с Opt82 и изоляцией портов

- понять, что адреса используются не эффективно

- пару раз поменять план адресации vlan на район/село/дом/подьезд...

...

- перейти на vlan per user + ip unnumbered/private vlan/super vlan

 

А вы берете, и резко обламываете человеку кайф. Зачем спрашивается. Он еще ни морально ни физически не готов воспринимать эту информацию

^

|

Он еще здесь.

[Kucher2 122]

На перспективу - это когда у Вас из серверной уходит толстенный оптический кабель волокон на 200 и в каждый дом приходит по волокну.

Если у Вас сеть на меди и китайских мыльницых, то даже банальное разделение на подсети уберёт кучу проблем, которые имеют свойство множится с ростом абонентов. Всё равно что будет стоять в центре - софтовый роутер или специализированная железка, ибо независимость участков сети повышет общую надёжность.

Только делать в сегменте машин более 150 я б не советовал. А лучше не более сотни, если у Вас 100Мбит-ная сеть.

[ucTuHa 199]

Я согласен, но судя по пингу в сети в пик, времени на изучение у меня не так много, сижу учу freebsd и походу лажу в гугле и тут.

[ucTuHa 199]

На перспективу - это когда у Вас из серверной уходит толстенный оптический кабель волокон на 200 и в каждый дом приходит по волокну.

Если у Вас сеть на меди и китайских мыльницых, то даже банальное разделение на подсети уберёт кучу проблем, которые имеют свойство множится с ростом абонентов. Всё равно что будет стоять в центре - софтовый роутер или специализированная железка, ибо независимость участков сети повышет общую надёжность.

Только делать в сегменте машин более 150 я б не советовал. А лучше не более сотни, если у Вас 100Мбит-ная сеть.

Не 100 уже ложем оптику.

Короче пока не морочить голову, брать L2 ставить в цент и тупо резать вредные порты?

[natiss 16]

[

Я понял. Да мне нужно что бы все могли играть по сети, и что бы все клиенты могли обмениваться торрент трафиком.

Вот цитата natiss: Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик.

Чем этот вариант плох? Что такого все таки дает VLAN.

И самый главный вопрос Если я выберу вариант с VLAN. обязательно что каждая подсеть имела именно свое ip?

 

То есть приходят в серверную к линии, и на каждой из них есть 10.10.10. 10.10.11 10.10.12. 10.10.14

Придется всем заново раздавать ip? Что бы с одной стороны приходила 10.10.10. с другой 10.10.11 с третей 10.10.12 с четвертой 10.10.14??

что сейчас у клиентов шлюз по умолчанию?

[ucTuHa 199]

[

Я понял. Да мне нужно что бы все могли играть по сети, и что бы все клиенты могли обмениваться торрент трафиком.

Вот цитата natiss: Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик.

Чем этот вариант плох? Что такого все таки дает VLAN.

И самый главный вопрос Если я выберу вариант с VLAN. обязательно что каждая подсеть имела именно свое ip?

 

То есть приходят в серверную к линии, и на каждой из них есть 10.10.10. 10.10.11 10.10.12. 10.10.14

Придется всем заново раздавать ip? Что бы с одной стороны приходила 10.10.10. с другой 10.10.11 с третей 10.10.12 с четвертой 10.10.14??

что сейчас у клиентов шлюз по умолчанию?

Та же TI машины.

[natiss 16]

а можно поставить циску с ip unnumbered )))

 

Ну, не все сразу. Что бы это понять многим необходимо пройти долгий путь

- сначала всех поместить в один широковещательный домен. освоить принципы ip адресации на не маршрутизируемых в Интернет диапазонах

- потом надо освоить НАТ

- потом надо прийти к пониманию планов адресации и "разбить" одну сеть на много небольших

- столкнуться с высокой нагрузкой НАТ

- потом надо получить блок маршрутизируемых в Интернет адресов

- ну какое то время посидеть на двух планах адресации и PPPoE/VPN и понять всю проблемность и не масштабируемость схем с двумя планами адресации и двумя схемами маршрутизации

- получить еще один блок маршрутизируемых в Интернет адресов, ведь первый был очень скромного размера

- перейти на один план адресации на маршрутизируемых в Интернет адресах

- побаловаться с Opt82 и изоляцией портов

- понять, что адреса используются не эффективно

- пару раз поменять план адресации vlan на район/село/дом/подьезд...

...

- перейти на vlan per user + ip unnumbered/private vlan/super vlan

 

А вы берете, и резко обламываете человеку кайф. Зачем спрашивается. Он еще ни морально ни физически не готов воспринимать эту информацию

^

|

Он еще здесь.

зато вы уже в последней стадии.

причем единственный в мире. на наг.ру никто не подписался, что использует влан пер юзер. я очень сомневаюсь, что в европе его используют.

 

[

Я понял. Да мне нужно что бы все могли играть по сети, и что бы все клиенты могли обмениваться торрент трафиком.

Вот цитата natiss: Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик.

Чем этот вариант плох? Что такого все таки дает VLAN.

И самый главный вопрос Если я выберу вариант с VLAN. обязательно что каждая подсеть имела именно свое ip?

 

То есть приходят в серверную к линии, и на каждой из них есть 10.10.10. 10.10.11 10.10.12. 10.10.14

Придется всем заново раздавать ip? Что бы с одной стороны приходила 10.10.10. с другой 10.10.11 с третей 10.10.12 с четвертой 10.10.14??

что сейчас у клиентов шлюз по умолчанию?

Та же TI машины.

не понял

10.10.10.1 10.10.11.1 .. ??

[ucTuHa 199]

10.10.10.250 шлюз, он же dns с TI

[natiss 16]

На перспективу - это когда у Вас из серверной уходит толстенный оптический кабель волокон на 200 и в каждый дом приходит по волокну.

Если у Вас сеть на меди и китайских мыльницых, то даже банальное разделение на подсети уберёт кучу проблем, которые имеют свойство множится с ростом абонентов. Всё равно что будет стоять в центре - софтовый роутер или специализированная железка, ибо независимость участков сети повышет общую надёжность.

Только делать в сегменте машин более 150 я б не советовал. А лучше не более сотни, если у Вас 100Мбит-ная сеть.

у маскнета маска /21 у датагруппа кажется /22 ил /21 у хтс было /19 вроде у билайна .. ?

возникает вопрос "почему?"

[natiss 16]

10.10.10.250 шлюз, он же dns с TI

тогда у Вас нет выбора - ставьте л2 коммутатор и фильтруте, что считаете лишним на нем. более менее путевые коммутаторы на такое способны. вланы в такой схеме не нужны.

[ucTuHa 199]

Понял спасибо, и последний вопрос, вот например железка D-Link написано, 4 комбо порта, и 20 портов ethernet 10/100/1000. Только комбо могут фильтровать или же обычные тоже, просто через медиаконвертор подключить оптику и все.

[natiss 16]

Понял спасибо, и последний вопрос, вот например железка D-Link написано, 4 комбо порта, и 20 портов ethernet 10/100/1000. Только комбо могут фильтровать или же обычные тоже, просто через медиаконвертор подключить оптику и все.

обычно все порты могут фильтровать на железках такого класса.

[ucTuHa 199]

Огромное спасибо.

[Kucher2 122]

У Вас много абонов уже? Лучше недельку помучаться, сделать сразу по-нормальному.

Правда я переводил всех на подсети недели 3. И всё равно даже через год звонили и спрашивали "Ачётакоебляинетанетумя-явТурциибыл!".

[ucTuHa 199]

У Вас много абонов уже? Лучше недельку помучаться, сделать сразу по-нормальному.

Правда я переводил всех на подсети недели 3. И всё равно даже через год звонили и спрашивали "Ачётакоебляинетанетумя-явТурциибыл!".

Обьясните в двух словах чем плохо просто разбить на сегменты и порезать вредные порты, и чем лучше ваш вариант. Клиентов 500. 3 стороны по 100 мегабит, по вечерам бывает когда много людей качает с торрента пинг в сети поднимается, поэтому и задумался что пора уже начинать что то делать, по деньгам трудно, так как кредиты, поэтому не вовремя все делать начал, а только сейчас.

Начинаем оптику тянуть.