ucTuHa 199 Опубликовано: 2010-12-11 09:04:26 Share Опубликовано: 2010-12-11 09:04:26 В данный момент имеется сеть. Ip адреса 10.10.10 10.10.11 10.10.12 10.10.14. Маска 255.255.0.0 Естественно сеть в пик перегружена. Нужно бить на подсети. В данный момент из серверной уходит 3 линка в разные стороны. Маска 255.255.0.0 позволяет всем компьютерам общаться между собой, и они то есть компьютеры грузят сеть broadcast'ами. Вопрос: как правильней разбить на подсети. Могу ли я просто поставить в центре L3, которое просто будет блокировать порты 137-139 и 445, и тем самым снизить хождения пекетов broadcast, или же мне нужно делать что бы в одну сторону уходили 10.10.10 с маской 255.255.255.0, в другую 10.10.11 с той же маской, и в третью 10.10.12 с той же маской, а на железке связать эти подсети в одну. И еще такой вопрос, для этих целей обязательно L3. Или же это можно сделать и на l2 железе которое намного дешевле? Заранее спасибо за ваши ответы. Ссылка на сообщение Поделиться на других сайтах
icecybe 35 Опубліковано: 2010-12-11 09:29:16 Share Опубліковано: 2010-12-11 09:29:16 Освойте для начала основы сете строения, вланы, вланы на базе портов и откроется вам настоявший смысл вашего Ника Ссылка на сообщение Поделиться на других сайтах
mr.Dream 164 Опубліковано: 2010-12-11 11:11:15 Share Опубліковано: 2010-12-11 11:11:15 И еще такой вопрос, для этих целей обязательно L3. Или же это можно сделать и на l2 железе которое намного дешевле? По суті л2 це комутатор, л3 - маршрутизатор. У вашому випадку потрібна маршрутизація трафіку з однієї підмережі в іншу. (ви хочете, щоби юзери підмереж бачились?) Можна замутити і без роутера - на одній мережевій налаштувати кілька підмереж (якщо всі "гілки" сходитимуться в одну) Ссылка на сообщение Поделиться на других сайтах
Mobil 66 Опубліковано: 2010-12-11 11:17:00 Share Опубліковано: 2010-12-11 11:17:00 есть 2 варианта: 1) свитч л2+роутер FreeBSD или Mikrotik с VLANами. 2) Железка л3 в центр с VLANами. Что бы сети друг друга видели нужно настроить маршрутизацию в обоих случаях. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2010-12-11 11:26:52 Share Опубліковано: 2010-12-11 11:26:52 Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2010-12-11 11:35:13 Share Опубліковано: 2010-12-11 11:35:13 а можно поставить циску с ip unnumbered ))) Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2010-12-11 11:53:36 Share Опубліковано: 2010-12-11 11:53:36 а можно поставить циску с ip unnumbered ))) может вятту? вообще в крупных сетях никто не дробит сетки на /24 вот предлагаю ucTuHa подумать почему. Ссылка на сообщение Поделиться на других сайтах
ucTuHa 199 Опубліковано: 2010-12-11 15:49:25 Автор Share Опубліковано: 2010-12-11 15:49:25 Освойте для начала основы сете строения, вланы, вланы на базе портов и откроется вам настоявший смысл вашего Ника С утра до вечера сижу на википедии, но порой лучше что бы на пальцах объяснили. Вот почитал много статей про VLAN. Описано, что это, какие есть разновидности, что такую сеть легко контролировать,а что именно это дает хз. По суті л2 це комутатор, л3 - маршрутизатор. У вашому випадку потрібна маршрутизація трафіку з однієї підмережі в іншу. (ви хочете, щоби юзери підмереж бачились?) Можна замутити і без роутера - на одній мережевій налаштувати кілька підмереж (якщо всі "гілки" сходитимуться в одну) Я понял. Да мне нужно что бы все могли играть по сети, и что бы все клиенты могли обмениваться торрент трафиком. Вот цитата natiss: Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик. Чем этот вариант плох? Что такого все таки дает VLAN. И самый главный вопрос Если я выберу вариант с VLAN. обязательно что каждая подсеть имела именно свое ip? или же мне нужно делать что бы в одну сторону уходили 10.10.10 с маской 255.255.255.0, в другую 10.10.11 с той же маской, и в третью 10.10.12 с той же маской, а на железке связать эти подсети в одну. То есть приходят в серверную к линии, и на каждой из них есть 10.10.10. 10.10.11 10.10.12. 10.10.14 Придется всем заново раздавать ip? Что бы с одной стороны приходила 10.10.10. с другой 10.10.11 с третей 10.10.12 с четвертой 10.10.14?? Ссылка на сообщение Поделиться на других сайтах
icecybe 35 Опубліковано: 2010-12-11 15:54:57 Share Опубліковано: 2010-12-11 15:54:57 обьясните для начала по другому. 1 метод авторизаций клиентов 2 пропускная способность канала или траффик который должен кататся в подсетях 3 зачем вообше такая лабудень с подсетками ? Ссылка на сообщение Поделиться на других сайтах
ucTuHa 199 Опубліковано: 2010-12-11 16:04:00 Автор Share Опубліковано: 2010-12-11 16:04:00 1. В данный момент Трафик Инспектор. С нового года будем переходить на Nodeny. Авторизация скорее всего будет их L2 авторизатором. 2. 100 мегабит мир. 300 FTP + Торрент. 3. Я не знаю что мне нужно что бы убрать BroadCast мусор, все пишут бей на подсети, вот я и спросил. Или можно просто по всей сети наставить DLinkов и просто рубить 135-137? Вроде бы так сделано в одной из сетей нашего города. Но мне нужно на перспективу, сделать так что бы сеть нормально работала и мог подключить еще много народу. Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубліковано: 2010-12-11 16:09:25 Share Опубліковано: 2010-12-11 16:09:25 а можно поставить циску с ip unnumbered ))) Ну, не все сразу. Что бы это понять многим необходимо пройти долгий путь - сначала всех поместить в один широковещательный домен. освоить принципы ip адресации на не маршрутизируемых в Интернет диапазонах - потом надо освоить НАТ - потом надо прийти к пониманию планов адресации и "разбить" одну сеть на много небольших - столкнуться с высокой нагрузкой НАТ - потом надо получить блок маршрутизируемых в Интернет адресов - ну какое то время посидеть на двух планах адресации и PPPoE/VPN и понять всю проблемность и не масштабируемость схем с двумя планами адресации и двумя схемами маршрутизации - получить еще один блок маршрутизируемых в Интернет адресов, ведь первый был очень скромного размера - перейти на один план адресации на маршрутизируемых в Интернет адресах - побаловаться с Opt82 и изоляцией портов - понять, что адреса используются не эффективно - пару раз поменять план адресации vlan на район/село/дом/подьезд... ... - перейти на vlan per user + ip unnumbered/private vlan/super vlan А вы берете, и резко обламываете человеку кайф. Зачем спрашивается. Он еще ни морально ни физически не готов воспринимать эту информацию ^ | Он еще здесь. Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2010-12-11 16:15:25 Share Опубліковано: 2010-12-11 16:15:25 На перспективу - это когда у Вас из серверной уходит толстенный оптический кабель волокон на 200 и в каждый дом приходит по волокну. Если у Вас сеть на меди и китайских мыльницых, то даже банальное разделение на подсети уберёт кучу проблем, которые имеют свойство множится с ростом абонентов. Всё равно что будет стоять в центре - софтовый роутер или специализированная железка, ибо независимость участков сети повышет общую надёжность. Только делать в сегменте машин более 150 я б не советовал. А лучше не более сотни, если у Вас 100Мбит-ная сеть. Ссылка на сообщение Поделиться на других сайтах
ucTuHa 199 Опубліковано: 2010-12-11 16:17:17 Автор Share Опубліковано: 2010-12-11 16:17:17 Я согласен, но судя по пингу в сети в пик, времени на изучение у меня не так много, сижу учу freebsd и походу лажу в гугле и тут. Ссылка на сообщение Поделиться на других сайтах
ucTuHa 199 Опубліковано: 2010-12-11 16:20:18 Автор Share Опубліковано: 2010-12-11 16:20:18 На перспективу - это когда у Вас из серверной уходит толстенный оптический кабель волокон на 200 и в каждый дом приходит по волокну. Если у Вас сеть на меди и китайских мыльницых, то даже банальное разделение на подсети уберёт кучу проблем, которые имеют свойство множится с ростом абонентов. Всё равно что будет стоять в центре - софтовый роутер или специализированная железка, ибо независимость участков сети повышет общую надёжность. Только делать в сегменте машин более 150 я б не советовал. А лучше не более сотни, если у Вас 100Мбит-ная сеть. Не 100 уже ложем оптику. Короче пока не морочить голову, брать L2 ставить в цент и тупо резать вредные порты? Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2010-12-11 16:24:43 Share Опубліковано: 2010-12-11 16:24:43 [ Я понял. Да мне нужно что бы все могли играть по сети, и что бы все клиенты могли обмениваться торрент трафиком. Вот цитата natiss: Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик. Чем этот вариант плох? Что такого все таки дает VLAN. И самый главный вопрос Если я выберу вариант с VLAN. обязательно что каждая подсеть имела именно свое ip? То есть приходят в серверную к линии, и на каждой из них есть 10.10.10. 10.10.11 10.10.12. 10.10.14 Придется всем заново раздавать ip? Что бы с одной стороны приходила 10.10.10. с другой 10.10.11 с третей 10.10.12 с четвертой 10.10.14?? что сейчас у клиентов шлюз по умолчанию? Ссылка на сообщение Поделиться на других сайтах
ucTuHa 199 Опубліковано: 2010-12-11 16:25:40 Автор Share Опубліковано: 2010-12-11 16:25:40 [ Я понял. Да мне нужно что бы все могли играть по сети, и что бы все клиенты могли обмениваться торрент трафиком. Вот цитата natiss: Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик. Чем этот вариант плох? Что такого все таки дает VLAN. И самый главный вопрос Если я выберу вариант с VLAN. обязательно что каждая подсеть имела именно свое ip? То есть приходят в серверную к линии, и на каждой из них есть 10.10.10. 10.10.11 10.10.12. 10.10.14 Придется всем заново раздавать ip? Что бы с одной стороны приходила 10.10.10. с другой 10.10.11 с третей 10.10.12 с четвертой 10.10.14?? что сейчас у клиентов шлюз по умолчанию? Та же TI машины. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2010-12-11 16:28:06 Share Опубліковано: 2010-12-11 16:28:06 а можно поставить циску с ip unnumbered ))) Ну, не все сразу. Что бы это понять многим необходимо пройти долгий путь - сначала всех поместить в один широковещательный домен. освоить принципы ip адресации на не маршрутизируемых в Интернет диапазонах - потом надо освоить НАТ - потом надо прийти к пониманию планов адресации и "разбить" одну сеть на много небольших - столкнуться с высокой нагрузкой НАТ - потом надо получить блок маршрутизируемых в Интернет адресов - ну какое то время посидеть на двух планах адресации и PPPoE/VPN и понять всю проблемность и не масштабируемость схем с двумя планами адресации и двумя схемами маршрутизации - получить еще один блок маршрутизируемых в Интернет адресов, ведь первый был очень скромного размера - перейти на один план адресации на маршрутизируемых в Интернет адресах - побаловаться с Opt82 и изоляцией портов - понять, что адреса используются не эффективно - пару раз поменять план адресации vlan на район/село/дом/подьезд... ... - перейти на vlan per user + ip unnumbered/private vlan/super vlan А вы берете, и резко обламываете человеку кайф. Зачем спрашивается. Он еще ни морально ни физически не готов воспринимать эту информацию ^ | Он еще здесь. зато вы уже в последней стадии. причем единственный в мире. на наг.ру никто не подписался, что использует влан пер юзер. я очень сомневаюсь, что в европе его используют. [ Я понял. Да мне нужно что бы все могли играть по сети, и что бы все клиенты могли обмениваться торрент трафиком. Вот цитата natiss: Можно поставить л2 свич и блокировать порты 135... это снизит межлинковый паразитный трафик. Чем этот вариант плох? Что такого все таки дает VLAN. И самый главный вопрос Если я выберу вариант с VLAN. обязательно что каждая подсеть имела именно свое ip? То есть приходят в серверную к линии, и на каждой из них есть 10.10.10. 10.10.11 10.10.12. 10.10.14 Придется всем заново раздавать ip? Что бы с одной стороны приходила 10.10.10. с другой 10.10.11 с третей 10.10.12 с четвертой 10.10.14?? что сейчас у клиентов шлюз по умолчанию? Та же TI машины. не понял 10.10.10.1 10.10.11.1 .. ?? Ссылка на сообщение Поделиться на других сайтах
ucTuHa 199 Опубліковано: 2010-12-11 16:29:36 Автор Share Опубліковано: 2010-12-11 16:29:36 10.10.10.250 шлюз, он же dns с TI Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2010-12-11 16:29:52 Share Опубліковано: 2010-12-11 16:29:52 На перспективу - это когда у Вас из серверной уходит толстенный оптический кабель волокон на 200 и в каждый дом приходит по волокну. Если у Вас сеть на меди и китайских мыльницых, то даже банальное разделение на подсети уберёт кучу проблем, которые имеют свойство множится с ростом абонентов. Всё равно что будет стоять в центре - софтовый роутер или специализированная железка, ибо независимость участков сети повышет общую надёжность. Только делать в сегменте машин более 150 я б не советовал. А лучше не более сотни, если у Вас 100Мбит-ная сеть. у маскнета маска /21 у датагруппа кажется /22 ил /21 у хтс было /19 вроде у билайна .. ? возникает вопрос "почему?" Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2010-12-11 16:31:24 Share Опубліковано: 2010-12-11 16:31:24 10.10.10.250 шлюз, он же dns с TI тогда у Вас нет выбора - ставьте л2 коммутатор и фильтруте, что считаете лишним на нем. более менее путевые коммутаторы на такое способны. вланы в такой схеме не нужны. Ссылка на сообщение Поделиться на других сайтах
ucTuHa 199 Опубліковано: 2010-12-11 16:46:56 Автор Share Опубліковано: 2010-12-11 16:46:56 Понял спасибо, и последний вопрос, вот например железка D-Link написано, 4 комбо порта, и 20 портов ethernet 10/100/1000. Только комбо могут фильтровать или же обычные тоже, просто через медиаконвертор подключить оптику и все. Ссылка на сообщение Поделиться на других сайтах
natiss 16 Опубліковано: 2010-12-11 16:48:54 Share Опубліковано: 2010-12-11 16:48:54 Понял спасибо, и последний вопрос, вот например железка D-Link написано, 4 комбо порта, и 20 портов ethernet 10/100/1000. Только комбо могут фильтровать или же обычные тоже, просто через медиаконвертор подключить оптику и все. обычно все порты могут фильтровать на железках такого класса. Ссылка на сообщение Поделиться на других сайтах
ucTuHa 199 Опубліковано: 2010-12-11 16:56:15 Автор Share Опубліковано: 2010-12-11 16:56:15 Огромное спасибо. Ссылка на сообщение Поделиться на других сайтах
Kucher2 122 Опубліковано: 2010-12-11 19:41:35 Share Опубліковано: 2010-12-11 19:41:35 У Вас много абонов уже? Лучше недельку помучаться, сделать сразу по-нормальному. Правда я переводил всех на подсети недели 3. И всё равно даже через год звонили и спрашивали "Ачётакоебляинетанетумя-явТурциибыл!". Ссылка на сообщение Поделиться на других сайтах
ucTuHa 199 Опубліковано: 2010-12-11 20:36:49 Автор Share Опубліковано: 2010-12-11 20:36:49 У Вас много абонов уже? Лучше недельку помучаться, сделать сразу по-нормальному. Правда я переводил всех на подсети недели 3. И всё равно даже через год звонили и спрашивали "Ачётакоебляинетанетумя-явТурциибыл!". Обьясните в двух словах чем плохо просто разбить на сегменты и порезать вредные порты, и чем лучше ваш вариант. Клиентов 500. 3 стороны по 100 мегабит, по вечерам бывает когда много людей качает с торрента пинг в сети поднимается, поэтому и задумался что пора уже начинать что то делать, по деньгам трудно, так как кредиты, поэтому не вовремя все делать начал, а только сейчас. Начинаем оптику тянуть. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас