Перейти до

Настало время разбить на подсети.


Рекомендованные сообщения

У Вас много абонов уже? Лучше недельку помучаться, сделать сразу по-нормальному.

Правда я переводил всех на подсети недели 3. И всё равно даже через год звонили и спрашивали "Ачётакоебляинетанетумя-явТурциибыл!". ;)

по-нормальному это vlan per user + ip unnumbered/private vlan/super vlan (с). Ваше решение для кого-то такое же дилетантское и немасштабируемое, как то, что Вы вот тут назвали "ненормальным" для Вас. ваше решение - свич л3, его решение - свич л2. кто оплатит банкет?

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 67
  • Створено
  • Остання відповідь

Top Posters In This Topic

У Вас много абонов уже? Лучше недельку помучаться, сделать сразу по-нормальному.

Правда я переводил всех на подсети недели 3. И всё равно даже через год звонили и спрашивали "Ачётакоебляинетанетумя-явТурциибыл!". ;)

Обьясните в двух словах чем плохо просто разбить на сегменты и порезать вредные порты, и чем лучше ваш вариант. Клиентов 500. 3 стороны по 100 мегабит, по вечерам бывает когда много людей качает с торрента пинг в сети поднимается, поэтому и задумался что пора уже начинать что то делать, по деньгам трудно, так как кредиты, поэтому не вовремя все делать начал, а только сейчас.

Начинаем оптику тянуть.

пинг поднимается наверно потому, что на интерфейсе полка. построите оптику - проблема снимется. зато имея оптику логично будет вернутся к этапу нагнетания локального трафика, ну потому что мира не хватит, если вся сеть - одна подсеть - проблем нет, если разные - понадобится производительный маршрутизатор. Готовы ли Вы к нему?

Ссылка на сообщение
Поделиться на других сайтах

 

Обьясните в двух словах чем плохо просто разбить на сегменты и порезать вредные порты, и чем лучше ваш вариант. Клиентов 500. 3 стороны по 100 мегабит, по вечерам бывает когда много людей качает с торрента пинг в сети поднимается, поэтому и задумался что пора уже начинать что то делать, по деньгам трудно, так как кредиты, поэтому не вовремя все делать начал, а только сейчас.

Начинаем оптику тянуть.

 

явно проблема не в "бродкасте", если конечно вы сразу блокируете пользователей с вирусной активностью, как уже говорили, скорее всего в пике локальным трафиком "ложат" порт/порты, логично предположить, что у вас на "ветке" по 160 абонентов, если поровну разделить, как-то многовато для 100 Мб/с порта...

Ссылка на сообщение
Поделиться на других сайтах

У Вас много абонов уже? Лучше недельку помучаться, сделать сразу по-нормальному.

Правда я переводил всех на подсети недели 3. И всё равно даже через год звонили и спрашивали "Ачётакоебляинетанетумя-явТурциибыл!". ;)

по-нормальному это vlan per user + ip unnumbered/private vlan/super vlan (с). Ваше решение для кого-то такое же дилетантское и немасштабируемое, как то, что Вы вот тут назвали "ненормальным" для Вас. ваше решение - свич л3, его решение - свич л2. кто оплатит банкет?

Что вы все все уцепились за тот VLAN? Какой толк от того что он прокинет виртуалку по своей колбасе в 10-20 мыльниц? Среда-то не резиновая, тем более автор сам говорит что оптикой только начали заниматься.

Я речь веду о физическом разделении - каждая подсетка в отдельный порт, чтобы ограничить бродкасты и прочие глюки, например от вирусов и физических оказий вроде банального повреждения кабеля.

 

500 абонов и на меди могут жить, смотря какая тарифная сетка. Если порезать сегментами - вполне. Хотя не могу спорить, что на оптику таки надо переводить.

Ссылка на сообщение
Поделиться на других сайтах

пинг поднимается наверно потому, что на интерфейсе полка. построите оптику - проблема снимется. зато имея оптику логично будет вернутся к этапу нагнетания локального трафика, ну потому что мира не хватит, если вся сеть - одна подсеть - проблем нет, если разные - понадобится производительный маршрутизатор. Готовы ли Вы к нему?

В данный момент наиболее просто вариант нужен, уже решил пока делать оптика+L2 на сегменты и резать вредные порты.

В будущем если будет клиентов 1к я не думаю что будет проблемой купить железку за 4-5к. Не мелочь конечно, но и пользователей побольше, а сейчас можно сказать почти 70% идет на кредиты оплата электричества и отопления.

Ссылка на сообщение
Поделиться на других сайтах

 

Обьясните в двух словах чем плохо просто разбить на сегменты и порезать вредные порты, и чем лучше ваш вариант. Клиентов 500. 3 стороны по 100 мегабит, по вечерам бывает когда много людей качает с торрента пинг в сети поднимается, поэтому и задумался что пора уже начинать что то делать, по деньгам трудно, так как кредиты, поэтому не вовремя все делать начал, а только сейчас.

Начинаем оптику тянуть.

 

явно проблема не в "бродкасте", если конечно вы сразу блокируете пользователей с вирусной активностью, как уже говорили, скорее всего в пике локальным трафиком "ложат" порт/порты, логично предположить, что у вас на "ветке" по 160 абонентов, если поровну разделить, как-то многовато для 100 Мб/с порта...

Много согласен, в основном когда с торрента одновременно много качают, но замечал и такое, к примеру протянули 4 дома, ну и пока ждали железо поставили туда битых 3-4 живых порта, и смотрю новый клиент качает с торрента и пинг поднялся до 300, кроме него почти никто не качал, как только он докачал пинг сразу же стал >1. На всякий случай заменил всю ветку на новые свичи, надеюсь проблема был в битом порте.

Ссылка на сообщение
Поделиться на других сайтах

В данный момент наиболее просто вариант нужен, уже решил пока делать оптика+L2 на сегменты и резать вредные порты.

В будущем если будет клиентов 1к я не думаю что будет проблемой купить железку за 4-5к. Не мелочь конечно, но и пользователей побольше, а сейчас можно сказать почти 70% идет на кредиты оплата электричества и отопления.

А зачем железка стоимостью в 3-4 к, поставьте сейчас стоимостью от 600-1000 у.е и делайте уже по правильному, выбор коммутаторов в этой цене есть.

Ссылка на сообщение
Поделиться на других сайтах

 

Обьясните в двух словах чем плохо просто разбить на сегменты и порезать вредные порты, и чем лучше ваш вариант. Клиентов 500. 3 стороны по 100 мегабит, по вечерам бывает когда много людей качает с торрента пинг в сети поднимается, поэтому и задумался что пора уже начинать что то делать, по деньгам трудно, так как кредиты, поэтому не вовремя все делать начал, а только сейчас.

Начинаем оптику тянуть.

 

явно проблема не в "бродкасте", если конечно вы сразу блокируете пользователей с вирусной активностью, как уже говорили, скорее всего в пике локальным трафиком "ложат" порт/порты, логично предположить, что у вас на "ветке" по 160 абонентов, если поровну разделить, как-то многовато для 100 Мб/с порта...

Много согласен, в основном когда с торрента одновременно много качают, но замечал и такое, к примеру протянули 4 дома, ну и пока ждали железо поставили туда битых 3-4 живых порта, и смотрю новый клиент качает с торрента и пинг поднялся до 300, кроме него почти никто не качал, как только он докачал пинг сразу же стал >1. На всякий случай заменил всю ветку на новые свичи, надеюсь проблема был в битом порте.

конечно что в этом битом порте, было аналогичное и у нас и у многих других-мыльници с битыми портами нельзя никак ставить в сеть...уже лучше часть сети не будет работать чем всё накроется...в вашем случае дешевле всего будеть поставить в точках откуда выходять по 2-3 магистрали на следующие дома-обычный коспекс 16 портовый (цена вопроса около 45 у.е.)который умеет портовый влан - вы заметно и сразу увидете разницу..а потом когда такого решение не будет хватать то в этих точках поменяете на полноценный л2 с гигабитными аплинками и тегами будете прокидывать к серваку всё...потом уже если и этого не будет хватать то тогда сегменты уже на л3 резать..но до этого вам ещё шагать и шагать...

Ссылка на сообщение
Поделиться на других сайтах

пинг поднимается наверно потому, что на интерфейсе полка. построите оптику - проблема снимется. зато имея оптику логично будет вернутся к этапу нагнетания локального трафика, ну потому что мира не хватит, если вся сеть - одна подсеть - проблем нет, если разные - понадобится производительный маршрутизатор. Готовы ли Вы к нему?

В данный момент наиболее просто вариант нужен, уже решил пока делать оптика+L2 на сегменты и резать вредные порты.

В будущем если будет клиентов 1к я не думаю что будет проблемой купить железку за 4-5к. Не мелочь конечно, но и пользователей побольше, а сейчас можно сказать почти 70% идет на кредиты оплата электричества и отопления.

+500 юзеров, оптика сходится на L2 в центре.

На ветку в среднем до 100 юзеров.

В пиках до 150-200 мбит в среднем до 50-ти - на ветку.

Порты не режем.

 

Присматриваемся к L3 и готовимся к переходу на ДХЦП, но пока не вижу острой необходимости все отлично работает.

Ссылка на сообщение
Поделиться на других сайтах

пинг поднимается наверно потому, что на интерфейсе полка. построите оптику - проблема снимется. зато имея оптику логично будет вернутся к этапу нагнетания локального трафика, ну потому что мира не хватит, если вся сеть - одна подсеть - проблем нет, если разные - понадобится производительный маршрутизатор. Готовы ли Вы к нему?

В данный момент наиболее просто вариант нужен, уже решил пока делать оптика+L2 на сегменты и резать вредные порты.

В будущем если будет клиентов 1к я не думаю что будет проблемой купить железку за 4-5к. Не мелочь конечно, но и пользователей побольше, а сейчас можно сказать почти 70% идет на кредиты оплата электричества и отопления.

+500 юзеров, оптика сходится на L2 в центре.

На ветку в среднем до 100 юзеров.

В пиках до 150-200 мбит в среднем до 50-ти - на ветку.

Порты не режем.

 

Присматриваемся к L3 и готовимся к переходу на ДХЦП, но пока не вижу острой необходимости все отлично работает.

 

А сейчас какая авторизация используется???

Ссылка на сообщение
Поделиться на других сайтах

авторизатор nodeny

Как раз хотел спросить за авторизатор нодени, как я писал будем переходить на эту программу, но читал что многие антивирусы считают его вирусом и толи удаляют, толи блокируют. На сколько критично? Часто сталкиваетесь?

И еще хотел спросить, почему все так тянутся к dhcp, я понимаю что ип сменить 5 секунд, но все же мне кажется лучше что бы было пароль+мак+ип, или нодени не поддерживает проверку по ип+мак? Или такое стремление как то связано с реальными ип?

Ссылка на сообщение
Поделиться на других сайтах

У нас Nodeny

3 вида авторизации

VPN + DCHP (удобно смена IP + роуты автоматически прописываются)

авторизатор (показывает баланс, отправка сообщениий)

статический Ip (роутеры, управляемый порт с ACL и т.д)

у всех 3 вариантов плюсы и минусы зато клиенту нравится

варианты в целом такие

частный сектор VPN или авторизатор

в многоквартирных домах управляемый коммутатор с ACL

Ссылка на сообщение
Поделиться на других сайтах

авторизатор nodeny

Как раз хотел спросить за авторизатор нодени, как я писал будем переходить на эту программу, но читал что многие антивирусы считают его вирусом и толи удаляют, толи блокируют. На сколько критично? Часто сталкиваетесь?

И еще хотел спросить, почему все так тянутся к dhcp, я понимаю что ип сменить 5 секунд, но все же мне кажется лучше что бы было пароль+мак+ип, или нодени не поддерживает проверку по ип+мак? Или такое стремление как то связано с реальными ип?

Ключик это реально ЗЛО. Юзеры нынче пошли туповатые и настроить брендмауер виндозный или антивирус чтобы они не блокировали ключик - это для них архисложная задача. А любой более-менее достойный антивирус ключик к серваку не пускает. Ну и стат. IP прописывать ручками - для 70% нынешних юзеров это тоже непосильная задача.

Ссылка на сообщение
Поделиться на других сайтах

И еще хотел спросить, почему все так тянутся к dhcp, я понимаю что ип сменить 5 секунд, но все же мне кажется лучше что бы было пароль+мак+ип, или нодени не поддерживает проверку по ип+мак? Или такое стремление как то связано с реальными ип?

 

Такое стремление связано с автоматизацией процесса изменения планов адресации. Вы меняете план адресации впервые, поэтому ваше непонимание лично мне понятно.

Ссылка на сообщение
Поделиться на других сайтах

Как по мне, на сегодня смысла в авторизации по паролям никакого. С повальными безлимитами, даже если какой-то умник поставит мак соседа и попользуется немного его инетом - ни сосед особо не пострадает, ни провайдер. Используйте dhcp, авторизация абонента биллингом по ip/mac и живите счастливо.

 

Ну и сеть разбейте хотя бы на 3 вилана как и хотели изначально. Не пытайтесь чего-то фильтровать в одной большой сети - помучаетесь много а эффекта видимого не будет.

Воткните ваши 'уходящие из серверной кабеля' в Л2 свич отдельными виланами, сервер с ТИ поместите в отдельный вилан и воткните в этот же свич, в него же воткните софт-роутер на linux/bsd с 2 гигабитными портами, который собственно и будет все это маршрутизировать.

Клиентам придется поменять настройки локалки, без этого никуда в любом случае. Сразу давайте все настройки автоматом по dhcp, что б при следующем изменении структуры(а изменения будут, 100%) не пришлось опять бегать к юзерам. IP из какого-то блока(можно оставить как и было, 10.10.1х.хх для каждой подсети), маска поменьше, /24 видимо пойдет, шлюз по умолчанию на роутер с linux(ip 10.10.1х.1 в каждом сегменте). Роутер обеспечит прозрачную работу локалки, и весь нелокальный трафик уже отправит на сервер с ТИ(10.250.0.1 например).

Работали с подобной схемой несколько лет, в принципе она единственная жизнеспособная с использованием ТИ. При работе как у вас, с большой бродкастовой сеткой и ТИ в виде шлюза, он и будет умирать каждые N минут, например из-за юзера запустившего netlook не с теми параметрами - миллион запросов на несуществующие адреса уйдет через ТИ и тот исчезнет из реальности на пару минут B)

Ссылка на сообщение
Поделиться на других сайтах

Ключик это реально ЗЛО. Юзеры нынче пошли туповатые и настроить брендмауер виндозный или антивирус чтобы они не блокировали ключик - это для них архисложная задача. А любой более-менее достойный антивирус ключик к серваку не пускает. Ну и стат. IP прописывать ручками - для 70% нынешних юзеров это тоже непосильная задача.

Если проблема только в фаерволе, то для нас это не проблема. На ТИ тоже агент, особых проблем нет, да прописать клиенту ip не проблема, выдали всем инструкцию пошаговою.

Такое стремление связано с автоматизацией процесса изменения планов адресации. Вы меняете план адресации впервые, поэтому ваше непонимание лично мне понятно.

В смысле что мне нужно будет всем ip Другие раздавать, а при DHCP не это нужно, так как он сам даст ip то что нужно при следующем соединении?

Как по мне, на сегодня смысла в авторизации по паролям никакого. С повальными безлимитами, даже если какой-то умник поставит мак соседа и попользуется немного его инетом - ни сосед особо не пострадает, ни провайдер. Используйте dhcp, авторизация абонента биллингом по ip/mac и живите счастливо.

 

Ну и сеть разбейте хотя бы на 3 вилана как и хотели изначально. Не пытайтесь чего-то фильтровать в одной большой сети - помучаетесь много а эффекта видимого не будет.

Воткните ваши 'уходящие из серверной кабеля' в Л2 свич отдельными виланами, сервер с ТИ поместите в отдельный вилан и воткните в этот же свич, в него же воткните софт-роутер на linux/bsd с 2 гигабитными портами, который собственно и будет все это маршрутизировать.

Клиентам придется поменять настройки локалки, без этого никуда в любом случае. Сразу давайте все настройки автоматом по dhcp, что б при следующем изменении структуры(а изменения будут, 100%) не пришлось опять бегать к юзерам. IP из какого-то блока(можно оставить как и было, 10.10.1х.хх для каждой подсети), маска поменьше, /24 видимо пойдет, шлюз по умолчанию на роутер с linux(ip 10.10.1х.1 в каждом сегменте). Роутер обеспечит прозрачную работу локалки, и весь нелокальный трафик уже отправит на сервер с ТИ(10.250.0.1 например).

Работали с подобной схемой несколько лет, в принципе она единственная жизнеспособная с использованием ТИ. При работе как у вас, с большой бродкастовой сеткой и ТИ в виде шлюза, он и будет умирать каждые N минут, например из-за юзера запустившего netlook не с теми параметрами - миллион запросов на несуществующие адреса уйдет через ТИ и тот исчезнет из реальности на пару минут B)

Уже уходим от ТИ на Nodeny

Ссылка на сообщение
Поделиться на других сайтах

Как по мне, на сегодня смысла в авторизации по паролям никакого.

при наличии привязки IP+MAC на порту нету, разве что клиент видит баланс и получает сообщения

 

когда все на неуправляемом железе как у топикстартера

то любой отключенный за задолженность может у себя прописать IP и MAC соседа и войти в интернет

В смысле что мне нужно будет всем ip Другие раздавать, а при DHCP не это нужно, так как он сам даст ip то что нужно при следующем соединении?

При DHCP вы сами прописываете на сервере кому какой ip выдать

 

то есть если вы изменили топологию (например сеть выросла и вам надо разбить существующию подсеть на две)

при DHCP вы всем сами поменяете IP, так что клиент этого и не заметит

при статике нужно обзванивать каждого клиента

Ссылка на сообщение
Поделиться на других сайтах

Я бы рекомендовал в данном случае , все ж двинутся в сторону ip unnumbered , аргументы :

- Пользователям ничего менять не надо

- Можно плавно/неспешно наращивать сегменты сети по вланам

- в перспективе проще перейти на схему юзер-влан

 

из оборудования для рывка можно пои бу скать каталист 3550 , в нете пробегали варианты по 300$

Ссылка на сообщение
Поделиться на других сайтах

у маскнета маска /21 у датагруппа кажется /22 ил /21 у хтс было /19 вроде у билайна .. ?

возникает вопрос "почему?"

Злой Вы дядька. B)

У Киевстара влан-пер-юзер например. При влан-пер-юзер маска на стороне клиента рояли не играет вообще никакой. Хоть /32 ставь, хоть /8 - эффект будет одинаковый. Всех нейборов по броадкаст-домену Вы все равно увидите с одинаковым МАС-ом - это единственный признак того, что Вас оператор подцепил на влан-пер-юзер. Так что приведенные Вами примеры ни о чем не говорят B) .

С огромным броадкаст-доменом теоретически тоже можно жить в ус не дуя. Достаточно лишь грамотно резать весь непотребный броадкаст на порту доступа юзеру и все. Единственное, далеко не каждая сохо-шелезяка (роутеры там всякие или подобные мыльницы) в состоянии адекватно жить с таблицей арп более 1000 МАС-ов. Так что все же лучше сегментировать на Л3. Или забить на жалобы юзеров на "провалы" в локалке. При нынешних тарифах локалка уже мало кому интересна...

Ссылка на сообщение
Поделиться на других сайтах

Спасибо всем, уже разобрался что мне нужно. Спасибо за дельный совет Ajar. И отдельное спасибо KaYot за очень хорошую помощь.

Ссылка на сообщение
Поделиться на других сайтах

у маскнета маска /21 у датагруппа кажется /22 ил /21 у хтс было /19 вроде у билайна .. ?

возникает вопрос "почему?"

Злой Вы дядька. B)

У Киевстара влан-пер-юзер например. При влан-пер-юзер маска на стороне клиента рояли не играет вообще никакой. Хоть /32 ставь, хоть /8 - эффект будет одинаковый. Всех нейборов по броадкаст-домену Вы все равно увидите с одинаковым МАС-ом - это единственный признак того, что Вас оператор подцепил на влан-пер-юзер. Так что приведенные Вами примеры ни о чем не говорят B) .

С огромным броадкаст-доменом теоретически тоже можно жить в ус не дуя. Достаточно лишь грамотно резать весь непотребный броадкаст на порту доступа юзеру и все. Единственное, далеко не каждая сохо-шелезяка (роутеры там всякие или подобные мыльницы) в состоянии адекватно жить с таблицей арп более 1000 МАС-ов. Так что все же лучше сегментировать на Л3. Или забить на жалобы юзеров на "провалы" в локалке. При нынешних тарифах локалка уже мало кому интересна...

У Вас есть конфиг свича Киевстара?

Вот не всё так просто. Коммуаторы не окупаются, это раз. Сложная процедура настройки это два. Сегментация на Л3 она дорогая. Оно всё хорошо теоретически. а если вспомнить, что абонент это 50-70 грн на 100 мбит, то решение "влан-пер-юзер" просто экономически необосновано. Так делают сети, для которых доступ в интернет не источник дохода, а побочная деятельность.

 

Спасибо всем, уже разобрался что мне нужно. Спасибо за дельный совет Ajar. И отдельное спасибо KaYot за очень хорошую помощь.

На каком решении остановились?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...