сегментиране - VLAN или рутери

[puh]

здравейте

сондирам мнения за сегментиране на мрежа. постановката е следната: топология звезда, на няколко нива - 5Ghz линкове до сравнително малки населени места - до 50-100 клиента. в селищата - комбинация от LAN и 5Ghz.

основен проблем - паразитен трафик, вируси или повреден клиентски харуер - радиото направо се чупи, всички интерфейси се товарят на максимум. във всички ретранслатори са пуснати филтри в бриджа между интерфейсите(WDS). принципно няма видимост между клиентите - надявам се .

да бъде решението - vlan от сървъра до последния ретранслатор или последният ретранслатор да рутира

предварително благодаря за вашите мнения!!!

[Mile]

Я ми обясни практически, а не теоретично (щото аз теории много съм слушал и малко от тях работят) следния случай:

В твоето решение се случва например: Хакната линукс машина която служи например за видеонаблюдение на вход на аптека... Или на там нещо си. Почва от там един изходящ трафик да кажем 120-130к ппс. Как разбираме от каде идва тоя трафик и достъпен ли ни е гейта въобще или се е свлякъл със скороста на падаща мазилка. Каква част от юзерите са засегнати от проблема, време на реакция и отстраняване....

Сега друг случай.

Буря. 2 свича сдават багажа и действието по дефаулт на ланаджиите "рестарт" не оправя 1 побъркал се свич. Как разбираме кой и каде е? Колко от потребителите са засегнати от проблема? Време за реакция и отстраняване..

Нека бъде едно howto направо.

[lorddredbg]

при него проблема вероятно не е от това , че му се товари крайната щаига ,а  че вероятно тези няколко к пакета от заразена машина някъде минават през някое радио и заедно с нормалния трафик го омазват . с едно ей такова нещо http://www.smc.com/index.cfm?event=viewProduct&cid=8&scid=43&localeCode=EN_BGR&pid=1604  ще си решиш проблема с луп или с бродкаст в различните сигменти по мрежата ти.

[gbdesign]

Mile, ако има хакната машина, която да бълва премного пакети в секунда /до сега не е имало/ си я хващам с iptraf и tcpdump. Ако някой суич се ошашави, най често от залупване заради окъсен кабел или изгърмяла мрежова карта или суич, просто си поглеждам картата на мрежата и гледам до къде работят клиентите. Качеството на L2 връзките тествам единствено с arping. Времето ми за реакция е около 5 мин. до локализиране, къде точно или в най-лошият случай - приблизително точно. Разбира се не ползвам разни рутерчета с ограничена функционалност а сериозни Линукс машини.

[Mile]

Аз мисля проблема е в наивноста му ^^

С 15лв свич ще се шейпи, ще се прави аккоунтинг на порт...  Хубаво е да се събудим и да разберем, че с цена към абонат 25лв не е възможно това да се случи. Освен да има само 16 етажни блокове и неограничен бюджет за изграждане на точките в тях. Тогава може би има шанс да е икономически оправдано. С моментното ARPU при повечето доставчици сме точно там кадето ни е мястото. В кофите и 15лв решенията.

пп 5 минути е добро пожелание. Не каза каква част от юзерите е засегната от подобен проблем. Дали 5 сек време на реакция е по-добър вариант? И оставането на проблема в сегмента естествено.

[gbdesign]

lorddredbg имам изцяло гигабитовата версия на SMC-то дето си цитирал и не мисля че ще стане с него. Той е отказоустойчив и няма Loop protection, както и повечето опции възможни за устройства в същият ценови клас, че и по-евтини. Единствено може да намали количеството броадкаст.

---

Post Merge: [time]1258581600[/time]

---

Mile, не съм казал че с 15 левов свич може да се прави адекватен порт-акаунтинг. 

За блоковете решението си е само едно - оптика до станцията или Нод, читав многопортов смарт суич или стек от такива и отделен UTP линк до всеки клиент. Така си решаваш 90% от проблемите в мрежата.

---

Post Merge: [time]1258623287[/time]

---

Миле, Нямам по-големи сигмента от 50 клиента зад порт на по-сериозен L2 суич, така че в най-лошият случай толкова. Иначе във локалната фирмена мрежа съм пробвал монтански суич, настроен с порт-базиран V-lan, в който пъхам пач кабел в 2 порта. До минута суича се ошашавва и всичко дето е закачено за и след него губи нет...обаче всичко пред него си работи перфектно.

[Mile]

gbdesign аз знам какво се получава, но идеята е да си направят сметка хората почващи с това. Ясни са ми предимствата на твоето решение, но мрежата ти с подобни решения и смотани ланаджии (което е стандарт) става супер тромава и абсурдна за поддръжка от нормалния персонал (който евентуално ползва мултицет веднъж годишно и vlan за него е синоним на wlan), с което се загубва смисъла от цялата галимация. Също и става трудна за ориентация при евентуалниен растеж и прокарване на нови vlan-и по различните портове, опции за локал връзка между точки в мрежата и т.н. Все услуги позволяващи ARPU да расте (защото клиентите са N брой и нарастването на броя им в един момент става доста комплицирано). Съответно и всеки свикнал до сега да удвоява капацитет, оборот и прочие влиза в доста порочен кръг.

При моя начин също е пълно с недостатъци и недомислици, но е факт, че дори ланаджия олигофрен е невъзможно да обърка нещо. Дори и да се постарае. Каквото и да направи щетата обикновено ще е за 1 клиент или малък сегмент от 8-16 клиента. Дори да обърка адрес, мрежа, маска и етк не е фатално, а клиентите с локални връзки така или иначе са затворени сами със себе си ако не им е платен нет-а (по default).

Варианти много, но цената per user не си заслужава усилията. Братята руснаци са го сметнали в няколко теми в техния форум и не е нужно да откриваме топлата вода.

[lorddredbg]

отговора ми не беше насочен към тебе а към първоначалния  въпрос и схема

[puh]

zdraveite

sled malko testove - tvurdo sum za ruteri. vsiako seliste tr da ima ruter, s vlana se poiaviha sustite problemi - vse edno che niama nikakva promiana v mrejata. s ruterite vsichko si e na miastoto - bez paraziten trafik prez opornite traseta!

pozdravi

пиши на кирилица

[NetworkPro]

Аз не успях да схвана идеята на тази постановка, но определено vlan сегментирането не е пенкилер. Има си плюсове, има си и минуси.

"вируси и др подобни си остава" каде се очаква да отиде тоя трафик с vlan-и? В космоса ли? Религията ли какво не ви позволява да шейпите на вярното място със сравнително приличен хардуер, който да удържи няколко к пакета генерирани от случайно заразена машина?

+1 и + още дори 1

Както и първия пост на Миро Петков за рутирането е +1.

- Рутиране: OSPF

- 'Шейп'-ене на правилното място.

EoIP има голям голям голям овърхед - допълнтиелна иформация която не бих предавал.

За VLAN ти трябва Layer2 свързаност, освен ако не го пускаш върху EoIP.

Дори WDS има овърхед, а и nstreme и т.н. не работи добре с него.

Както и SS7 е казвал преди - рутиране! И аз мисля така.

Какво по-точно ви липсва на arping-а?

Какво толкова ви трябва на Layer2 ?

Мерси.

P.S. поздравления, Puh, че си открил правилния начин

P.S. 2: За клиентско потребление - Layer 3 - рутиране

Ако имате нужди за административни цели до Layer 2 сегмента - може да се направи с EoIP което да се употребавя рядко само при нужда. Има прекалено голям овърхед понеже.

*овърхед - overhead - когато информацията се предава заедно с друга - контролна информация - която от своя страна е прекалено голяма, особено когато се сумират много потоци, клиенти, пакети, фреймове ...

[MiPSus]

И мен ме мъчи таз тема когато иде реч за безжичен достъп , да речеме HotSpot мрежи.

Сега конкретно:

Имаме Покрив на висок хотел и тех. стаичка :-)

На около 1,5-2км. плажна ивица с добре разпределени (конкуренция бате) барчета-капанчета.

На всяко капанче имаме 5GHz радио към кулата и 2GHz радио с омни за лаптопите на плажуващите.

Вариянт РУТИРАНЕ:

Наистина красив - отделна частна мрежа на DHCP на всяко AP и NAT на едно реално IP към кулата.

Абе като по НЕКЕРМАН :-) . Проблема е , когато накои лаптопи се намират на границата на сигнала между две АП-та - ше съ кандилка DHCP постоянно ..... а такива зони много.

Вариант БРИДЖИНГ:

Една голяма частна IP мрежа и

1. EBTABLES на АПтата

или

2. VLAN от всяко АП до централния рутер и там всичките vlan=> br0

[111111]

В изградена от мен мрежа всички АР-та с 2 карти всяко обединени в бридж последващ по ЕоИП

до основния сървър кадето има бридж на всички еоипита и  Хотспот

лимит по сигнал на всяки wifi деваис -80 почти без зони на покритие

возейки се на колелото и минавайки прокрай 10-тина АР-та

не ми дропи скаипа дори когато говоря

[Велин]

В изградена от мен мрежа всички АР-та с 2 карти всяко обединени в бридж последващ по ЕоИП

до основния сървър кадето има бридж на всички еоипита и  Хотспот

лимит по сигнал на всяки wifi деваис -80 почти без зони на покритие

возейки се на колелото и минавайки прокрай 10-тина АР-та

не ми дропи скаипа дори когато говоря

по време на разговор

Аз помня преди време пробвах точно такъв вариант, отделните Ап-та да се бриджнат през еоип и на брижда се пусне хотспот ама не винаги мо работеше както трябва, но може да е било и от разликата във версиите на двете машини едната беше 2.9.27.като се направи изолация между ап-тата поне няма да има мноо паразитен трафик.

[111111]

за това се ползва бридж филтър

ако не е насочен към/през хотспота трафика "да оди на м*** си"