|
ru.networks
- RU.NETWORKS ------------------------------------------------------------------
From : Pavel Makarenko 2:5025/14 29 Nov 2002 23:40:34
To : Alex Fadeev
Subject : managed switch 5-8 port with vlan support
--------------------------------------------------------------------------------
29 Nov 30 08:56, Alex Fadeev wrote to Pavel Makarenko:
PM>> у таких советчиков покупать вообще ничего нельзя
AF> Это не продавцы, а советчики вроде здешних, только спрашивал я на
AF> iXBT и на CIT forum.
это лишь подтверждает, что выбранный тобой путь - пагубный
PM>> к примеру alliedtelesyn 8124xl (но это уже старая модель, на ныне
PM>> выпускаемых наверняка также), hp procurve 25xx. да и вообще имхо
AF> Есть. Вопрос именно про перекрытие портов.
AF> Да и железяки не дешевые - от 600$.
$600 за hp procurve 2524? за такую машину - дешево
PM>> Alex, извини, но это решение "через жопу" :)
PM>> и не нужна поддержка dot1q на кабельмодемах. алгоритм решения
PM>> прост и эффективен: в удаленном офисе модем подключаем к машинке,
PM>> которая будет маршрутизировать трафик, а заодно и в виде
PM>> дополнительного бонуса простенький пакетный фильтр весьма не
PM>> помешает. вся маршрутизация заключается в трех-четырех строках со
PM>> статическими маршрутами. причем в зависимости от финансовых
PM>> возможностей можно использовать и настоящий роутер, а можно
PM>> собранную из неликвидов машинку под freebsd/linux, причем для
PM>> твоих задач наличие харддиска уже избыточно :) пакетным фильтром
PM>> разрисуешь кому из каких групп и по каким протоколам можно или
PM>> нет коннектиться ей богу, так задача решается красивее (даже не
PM>> побоюсь этого слова, кошернее), чем какие-то multivlan mac-addr
PM>> based и тому подобные суррогаты
AF> 1. Пакетный фильтр не нужен, ибо на другом конце стоит сервер, который
AF> с этой задачей и сам справится. Да и нет такой задачи.
то ты говоришь, что юзерье из твоих трех рабгрупп не должны "видеть" друг друга
(кстати, что это за термин такой "видеть сеть"? пинговать друг друга?), то тебе
не нужна никакая фильтрация. ты уж вибирай что-либо одно. скорее всего у тебя
проблема безопасности остро не стоит
AF> 2. Это решение как раз "через жопу"
это с каких это пор решение межсетевого взаимодействия с использованием
маршрутизаторов стало неправильным, а использование костылей с портбазед да еще
и с перекрытием портов - правильным?
тота ты никак не можешь даже железку подходящую найти. это характеризует
выбранное решение с негативной стороны
AF> ибо в удаленном офисе на стенке
AF> висит 19" шкафчик под замком, там должен стоять свич на 16/24 порта и
AF> кабельный модем. Комп в шкаф не лезет никак.
изначально ограничений на занимаемый объем не было
AF> Hедоступность сетевых компонентов для юзверей - обязательное условие.
AF> А то переткнут местами провода в сетевухах .....
адреса юзерам выдавать через dhcp по mac-адресам и заморозить arp-таблица на
роутере. административно запретить манипуляции с сетевыми причиндалами всем,
кроме сисадминов. нарушителей карать
AF> Отдельное охраняемое помещение делать для двух железяк? :-)
явно избыточно :)
AF> Там аренда 600 рублей в месяц за квадратный метр :-(
подвесить оборудование над головой самого противного пользователя, которого
совсем не жалко :)
AF> 3. Если надо 3 vlana и кабельный модем, то в компе должно стоять 4
AF> сетевухи + видеокарта - не каждая старая материнка имеет 5 PCI
видеокарта не нужна, пропускная способность кабельмодема больше 10мбит? значит
можно использовать isa карточки
AF> разъемов. А если расширение - куда сетевухи втыкать? Плюс к этому
в оставшиеся свободные слоты
AF> надо каждую сетевуху подключить к своему хабу/свичу: старый комп + 4
AF> сетевухи + 3 свича = не такие уж маленькие деньги.
зачем 3 свича? вот если ты используешь свитч с dot1q, то на роутере можно
обойтись всего одной сетевой картой (очень рекомендуется intel 82557/558/559)
AF> 4. Hадежность не идет ни в какое сравнение - блок питания у компа
AF> менее надежен (как показывает практика)
не надо покупать какашки
AF> , винчестеры
он тебе не нужен
AF> и дискеты (особенно последние) в подметки не годятся флешке у свича.
держи операционку на cdr
AF> Энергопотребление тоже - маленький UPS можно и в шкаф запихать, свич
AF> с модемом пару часов проработают.
ну это смотря какой свитч
AF> 5. Свитч настраивается гораздо проще, чем linux, все настройки
AF> записываются на бумажку и в случае слета настроек (что само по себе
AF> невероятно) восстанавливаются удаленно телнетом за 5 минут. Линукс
AF> переставлять - 5 минут?
сделай 5 копий рабочей системы на cdr/cdrw - восстановление работоспособности
гарантировано меньше 5 минут. или flash-диск с интерфейсом ata :)
записывать на бумажке конфигурацию - дилетанство, правильный свитч позволяет
сохранить ее, к примеру, на tftp сервере. и считать ее оттуда же
AF> Компания CNet Technology начала поставки новой версии коммутатора
AF> CNSH-1600, оснащенного шестнадцатью 10/100 Мбит/с портами.
AF> Рекомендованная розничная цена CNet CNSH-1600 - $130.
так тебе надо за двести баксов решить проблему или чтоб хорошо работало? если
деньги не являются определяющим фактором, то настоящий роутер - самое оно. тебе
самому понравиться. кстати, он хорошо будет смотреться в шкафчике на стене :)
а сколько юзеров в твоих трех рабгруппах всего? меньше 20?
pavel
--- GoldED/386 3.00.Beta5+
* Origin: default error (2:5025/14)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
