Transparentní sí

novajz · Příspěvekod **novajz** » 18 years ago

Lidi, poradte, jak by se dala čistě teoreticky udělat plně transparentni sit(až po router)???? Nemyslím jen s Mikrotiky, ale třeba v kombinaci s hardwarovymi Ap, atd atd. Berme to spíš jako diskuzi

doufám, že mě za to neukamenujete.

belmorfeus · Příspěvekod **belmorfeus** » 18 years ago

za to te nikdo neukamenuje, bratr lynč ale na tebe nedočkavě čeká.

Plně transparetní sí je zvrhlost od více jak 2 uživatelů, routovat routovat a zase jenom routovat.

net.work · Příspěvekod **net.work** » 18 years ago

mozna bys neveril, ale znam sit, kde meli cca. 4000 useru a avsechno v bridgi (pohromade jim to drzelo jen par cisco maschinek) :-d :-D

nechapal sem nic jak sem to slysel.....

fujara · Příspěvekod **fujara** » 18 years ago

net.work píše:mozna bys neveril, ale znam sit, kde meli cca. 4000 useru a avsechno v bridgi (pohromade jim to drzelo jen par cisco maschinek) :-d nechapal sem nic jak sem to slysel.....

Jo tak to sa tesim ako ta tu nejaky "pubertak" zrusi za to ze routovanie je rychlejsie ako bridgeovanie

ale preco sa potom nove siete robia ako bridge. Ale ano maju pravdu zle nastavenie bridge je horsie ako routovanie. Osobne mam siet asi 500 wireless userov (nepocitam tych co su na kably) a nemam najmensi problem. Skor maju problem moji znamy co routuju a jaksi to OSPF atd. nejak nie dobre funguje a problem maju skor oni...

Maxik · Příspěvekod **Maxik** » 18 years ago

Podle me muze byt v 1 segmentu klidne 50PC samozrejme vic je uz nutne routovat, hlavne kvuli broadcastum atd. Nechapu lidi co routuji kazde PC je to silene slozite mraky rout a prinos zadnej, pripadne me opravte v cemze je to ma ty vyhody

Chimiak · Příspěvekod **Chimiak** » 18 years ago

Materska firma, ktera nasi sit nedavno koupila ma switchovanou sit a cca 4000 uzivatelu. Cela sit je postavena na Cisco switchich a nekolika paternich routerech (mezi routery je ospf a do netu BGP). Vsechny linky jsou zarazeny do jednotlivych Vlan a cele je to switchovane. Vsechny spoje jsou plne transparentni (od licencnich spoju pres 10GHz spoje, Tranga, Canopy a Quickbridge az po nove zavadene Routerboardy s Mikrotikem jako ptp spoje v bridgi).

soooc · Příspěvekod **soooc** » 18 years ago

Chimiak píše:Materska firma, ktera nasi sit nedavno koupila ma switchovanou sit a cca 4000 uzivatelu. Cela sit je postavena na Cisco switchich a nekolika paternich routerech (mezi routery je ospf a do netu BGP). Vsechny linky jsou zarazeny do jednotlivych Vlan a cele je to switchovane. Vsechny spoje jsou plne transparentni (od licencnich spoju pres 10GHz spoje, Tranga, Canopy a Quickbridge az po nove zavadene Routerboardy s Mikrotikem jako ptp spoje v bridgi).

Nezaqosujes

Problem nastava, pokud ti nekdo zacne sirit bordel a treba zacne posilat neomezeny proud dat v UDP - switchovana sit lehne, u routovane to zastavi prvni router - idealne ten u too zvrhlika

Taky nemas takovy prehled, spatne se delaji zalohy (trunk, Spanning tree jsou sice cool ale maji taky svoje mouchy

).

Jsou ruzny site - podivejte se treba na http://mail.pvfree.net/db.png - tihle routuji kazdy skok

A jsou takove, ktere jsou cele switchovane

raven-il · Příspěvekod **raven-il** » 18 years ago

novajz píše:Lidi, poradte, jak by se dala čistě teoreticky udělat plně transparentni sit(až po router)???? Nemyslím jen s Mikrotiky, ale třeba v kombinaci s hardwarovymi Ap, atd atd. Berme to spíš jako diskuzi doufám, že mě za to neukamenujete.

Pomerne jednoduse, nejlepsi je asi resit to pomoci vlan a na koncich mit rozumny masinky s filtrama.

novajz · Příspěvekod **novajz** » 18 years ago

a ty rozumné mašinky s filtrama jsou jaké???

belmorfeus · Příspěvekod **belmorfeus** » 18 years ago

nechapu vas, to jenom proto aby jste si usetrili praci s routovani budete celou topologii site lamat pres koleno a davat tam radsi VPN switche ? Stejne Vam po cele siti budou litat broadcasty jako splaseny, pokud to chcete delat takto tak good luck

raven-il · Příspěvekod **raven-il** » 18 years ago

To jeste bude flame

Na koncich mame vetsinou mikrotiky, ve firewalu x pravidel na vycisteni provozu + nejake filtry v bridge a queues.

Co se tyce porovnani site bridge vs routing, ackoliv vetsinovy nazor je, ze jedine routovat, da se to v celku bez problemu provozovat i takto.

Petr Vlašic · Příspěvekod **Petr Vlašic** » 18 years ago

raven-il píše:To jeste bude flame

To teda bude.A a nelením a přihodím své polénko do ohínku:

belmorfeus píše:nechapu vas, to jenom proto aby jste si usetrili praci s routovani budete celou topologii site lamat pres koleno a davat tam radsi VPN switche ? Stejne Vam po cele siti budou litat broadcasty jako splaseny, pokud to chcete delat takto tak good luck

+1

fujara · Příspěvekod **fujara** » 18 years ago

Tak pani preco by mali lietat bridgeovanou sietou broadcasty???
Cez moju siet lieta menej broadcastov ako cez vase routovane.

/ interface bridge filter
add chain=forward packet-type=broadcast action=drop
add chain=forward mac-protocol=ip action=accept
add chain=forward action=drop

A nazaver Vam este prezradim preco to tak je

/ interface bridge nat
add chain=dstnat mac-protocol=arp arp-opcode=request arp-dst-address=x.x.x.x/32 action=arp-reply to-arp-reply-mac-address=xx:xx:xx:xx:xx:xx

kde xxx je IP a MAC adresa brany. Kedy uz konecne pochopite ze bridgeoavanie je menej narocne na procesor ako routovanie? V mikrotiku to uz pochopili a preto existuje v novej trojkovej verzii use-ip-firewall=no a vidno to aj na testoch.

belmorfeus · Příspěvekod **belmorfeus** » 18 years ago

LOL - akorat o nich nic nevis, ale netvrdim ze to nefunguje, jenom proste mel jsem bridgovanou sit protoze jsem byl linej se naucit routovat, ale ted jsem presel na MK only a pouze a jen routuju, a reknu vam neda se to srovnavat, najednou je propustnost site o 20% vetsi a najednou se vypadky na siti prakticky ztratily (to neni jenom routovanim, ale taky to svoje asi pridalo).

Pravda je dost pracne opravdu kvalitne nastavit routovani, vsechno si rozkreslit a poslat bloky tam kam maji, ale kdo si s tim da tu praci tak je za to nalezite odmenen.

PS: A ty pravidla co jsi napsal jsou snad zaklad vzdy a na jakemkoliv typu site, proste co do site nepatri musis zahodit.

Petr Vlašic · Příspěvekod **Petr Vlašic** » 18 years ago

fujara píše:Kedy uz konecne pochopite ze bridgeoavanie je menej narocne na procesor ako routovanie?

Povim vám jednu příhodu co se mi stala.
Měl jsem na stole notes(spíše krám než notebook), který jsem si chtěl připojit do sítě.Jelikož zrovna po ruce nebyl žádný switch a já v mém Desktopovém PC(Celer 2.8 ) měl jednu nevyužitou síovku, tak jsem notes zapl do ní a sbridgoval to s druhou kartou na které mám připojení do sítě.Notes byl zaplý k mé síovce přes ASIX AX8817x USB 2.0 Ethernet.Vše fungovalo perfektně.
Jednoho dne došlo na to, že jsem na notese nabootoval Linux 2.6(ARCH) a pokoušel se zapnout sí.Povedlo se...sí jela perfektně.Ale do nějakých 5minut po připojení mi naprost vytuhl Desktop.Chvilku jsem se šoural a zjistil, že ta USB síovka se po pěti minutách vždy rozbliká jako šílená(něco odesílá).Podařilo se mi přes Wiresharka zjistit, že odesílá nesmyslné pakety Spaning-tree-protokolu, akorát trošku rychleji(Za nějaké 3-4sekundy než se mi podařilo stisknout tlačítko STOP se mi naskládalo v bufferu něco přez 1000 paketů).Tak jsem se tedy pustil do řešení problému, který se mi jen tak mimochodem nepodařilo vyřešit dodnes.Jedním z řešení bylo skusit místo bridge, routing(Protože pokud se dobře domnívám, tak STP je doménou bridgových smyček).Samozřejmě nepomohlo a karta se zase po 5-ti minutách rozblikala jako šílená.Ale co mně naprosto dostalo bylo to, že se mi nesekl PC.Mrknul jsem se na zátěž a ta byla k 30%.
Od té doby radši všude kde je to možné dávam routy místo bridge.

classic.ISPforum.cz