Не все Vlan одинаково полезны

На серваке:
Samba
bootpd or dhcp (привязка к мак адресу)
Perl
trafd
ipfw (free BSD)

Крутится в cron перловый скриптик, который через каждые 15 секунд просматривает логи самбы. Если в логах написано что юзер такой-то прошел авторизацию на домене, смотрятся логи dhcp (там по времени делается хитрый расчет. :-))

Все. Следующей строчкой разрешается доступ. Юзер пингуется с интервалом в минуту, плюс опять смотрятся логи самбы (когда юзер завершает работу - винда делает автоматом logoff)

Все отлично работает и без тормозов

Довольно забавно, на мой взгляд. Хотя полностью проблемы авторизации не решает. И как промышленное решение малопригодно. В общем, этого варианта в моей коллекции ранее не встречалось. :-)

Не все Vlan одинаково полезны.

"Вчера" домашние сети были по большей части любительскими структурами, которые ничего особого, кроме "доступа к инернет в 100 раз быстрее, чем по модему" не обещали и не гарантировали. "Сегодня" большинство будущих клиентов требуют договор, лицензии, офис, гарантии.

Закономерная волна официального предоставления услуг уже докатилась до рынка. Но в техническом плане абоненты согласны довольствоваться открытой передачей паролей, видимым большинству соседей трафиком (например, ICQ), откровенно слабой авторизацией. Это легко объяснимо - такие тонкости требуют специфических знаний и навыков, которыми пока пользователи не располагают.

Но, как говорится, шила в мешке не утаишь. Ничего сложного в основных понятиях безопасности нет, и пройдет очень мало времени перед тем, как ethernet провайдеры начнут массово получать одни и то же требования - приватность, защита от вторжения из сети, защита от воровства трафика. Вот, маленький пример из форума.

Если думать о будущем, то задачу надо решать. Можно "телекоммуникационным" путем (PPPoE, VPN и т.п.), можно "локальным" (SmartHub, коммутаторы с Vlan...). Твердой границы между ними нет (да и названия очень условны), в добавок плюсов с минусами хватает у каждого.

Тем не менее, для домашних сетей первый вариант кажется проще, дешевле и даже привычнее (особенно провайдерам, знакомым с dial-up). В то же время, корпоративный рынок ЛВС практически однозначно сориентирован на "локальное" регулирование отношений между пользователями. Поэтому окончательную точку в борьбе ставить рано.

Рассмотрим подробнее "локальный" метод. По сути, он сводится к организации виртуальных сетей (иначе говоря, Vlan) "поверх" общего Ethernet'а при помощи активного оборудования ЛВС (коммутаторов).

Существует несколько способов построения виртуальных сетей:

• Группировка портов. Трафик каждого порта можно отнести к той, или иной виртуальной сети. Так же можно назначить на один порт несколько виртуальных сетей.
• Группировка МАС-адресов. В этом случае кадр относится к какой-либо Vlan на основании МАС-адреса (по специальной таблице, заполняемой администратором сети). Этот подход считается устаревшим, но встречается относительно часто.
• Использование дополнительных меток (тегов) в поле данных кадра Ethernet. Способ принят в качестве стандарта ieee 802.1q. При этом к кадру Ethernet добавляются два байта, которые содержат информацию по его принадлежности к Vlan, и о его приоритете (тремя битами кодируется до восьми уровней приоритета, 12 бит позволяют различать до 4096 Vlan, а один бит зарезервирован для обозначения кадров сетей других типов).
• Коммутация на уровне IP (третий, или сетевой уровень модели OSI).

Активное оборудование, на основе которого можно создавать виртуальные сети, традиционно относилось к сложному и дорогому. Цены "более $1000" на этом секторе рынка кажутся скорее правилом, чем исключением. Cisco, 3com, Lucent - такие вот громкие имена тут правят бал.

Но если посмотреть немного с другой стороны, видно, что развитие коммутаторов, как класса устройств, проходит далеко не линейно. Так, в совсем недалеком прошлом, выделилась и стремительно подешевела до совсем смешных величин боковая (почти блудная) ветвь неуправляемых коммутаторов. Ее отличия от "основного направления развития" оказалось настолько велико, что возникла терминологическая путаница.

По сути, появились два класса - управляемые, и неуправляемые коммутаторы (часто называемые switch hub). Отличие в цене более чем на порядок достаточное тому подтверждение. Хотя, надо заметить, что разделение условно и в будушем ветви могут опять соединиться. Но пока есть что есть...

Более того, в настоящее время происходит еще одно разделение. На сей раз по признаку поддержки 802.1q. Тайваньские производители одолели очередной технологический рубеж, и... Из общего числа "дорогих" управляемых устройств выделилась и начинает обособленное существование "упрощенная" ветвь.

Что бы не уходить далеко в теорию, перейдем к реальному, и достаточно типичному образчику Surecom EP-716X. Выбор случайный - просто эта железка, при цене в районе $250, может немного больше, чем другие, попавшиеся в поле зрения. А найти аналоги можно легко у D-link, Prime, Compex, и других вендоров полусвета.

Особенно понравилось, что официальный имеет русскоязычную версию. Прямо так, по списку Английский-Китайский-Русский. Мелочь, а все же приятно... Правда, перевод такой, что лучше сразу на English нажимать. :-( Да и при переходе в описание перекидывает на сайт Sonet.

Но пойдем ближе к теме.

Весьма внушительное для $250 устройство. Кстати, настольного исполнения, что ранее было весьма не типично в этом классе.

Умеет:

• Неблокируемый доступ одновременно ко всем 16 портам
• Функция перехвата трафика любого порта
• Поддерживает работу с виртуальными сетями (VLANs) с группировкой на основе портов.
• Имеет встроенный веб-сервер и Telnet для управления всеми функциями устройства
• Поддерживает объединение портов в группу (транкинг)
• Управление по протоколу SNMP
• Поддерживает протокол определения петель коммутации (Spanning Tree)

Наиболее выдающаяся деталь - важная для "закольцовки" домашних сетей функция Spanning Tree (этого нет у большинства конкурентов). Но из описания не совсем понятно, поддерживается ли привязка МАС-адресов на портах, и есть ли развитые возможности мониторинга. Поэтому, есть смысл дополнительно посмотреть более полное описание одноклассника D-Link, где эти возможности присутствуют.

Даже если этих приятных "вкусностей" на самом деле нет в этой модели Surecom'е, можно предположить, что на рынке найдется модель, сочетающая достоинства того, и другого.

Уф. Что-то получается несколько длиннее задуманного. Поэтому, придется перенести продолжение в следующий обзор. А в завершение этого - традиционная фотография из разряда страшилок.

Зарисовки из реальной жизни

Кроссовая мини-АТС, как правило, в реальности выглядит совсем не так, как на картинках в толстых журналах. Более того, мне приходилось встречаться с намного более "запущенными" случаями (увы, не попавшими на фото).

Под картинку "подложен" вариант в большем разрешении. Если интересно - кликайте. При этом не забывайте говорить "спасибо" тому читателю, кто прислал это фото.

А есть что-то более забавное - место ждет ваших "случаев из реальной жизни".

Обсудить в форуме

Анонс

Продолжение материала "про Vlan". Плюс к теме свитчей, руки жжет желание показать по этапам соединение кабелей с помощью "плюшек" от 3m. Даже не знаю, что лучше писать вперед. :-)

Кроме этого, жду ваших писем с пожеланиями, замечаниями и предложениями. Теория без практики не бывает. А охватить все самому хочется, но увы, это совершенно не реально...