 |
|
|
|
|
ФОРУМ /
ПРЕДПРИЯТИЯ И ОРГАНИЗАЦИИ КОМСОМОЛЬСКА-НА-АМУРЕ /
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
|
создать новую тему
•
написать сообщение
|
|
|
19:08 9 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
 |
|
|
|
|
Как-то я вот техническую стороны реализации запрета "паразитного" траффика не очень представляю. Если коммутаторы L2 (и даже вау - циско!), то кто же тогда на четвертом или выше уровне это дело запретит? А даже если зарезать 139 135 на 4-м уровне без анализа содержимого пакетов (т.е. без выделения из всего множества 135 и 139 конкретно Netbios Datagramm), то работать сеть на винде просто не станет. Если это не просто розовые мечтания "чтобы было" и не простое запугивание "так нельзя", то техническое решение я вижу только в насильном загоне каждой машины в домен или установке на каждую машину клиента вроде tivoli, которому будет подвластен весь сетевой трафик клиентского компьютера. Честно говоря, даже не знаю, какой из этих двух вариантов страшней. Может, поделитесь секретом всё-таки, как планируете организовать такой контроль?
|
|
|
22:10 9 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
"Роснет" не перестаёт радовать) но раз уж изучаете рынок, то продвигайтесь на Дзёмги, потому что, на мой взгляд, центральный район уже задыхается от переизбытка предложений, а дзёмговские клиенты не перестают жаловаться на плохую связь от того или иного провайдера. Удачи.
|
|
|
01:00 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
Rik
|
|
сообщений: 163
|
|
|
запрещась нетвиос..., помоему глупость, даже если это реализуемо..., а насчёт вирусов и т.д. то можно организовать и босплатные обновления для антивирусов,и бесплатный WSUS (Сервер бесплатных обновлений операционных систем Windows внутри сети)
|
|
|
09:51 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
Отвечаю всем по порядку:
1. Выбор мы вам оставляем единственное с одним маленьким ограничением не использовать "Службу доступа...". Да вирусы можно и PtP распространить но тогда не возникнет вопросов по чьей вине это случилось ибо PtP о умолчанию не работает.
2. NetBios трафик режится на L2. Старыми добрыми ACL с закрытием портов назанчения 135, 139, 445.
3. По поводу глупости загрытия NetBIOS, у каждого своё мнение но на практике я видел сколько паразитного трафика создаётся всеголишь от 100 XP машин, а когда их 5-10 тысяч... собствено и какой смысл тогда в нём... И как красиво ложится сеть просто от того что вирус ломится на все машины (даже если его там встречает антиврус). В нашем случае от ворот поворот ему даст первый же коммутатор в сети, тоесть тот к которому вы подключенны.
4. Спорить можно долго и упорно, но наша сеть не будет идти по пути предшественников о которых не мало написанно в форуме. Принцип простой любой трафик должен быть инициирован сознательно а не дефолтовыми настройками. За исключением снифенга, нулевых АРП запросов и прочей гадости... которые будут резаться уже на L3.
Вобщем для примера в ближайшее время выложу правила пользования сетью и вы сами увидите что всё не так страшно.
|
|
|
10:06 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
| |
 Stitch
писал:
2. NetBios трафик режится на L2. Старыми добрыми ACL с закрытием портов назанчения 135, 139, 445.
|
|
Пожалуй, за деньги к такой сети подключаться нет смысла
- если ушастые админы сами решают, что пользователям использовать, а что нет. Зачем нужна сеть в которой половина функций системы работать не будет.
| |
Порт 135 используется функцией отображения конечных точек RPC, реализованной во многих технологиях Windows - например, приложениях COM/DCOM, DFS, журналах событий, механизмах репликации файлов, формирования очередей сообщений и Microsoft Outlook. Данный порт должен быть блокирован в брандмауэре на периметре сети, но трудно закрыть его и одновременно сохранить функциональность Windows.
Порт 139 используется сеансовой службой NetBIOS, которая активизирует браузер поиска других компьютеров, службы совместного использования файлов, Net Logon и службу сервера. Его трудно закрыть, как и порт 135.
Порт 445 используется Windows для совместной работы с файлами. Чтобы закрыть этот порт, следует блокировать File and Printer Sharing for Microsoft Networks. Закрытие этого порта не мешает соединению компьютера с другими удаленными ресурсами; однако другие компьютеры не смогут подключиться к данной системе.
|
|
Впрочем, бесплатно и к такой сети можно подключиться
|
|
|
10:14 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
У вас все остальные планы также "просчитаны"? А 10Гб до дземог у вас какими аппаратными средствами запускаться будут? ОС192 по стеклу с дисперсионным смещением? Как сейчас часто пишут, "ржунимагу".
|
|
|
11:04 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
| |
Данилка
писал:
Порт 135 используется функцией отображения конечных точек RPC, реализованной во многих технологиях Windows - например, приложениях COM/DCOM, DFS, журналах событий, механизмах репликации файлов, формирования очередей сообщений и Microsoft Outlook. Данный порт должен быть блокирован в брандмауэре на периметре сети, но трудно закрыть его и одновременно сохранить функциональность Windows.
|
|
Вот я понять не могу, а на кой это нужно в локальной сети для простых юзверов?
PS
В принципе резать 135, 139, 445. Не такая уж и плохая идея.
|
|
|
11:38 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
| |
Данилка
писал:
| |
Stitch
писал:
2. NetBios трафик режится на L2. Старыми добрыми ACL с закрытием портов назанчения 135, 139, 445.
|
|
Пожалуй, за деньги к такой сети подключаться нет смысла
- если ушастые админы сами решают, что пользователям использовать, а что нет. Зачем нужна сеть в которой половина функций системы работать не будет.
| |
Порт 135 используется функцией отображения конечных точек RPC, реализованной во многих технологиях Windows - например, приложениях COM/DCOM, DFS, журналах событий, механизмах репликации файлов, формирования очередей сообщений и Microsoft Outlook. Данный порт должен быть блокирован в брандмауэре на периметре сети, но трудно закрыть его и одновременно сохранить функциональность Windows.
Порт 139 используется сеансовой службой NetBIOS, которая активизирует браузер поиска других компьютеров, службы совместного использования файлов, Net Logon и службу сервера. Его трудно закрыть, как и порт 135.
Порт 445 используется Windows для совместной работы с файлами. Чтобы закрыть этот порт, следует блокировать File and Printer Sharing for Microsoft Networks. Закрытие этого порта не мешает соединению компьютера с другими удаленными ресурсами; однако другие компьютеры не смогут подключиться к данной системе.
|
|
Впрочем, бесплатно и к такой сети можно подключиться
|
|
А зачем нужна сеть в которой будут работать все функции системы но не будет работать сама сеть?
И вобще мне кажется вы слишком приувеличиваете на счёт значимости этих портов. Найти в мануале их значение это одно, на практике всё прекрасно работает и ни коем образом не нагружает пользователей действующей Роснетовской сети. Зато про епидемии и нерадивых пользователей забыли навсегда. В контесте описанно вами эти порты используются на локальной машине, мы же запрещаем порт НАЗНАЧЕНИЯ.
По поводу "ржунимагу" могу ответить только одно ну "нимагу" так "нимагу" оно и видно. Оборудование говорить не буду. Так общие сведения: Используется пара одномодовых волокон на растоянии до 10 км. цена оконечки около 8 тысяч убитых енотов.
|
|
|
12:40 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
| |
Stitch
писал:
А зачем нужна сеть в которой будут работать все функции системы но не будет работать сама сеть?
|
|
А что, есть примеры? Насколько мне известно, ни в одной из существующих сетей нет никаких проблем, связанных с какими-либо портами или чем-то еще. И уж никто вроде не страдает от паразитного траффика.
Проблемы Дальтека и Комтека имеют место быть, но связаны они с несколько другими причинами: грозы, кражи и так далее.
| |
Stitch
писал:
И вобще мне кажется вы слишком приувеличиваете на счёт значимости этих портов. Найти в мануале их значение это одно, на практике всё прекрасно работает и ни коем образом не нагружает пользователей действующей Роснетовской сети. Зато про епидемии и нерадивых пользователей забыли навсегда. В контесте описанно вами эти порты используются на локальной машине, мы же запрещаем порт назначения.
|
|
Порт назначения я и сам могу перекрыть если мне надо, фаерволлом. И даже сидеть в "режиме невидимости", в котором вообще порт будет работать лишь тогда, когда соединение инициировано мною.
На практике это будет означать что? Не будет работать ряд сервисов, основанных на "службе файлов и принтеров" и бог знает еще что. А если у меня программа какая-нибудь из-за этих "защит" не будет работать, если у меня почтовый клиент почту не станет забирать, Траффик Компрессор не запустится - мало ли какие последствия будут иметь все эти самодурства.
В любом случае, я ни в какой сети не намерен расшаривать ресурсы при помощи виндовых шаров, я в любом случае буду использовать FTP сервер, ибо удобнее контролировать. А каким образом я смогу уведомить других пользователей, что мои шары расположены в FTP, прием следует учесть, что многие даже не знают что такое FTP. Люди привыкли видеть сеть в самом обычном ее образе: "Сетевое окружение", в котором находится список активных компьютеров. В которые можно войти и посмотреть предоставленные шары...
|
|
|
12:50 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
1. Вопрос спортный "кто к чему привык".
2. На счёт проблем других сетей... моё мнение несколько другое.
3. На счёт как узнают про ваш FTP уже писал выше.
4. Спор может продолжаться бесконечно но есть статистика по продвинутым пользователям и не совсем... В конце концов есть опыт общения с другими крупными провайдерами ETTH (не нашего города) перед тем как начать строительство. И время рассудит кто был прав а кто не совсем.
5. Я только одного не пойму из чего сыр бор. В сети есть ОДНО правило которое направленно на защиту интересов самих клиентов, так нет же как всегда мы сами себе роем яму.
6. Будем орентироваться на большинство!
7. Если вас будет больше 10 сделаем вам отдельный VLAN.
|
|
|
14:29 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
| |
Данилка
писал:
А каким образом я смогу уведомить других пользователей, что мои шары расположены в FTP, прием следует учесть, что многие даже не знают что такое FTP.
|
|
LanScop поможет. Ну или можно на официальном сервере список ftp и http серверов. В добавок оналог eMule очень здравая идея. Тыже не возмущаешся что в инете тебе не кто не дает доступ по SMB.
| |
Данилка
писал:
Люди привыкли видеть сеть в самом обычном ее образе: "Сетевое окружение", в котором находится список активных компьютеров. В которые можно войти и посмотреть предоставленные шары...
|
|
Это люди которые уже были в сети. А если они еще не кчему не приучины? Так пусть сразу к нармальным протоколам привыкают.
|
|
|
16:43 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
Шкуру неубитого медведя обсуждаете. Каким IOS-ом вы собрались ACL на втором уровне писать? И, самое интересное, каким свичем? Ни 2924, ни даже 2950 энтерпрайз не примут - у них нет возможностей L4 фильтрации. ACL в них - это списки доступа _к свичу_, к его http, telnet, или rmon, но никак ни трафик, пропускаемый на втором уровне. А про VLAN для 10 человек - так это просто нонсенс. Кто их, простите, транковать в общую сеть и к серверу будет без маршрутизации? Или вы не q-шные VLAN-ы рассматриваете, а port-based? На бумаге бы нарисовали блок-схему и осознали бы написанное... Создаётся устойчивое впечатление, что вы термИнами сыплете, Stitch, просто увидев их в рекламном буклете с очень отдалённым представлением о предмете.
|
|
|
20:22 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
Fh
|
|
сообщений: 69
|
|
|
| |
Abissum
писал:
Шкуру неубитого медведя обсуждаете. Каким IOS-ом вы собрались ACL на втором уровне писать? И, самое интересное, каким свичем? Ни 2924, ни даже 2950 энтерпрайз не примут - у них нет возможностей L4 фильтрации. ACL в них - это списки доступа _к свичу_, к его http, telnet, или rmon, но никак ни трафик, пропускаемый на втором уровне. А про VLAN для 10 человек - так это просто нонсенс. Кто их, простите, транковать в общую сеть и к серверу будет без маршрутизации? Или вы не q-шные VLAN-ы рассматриваете, а port-based? На бумаге бы нарисовали блок-схему и осознали бы написанное... Создаётся устойчивое впечатление, что вы термИнами сыплете, Stitch, просто увидев их в рекламном буклете с очень отдалённым представлением о предмете.
|
|
Подобный функционал (возможность L4 фильтрации) заявлен у DES-3526, но при вашей ставке на Cisco...., у потом не мое дело но на доступ ставить железки такого уровня, больно дорогое удовольствие, или прогнозируется такая плотность подключений? Не прощели Vlan на дом, или уже для совсем кошерности на пользователя (ИХМО геморой), и агрегировать в CORE, а там делайте с ним что хотите: фильтруйте, приоретизируйте и прочие вкусности.
|
|
|
21:07 10 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
Вот именно, что в начале модели 3-ка должна стоять хотя бы... Если делать на циско, то минимальная конфигурация для зарезки L4 должна быть catalyst 2950T-12-Enterprise image, а это 750 баков при цене их любимого наг.ру. Почти бесплатное подключение? Ну, если у них бепроводной комплект стоил 60т.р., когда у ИТЦ он был 7т.р., то "почти бесплатность" для циско можно предположить. Если уж и так пользователю говорят, чего он хочет, и объясняют, почему, то поставили бы tivoli и загнали всех в домен. Но всё-таки, по моему мнению, это просто талые теории, а на практике никто даже не продумывал и не рисовал ничего. Слишком много поверхностных высказываний было и нерабочих ссылок на украинские сайты цисковских мегатехнологий.
Мы, кстати, имеем возможность обрезать любой трафик, ибо L4 маршрутизацией у нас занимаются, но трафик 135,139,445 нас вообще не беспокоит. Borgchat - единственное, что зарезали когда-либо, и то из-за узкого канала до дзёмог. Зачем вообще чего-то резать, если у них везде вроде как гигабит?!
|
|
|
16:32 11 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
Kir@
|
|
сообщений: 1745
|
|
|
|
попытался отправить заявку на адрес: vera@amurnet.ru
пришел ответ: A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. и так далее по тексту...
|
|
|
16:10 12 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
2 Stitch:
Как Вы собираетесь защищать сеть от грозы и кражи кабелей и т.д.? Не будет ли так, что после грозы связи не будет месяцами, как в дальтеке?
|
|
|
10:46 13 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
хотят люди работать, пусть работают! а отзывы о работе данной сети можно будет услышать от абонентов!
з.ы. Тут "деревяный" коммутатор пакуешь в мощный сейф и то выламывают вместе со стеной!
А ваши свичики пойдут как "горячие пирожки".
|
|
|
13:01 13 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
Fh
|
|
сообщений: 69
|
|
|
|
| |
3/IOU
писал:
хотят люди работать, пусть работают! а отзывы о работе данной сети можно будет услышать от абонентов!
з.ы. Тут "деревяный" коммутатор пакуешь в мощный сейф и то выламывают вместе со стеной!
А ваши свичики пойдут как "горячие пирожки".
|
|
Подтверждаю, один умудрились выдернуть с анкерами, причем анкера на 18, валялись тут же, на месте событий погнутые (для тех кто не вкурсе попробуйте загнуть трубу водоснабжения, учитывая что торчит кончик в 10 см.), в следующий раз когда точку укрепили по самое нелься. Ящик унесли вместе с куском стены, аккуратненько так выдолбили кирпичи вокруг ящика и унесли. И все ради тупого 8портовика, ценой в 600р, их то не жалко, жалко ящиков. Они по дороже будут.
|
|
|
09:16 15 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
Данилка,Abissum,Rik по краней мере не разумно счас критиковать или выставлять гражданина Stitch не грамотным человеком!! сеть тока начинают строить!! вот когда построят хотя бы на Первостроителей и все заработает вот тогда можно критиковать и слушать отзывы абонентов!! а пока можно тока наблюдать! а вы пытаетесь сделать не понять что! нравится не нравится а компания занялась процессом строительства!
|
|
|
09:29 15 октября 2006
|
|
тема
Lime.Telecom — компьютерная сеть
|
|
|
|
|
|
|
Так если _такое_ на этапе планирования, да еще вкупе с таким опломбом и пафосом, то что дальше будет? Наоборот, спасибо бы сказал, что вовремя ему указали на недочеты. Можно было бы поступить иначе - скромно промолчать, а потом посмеяться, заодно вспомнив, как они наше оборудование на Аллее Труда, 40 обесточивали с мотивировкой "это наше здание!"...
|
|
| |
|
|
|
создать новую тему
•
написать сообщение
|
|
|
|
|
|
|
|
|
