Выбор сетевого оборудования для контроля за сетью

@kmaffa · Регистрация: 29.10.2012

Author24 — интернет-сервис помощи студентам

Есть желание приобрести коммутатор на 48 портов. Но необходимо чтобы коммутатор мог выполнять следующие действия:
- вести лог на какие сайты ходили и с какого порта или IP (записывать его на какой либо из серверов)
- ограничивать скорость по порту.
- поддержка VLAN
Какое оборудование можно купить?

@xoraxax · 06.10.2014, 10:48

Сообщение от kmaffa

- вести лог на какие сайты ходили и с какого порта или IP (записывать его на какой либо из серверов)

Сообщение от kmaffa

ограничивать скорость по порту

Какое это имеет отношение к коммутаторам?

@kmaffa · 06.10.2014, 12:02 **[ТС]**

Сообщение от xoraxax

Какое это имеет отношение к коммутаторам?

Каковы Ваши предложения?

@xoraxax · 06.10.2014, 12:40

прокся например

@kmaffa · 06.10.2014, 14:21 **[ТС]**

1) на мой взгляд, прокси-сервер это хорошо, если есть 2-10 ПК и нет необходимости отслеживать что происходит в сети;
2) покупка 2х устройств вместо одного, причем первое и второе устройство очень дорогие (1 -прокси-прокси сервер и 2 - средство деления сети на vlan и детекции атак);

Насколько я понял есть замечательная штука NetFlow и sFlow в современных коммутаторах 2+ и 3 уровня.

@xoraxax · 06.10.2014, 14:39

Сформулируйте задачу (не "мне надо коммутатор", а "мне надо раздать инет на 15000 компьютеров, желательно, чтоб я мог то-то и то-то").

@kmaffa · 06.10.2014, 15:43 **[ТС]**

уже выше задача была оформлена:
- вести лог на какие сайты ходили и с какого порта или IP (записывать его на какой либо из серверов)
- ограничивать скорость по порту.
- поддержка VLAN

разделение "Интернета" это не самая первая задача, и ПК не 15000 а всего 300.

@xoraxax · 06.10.2014, 16:32

Это не задача, а какие-то непонятные хотелки. Я вам вроде пример написал.
Так вот. VLAN это L2, а

Сообщение от kmaffa

ограничивать скорость по порту.

и

Сообщение от kmaffa

вести лог

это L3-4, что как бы намекает нам о необходимости разных устройств.
VLANы -делайте на каких нибудь desах, например, а остальное - Squid (комп там сильно мощный не надо, инструкций в инете более 9000).

@kmaffa · 07.10.2014, 16:11 **[ТС]**

Сообщение от xoraxax

это L3-4, что как бы намекает нам о необходимости разных устройств.
VLANы -делайте на каких нибудь desах, например, а остальное - Squid (комп там сильно мощный не надо, инструкций в инете более 9000).

Тяжёлый случай, однако.
Хорошо, а если человек не обращается к шлюзу, то как его в этом случае контролировать куда он ходил, всех через сквид пускать?
Например, работает на внутренних ресурсах.

magirus · 07.10.2014, 16:14

а нафига его контролировать если он на ВНУТРЕННИХ ресурсах?

@xoraxax · 07.10.2014, 16:38

Не по теме:

Сообщение от kmaffa

Тяжёлый случай, однако.

да есть такое

magirus · 07.10.2014, 16:43

Сообщение от kmaffa

Тяжёлый случай, однако.

и да, это ты сам про себя... или про твое начальство, если оно требует такое сделать.

@kmaffa · 07.10.2014, 17:32 **[ТС]**

Если верить представителям компании D-Link вот эта железяка умеет это все делать: DGS-3120-48TC. Вот хотел всего-лишь узнать есть еще подобные железяки кроме D-Link и Cisco.
В основном работа идет на внутренних ресурсах, а не на внешних. Пользователи внутренних ресурсов ведут себя не всегда адекватно, иногда умышленно, а иногда нет.

@CurrentUser · 07.10.2014, 17:45

так ради прикола кину тебе вариант на уровне железа ))) вот такая штука была у нас когда работал инженером в интернет-провайдере Cisco SCE

полностью прозрачная вот описания девайса

Cisco Service Control Engine представляет собой сетевой элемент, специально предназначенный для использования в сетях операторского класса, в которых требуются высокопроизводительные функции классификации и управления IP-трафиком приложений на уровне отдельного абонента (подписчика), с контролем состояния приложений и сессий.

Иными словами Cisco SCE это устройство DPI анализа трафик. SCE позволяет классифицировать трафик клиента вплоть до 7-го уровня сетевой модели OSI и на основании классификации трафика применять к нему какие-либо действия, будь то ограничение скорости, фильтрация трафика, перенаправление запроса на другой сервер и обнаружение аномальной активности в сети (спам рассылки, DDOS атаки)

@xoraxax · 08.10.2014, 09:19

вы бы заодно цену указали у SCE и упомянули геморрои с настройкой...

Сообщение от kmaffa

вот эта железяка умеет это все делать: DGS-3120-48TC

потом расскажете, как вы на этом сделали

Сообщение от kmaffa

- вести лог на какие сайты ходили и с какого порта или IP (записывать его на какой либо из серверов)
- ограничивать скорость по порту.

Добавлено через 1 минуту
Тут подумалось, а не судьба вам логи собирать с самих внутренних ресурсов, а не строить огород?

@kmaffa · 08.10.2014, 15:24 **[ТС]**

Сообщение от xoraxax

Тут подумалось, а не судьба вам логи собирать с самих внутренних ресурсов, а не строить огород?

Вот этим Вы как раз и предлагаете городить огород, т.к. в этом случае нагрузка на сеть и прочие характеристики будут вычисляться по косвенным показателям.

@xoraxax · 08.10.2014, 15:27

Что вы понимаете под нагрузкой на сеть?

@kmaffa · 08.10.2014, 15:33 **[ТС]**

Сообщение от xoraxax

Что вы понимаете под нагрузкой на сеть?

Например, "паразитный" трафик вычислить

@xoraxax · 08.10.2014, 15:38

Как с вами сложно общаться.
Зачем вы хотите "вычислять "паразитный" трафик". Что вы считаете таковым?

Если под нагрузкой на сеть понимать количество пакетов на каком-то порту, так это можно на свичах посмотреть, если нужно определить кто и что делает на внутреннем сайте, так наверно логично смотреть логи вэб сервера.
На шаре - можно аудит включить. И так далее. А если прикрутить ко всей это фигне какой-нибудь Zabbix, можно смотреть красивые графики...

@kmaffa · 08.10.2014, 15:57 **[ТС]**

Просил просто помочь подобрать железяку, а тут такое началось.

@kmaffa 338 / 327 / 154 Регистрация: 29.10.2012 Сообщений: 949
	07.10.2014, 17:32 [ТС]	13
	Если верить представителям компании D-Link вот эта железяка умеет это все делать: DGS-3120-48TC. Вот хотел всего-лишь узнать есть еще подобные железяки кроме D-Link и Cisco. В основном работа идет на внутренних ресурсах, а не на внешних. Пользователи внутренних ресурсов ведут себя не всегда адекватно, иногда умышленно, а иногда нет. 0

@kmaffa 338 / 327 / 154 Регистрация: 29.10.2012 Сообщений: 949
	08.10.2014, 15:33 [ТС]	18
	Сообщение от xoraxax Что вы понимаете под нагрузкой на сеть? Например, "паразитный" трафик вычислить 0

@xoraxax 3639 / 2971 / 918 Регистрация: 05.07.2013 Сообщений: 14,220
	06.10.2014, 10:48	2
	Сообщение от kmaffa - вести лог на какие сайты ходили и с какого порта или IP (записывать его на какой либо из серверов) Сообщение от kmaffa ограничивать скорость по порту Какое это имеет отношение к коммутаторам? 0

@kmaffa 338 / 327 / 154 Регистрация: 29.10.2012 Сообщений: 949
	06.10.2014, 12:02 [ТС]	3
	Сообщение от xoraxax Какое это имеет отношение к коммутаторам? Каковы Ваши предложения? 0

@xoraxax 3639 / 2971 / 918 Регистрация: 05.07.2013 Сообщений: 14,220
	06.10.2014, 12:40	4
	прокся например 0

@kmaffa 338 / 327 / 154 Регистрация: 29.10.2012 Сообщений: 949
	06.10.2014, 14:21 [ТС]	5
	1) на мой взгляд, прокси-сервер это хорошо, если есть 2-10 ПК и нет необходимости отслеживать что происходит в сети; 2) покупка 2х устройств вместо одного, причем первое и второе устройство очень дорогие (1 -прокси-прокси сервер и 2 - средство деления сети на vlan и детекции атак); Насколько я понял есть замечательная штука NetFlow и sFlow в современных коммутаторах 2+ и 3 уровня. 0

@xoraxax 3639 / 2971 / 918 Регистрация: 05.07.2013 Сообщений: 14,220
	06.10.2014, 14:39	6
	Сформулируйте задачу (не "мне надо коммутатор", а "мне надо раздать инет на 15000 компьютеров, желательно, чтоб я мог то-то и то-то"). 0

@kmaffa 338 / 327 / 154 Регистрация: 29.10.2012 Сообщений: 949
	06.10.2014, 15:43 [ТС]	7
	уже выше задача была оформлена: - вести лог на какие сайты ходили и с какого порта или IP (записывать его на какой либо из серверов) - ограничивать скорость по порту. - поддержка VLAN разделение "Интернета" это не самая первая задача, и ПК не 15000 а всего 300. 0

@xoraxax 3639 / 2971 / 918 Регистрация: 05.07.2013 Сообщений: 14,220
	06.10.2014, 16:32	8
	Это не задача, а какие-то непонятные хотелки. Я вам вроде пример написал. Так вот. VLAN это L2, а Сообщение от kmaffa ограничивать скорость по порту. и Сообщение от kmaffa вести лог это L3-4, что как бы намекает нам о необходимости разных устройств. VLANы -делайте на каких нибудь desах, например, а остальное - Squid (комп там сильно мощный не надо, инструкций в инете более 9000). 0

@kmaffa 338 / 327 / 154 Регистрация: 29.10.2012 Сообщений: 949
	07.10.2014, 16:11 [ТС]	9
	Сообщение от xoraxax это L3-4, что как бы намекает нам о необходимости разных устройств. VLANы -делайте на каких нибудь desах, например, а остальное - Squid (комп там сильно мощный не надо, инструкций в инете более 9000). Тяжёлый случай, однако. Хорошо, а если человек не обращается к шлюзу, то как его в этом случае контролировать куда он ходил, всех через сквид пускать? Например, работает на внутренних ресурсах. 0

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	07.10.2014, 16:14	10
	а нафига его контролировать если он на ВНУТРЕННИХ ресурсах? 0

@xoraxax
	07.10.2014, 16:38 #11
	Не по теме: Сообщение от kmaffa Тяжёлый случай, однако. да есть такое 0

	08.10.2014, 15:57

magirus Почетный модератор 28045 / 15778 / 982 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	07.10.2014, 16:43	12
	Сообщение от kmaffa Тяжёлый случай, однако. и да, это ты сам про себя... или про твое начальство, если оно требует такое сделать. 0

@CurrentUser 25 / 25 / 14 Регистрация: 29.09.2014 Сообщений: 165
	07.10.2014, 17:45	14
	так ради прикола кину тебе вариант на уровне железа ))) вот такая штука была у нас когда работал инженером в интернет-провайдере Cisco SCE полностью прозрачная вот описания девайса Cisco Service Control Engine представляет собой сетевой элемент, специально предназначенный для использования в сетях операторского класса, в которых требуются высокопроизводительные функции классификации и управления IP-трафиком приложений на уровне отдельного абонента (подписчика), с контролем состояния приложений и сессий. Иными словами Cisco SCE это устройство DPI анализа трафик. SCE позволяет классифицировать трафик клиента вплоть до 7-го уровня сетевой модели OSI и на основании классификации трафика применять к нему какие-либо действия, будь то ограничение скорости, фильтрация трафика, перенаправление запроса на другой сервер и обнаружение аномальной активности в сети (спам рассылки, DDOS атаки) 1

@xoraxax 3639 / 2971 / 918 Регистрация: 05.07.2013 Сообщений: 14,220
	08.10.2014, 09:19	15
	вы бы заодно цену указали у SCE и упомянули геморрои с настройкой... Сообщение от kmaffa вот эта железяка умеет это все делать: DGS-3120-48TC потом расскажете, как вы на этом сделали Сообщение от kmaffa - вести лог на какие сайты ходили и с какого порта или IP (записывать его на какой либо из серверов) - ограничивать скорость по порту. Добавлено через 1 минуту Тут подумалось, а не судьба вам логи собирать с самих внутренних ресурсов, а не строить огород? 0

@kmaffa 338 / 327 / 154 Регистрация: 29.10.2012 Сообщений: 949
	08.10.2014, 15:24 [ТС]	16
	Сообщение от xoraxax Тут подумалось, а не судьба вам логи собирать с самих внутренних ресурсов, а не строить огород? Вот этим Вы как раз и предлагаете городить огород, т.к. в этом случае нагрузка на сеть и прочие характеристики будут вычисляться по косвенным показателям. 0

@xoraxax 3639 / 2971 / 918 Регистрация: 05.07.2013 Сообщений: 14,220
	08.10.2014, 15:27	17
	Что вы понимаете под нагрузкой на сеть? 0

@xoraxax 3639 / 2971 / 918 Регистрация: 05.07.2013 Сообщений: 14,220
	08.10.2014, 15:38	19
	Как с вами сложно общаться. Зачем вы хотите "вычислять "паразитный" трафик". Что вы считаете таковым? Если под нагрузкой на сеть понимать количество пакетов на каком-то порту, так это можно на свичах посмотреть, если нужно определить кто и что делает на внутреннем сайте, так наверно логично смотреть логи вэб сервера. На шаре - можно аудит включить. И так далее. А если прикрутить ко всей это фигне какой-нибудь Zabbix, можно смотреть красивые графики... 0

@kmaffa 338 / 327 / 154 Регистрация: 29.10.2012 Сообщений: 949
	08.10.2014, 15:57 [ТС]	20
	Просил просто помочь подобрать железяку, а тут такое началось. 0