ahk, тогда подскажите, пожалуйста, правильное решение
Пока кроме VLan'ов мне в голову ничего не лезет
Это самый дешёвый способ развернуть полностью контролируемую сеть. Ибо, коммутаторы 2-го уровня дешевле 3-го, а для меня цена критична, да и есть разница: оставлять на чердаке свитч за 2 т.р., за 3т.р., за 4 или за 5...
Боюсь, что сейчас я более чем 2 т.р./коммутатор не потяну

_________________
Всё нормально.

1. Я могу изложить только свое видение решения Вашей задачи.

Чтобы начать уточните примерное количество коммутаторов уровня доступа и среднее число абонентов на них, а также планируете ли Вы использовать STP, оказывать услуги IPTV, разрешать абонентам прямое общение в сегментах.

Думаю, что у других посетителей форума, равно как и у сотрудников D-Link, могут быть совершенно другие предложения. Ваша же задача состоит в том, чтобы все их изучить и принять решение, за которое потом нести ответственность, или обратиться к интегратору за разработкой решения на договорной основе!-)

2. Разница по цене между коммутаторами 2-го и 3-го уровня есть несомненно. Правда управляемый коммутатор 2-го уровня с поддержкой вланов за 2 тысячи рублей это фантастика. Можно поискать что-то за 5 тысяч рублей, но функциональность будет еще та...

Есть переделанные свитчи D-Link, у которых порты изолированы друг от друга, т.е. абоненты не могут общаться напрямую, и весь трафик с них отправляется на uplink. Но можно ли разнести эти порты еще и по разным вланам (если следовать Вашему решению) я не знаю. Уточните у D-Link. Может что-то в таком решении в Вашем случае есть.

Вопрос в том, можно ли собрать линки с десятка таких или самых простых свитчей на управляемый свитч 2-го уровня, где настроить IpMacBindingPort и т.п. Но это вопрос больше к топологии Вашей сети.

Этот свитч Вы сможете полноценно контролировать, настраивать на нем STP & IGMP, а также с него контролировать состояние линков до "тупых" свитчей в зданиях, но не сами "тупые" свитчи. Все-таки хоть что-то, хотя надо постараться выбрать "тупые" свитчи, которые не склонны к зависаниям (вряд ли Вы еще и онлайн UPS им предложите!-). Если свитч зависает раз в год и у Вас их всего 100, то Вы будете раз в три дня в самое неудобное время бежать перезапускать такой свитч. А если их будет больше...

Минус данного решения в том, что абоненты на "тупом" свитче могут подделать MAC-адреса друг друга и воровать трафик или канал, хотя рано или поздно это всплывет.

Можно развернуть VPN для работы в интернет, а сеть оставить для прямого общения и доступа к внутренним ресурсам. Это решит проблему с хакерством (хотя могут конечно взломать чужую рабочую станцию и либо украсть на ней пароль, либо просто настроить на ней NAT).

если действительно ограничены в деньгах, то не городите вы огород с этими виланами - вилан не панацея, поднимите вилан на дом или подъезд, а на фре привяжите IP к MACу.
Несуществующие IP можете привязать к несуществующим макам. А потом все равно переходите на нормальное оборудование.

Всё, всем спасибо!
Остановился на VLan'е

_________________
Всё нормально.

Расскажите потом об опыте развертывания сети по принципу один клиент - один влан!

Боюсь, это будет печальный опыт
Экономия обернётся лишними затратами в том числе и трудовыми.

Честно говоря, экономии при строительстве сети по такому принципу я как раз не вижу...

А опыт всегда интересен. Как успешный, так и не очень...

Обязательно расскажу.
И Вам, ahk и kapa, персональное спасибо

To kapa: есть уже не мало сетей, построенных на VLan'ах и они замечательно работают. Что будет у меня - увидим

Я не буду останавливаться на vlan'е как на аксиоме. Мне просто необходимо пройти первых три дома до четверга (позвольте, я не буду называть причины:))
Если за это время найду более подходящее решение, то испробую и его.

_________________
Всё нормально.

Было бы интересно узнать название хотя бы одного домонета, который построен по принципу: каждому пользователю свой влан!-)

Мне кажется, что Вы будете первым!-) А поделиться опытом можно и с nag.ru. У него целевая аудитория значительно шире, чем здесь...

Успехов в работе!

На nag.ru и рассказали

_________________
Всё нормально.

1) А если роутинг нужен, как разрешить его на сервере для определенных vlan?
2) В одном vlan у меня несколько подсетей(пока так), как разрешить определенным из них иметь роутинг в другом vlan?

и 1 и 2 достигается фаерволом
как точно, сказать не могу (ибо сам не гуру), но если будут сильные проблемы - можете стукнуть в асю. чем смогу, тем помогу

_________________
Всё нормально.

Также всё это можно сделать коммутатором L3.

Кстати, вопрос к сотрудникам D-Link'a.
Есть ли у вас такая железячка, что бы смогла сама VLan'ы поднимать?..

Т.е. что бы их не сервак поднимал, а какая-либо железка?

_________________
Всё нормально.

Как это сама VLAN-ы поднимать?