Всем привет!
Хочу подкинуть задачку и услышать предложения по аппаратной части от специалистов DLink
Есть торговый центр в 3 этажа. В центр приходит интернет - реальный IP. на каждом этаже в среднем по 15 потребителей (итого 45), которым хотим раздавать интернет. Сеть 100 Мб. Роутеров, шлюзов и т.п. нет
Вариант первый: хотим поставить на этаж по умному коммутатору который умеет подсчитывать трафик на каждом порту (SNMP). Для пресечения нелегального подключения хотим что бы коммутатор умел привязывать мак адрес сетевой платы к конкретному порту коммутатора. Выдаем каждому клиенту по реальному IP прописываем мак-адреса и наслаждаемся. Вопросы: предложите такой коммутатор и возможно ПО которым можно с легкостью снимать статистику с коммутатора.
Вариант второй (усложненный): Один из коммутаторов, который соединяется с каналом интернет, хотим наделить функциями файрвола, для защиты потребителей инета. Но есть пока сомнения - выдавать клиентам реальные IP адреса или серые... поэтому хотелось бы услышать от вас предложения по такому коммутатору (или это уже роутер будет?), который сможет и NAT делать и типа DMZ по выбору на разные порты.
Посоветуйте, может быть лучше поставить отдельно аппаратный firewall ?

С нетерпением жду ответа!

Спасибо за ответ!
А можно конкретизировать?
1. Можешь посоветовать конкретную модель коммутатора?
2. Почему NAT? не проще ли выдать пользователю реальный IP? К тому же что бы у пользователя работали все приложения корректно придется еще попотеть с натом. Или я не прав?
3. Для чего VPN? Нет... в смысля я знаю для чего он вообще существует, но зачем он тут? Что он даст, если мы и так пропишим жестко привязку порта к мак адресу сетевой карты?

А нельзя ли уточнить-
торговый центр имеет одного владельца и одну фирму или там сдают места всем желающим? Это же важно для того чтобы дать совет.
Если сеть одного владельца, скажем одна фирма то здесь подойдет вариант с нат и недорогим оборудованием. Если у тебя куча отдельных клиентов то гимор множится. Если ты сделаешь доступ по VPN то клиенты не смогут у себя использовать какое-либо дополнительное сетевое оборудование т.к. туннель рассчитан на работу от прова до компьютера. А если захотят поставить свой фаервол то облом и будут жаловаться. С VPN может оно и надежнее, но для детишек и игрушек. А клиентам такое продавать не стоит.
Я стал клиентом около года назад и сейчас ухожу на точку.ру потому что их vpn соединение уже меня достало. Кроме того клиенту понадобиться иметь фаервол на компе, а иначе его точно взломают или вирус поймает.

Лучше покупай правильные коммутаторы с подсчетом траффика и привязкой к MAC. ставь роутер с НАТ, в общем по моему развитие нужно в пределах этой схемы. Ты же хочешь продавать инет, а не хостинг!

Каждый желающий может открыть свой павильон!

Имеено так: продавать интернет!

Следуя советам всетаки я придерживаюсь такой схемы: умные коммутаторы с подсчетом трафика по порту, НАТ с выдачей серых IP (для удешевления и защиты), роутер (с функциями маршрутизации и файрвола), считалка трафика софтовая на какой нибудь машине в сети.
Можете посоветовать конкретные недорогие модели коммутаторов и роутера по моей задаче? У D-Link такая большая линейка продуктов... мне хоть будет от чего оттолкнуться

Ты все правильно понял, гут!

В качестве хорошего варианта - DES-3526, новые коммутаторы, продолжающие "традиции" DES-3226S, добавлено несколько полезных функций - из них для Вас очень может пригодиться привязка правила ACL к физическому порту коммутатора, т.е. уже на свиче Вы можете для конкретного клиента задавать правила фильтрации и создавать, скажем, различные тарифные планы в зависимости от набора сервисов и услуг. Этим можно разгрузить несколько вышестоящий роутер - чтобы на нем не прописывать кучу ACL. Свичи подключаете к роутеру или файрволу с возомжностью подсчета трафика и работы в качестве NAT. К сожалению, устройства D-Link пока не позовляют организовать подсчет трафика по ip адресам. Делать же это на свичах - снимать статистику по порту - неправильно, т.к. туда будет попадать не только трафик клиента, но и служебный трафик.

_________________
С уважением, Карагезов Владислав

Большое спасибо за подсказку про ACL на порту - буду изучать.
Уточню некоторые моменты:
1. Наш провайдер, который нам дает в здание интернет считает трафик на порту со всей служебкой, как ни странно. Поэтому думаю резонно и нам так же поступать, снимая показания с портов коммутатора. Когда возникнет необходимость считать по IP, думаю, установим роутер на базе Линукса или подобного со считалкой, файрволлом и т.п. Но пока...
2. ...но пока я прорабатываю имеено железный несложный вариант. Поэтому, жду предложений по оборудованию роутера (он же файрволл) для данного количества клиентов.

И еще вопрос: предложенный вами коммутатор на порту считает весь трафик или исключает из него отсеенный по ACL?
Спасибо.

В дополнение к сказанному Владиславом
1. Можно еще присмотреться к DSA-3100 - она как раз предназначена для авторизации пользователей и ограничения доступа к Инету и подсчета трафика
2. Можно поставить после файрвола, но до ост. сети прокси-сервер, даже кэширующий. Он может выполнять подсчет трафика по клиентам и кэшировать трафик. И еще другие полезные функции выполнять.

Пока разберешся что к чему, может уже и новая модель роутера/свитча появится с подсчетом по ip клиентов.

Неужели я так долго разбираюсь?!
Спасибо за советы! Оборудование присматриваю.
А посоветуйте файрволл, на мое количество клиентов.

DFL-700

В Вашем случае - DFL-700 - разумный выбор!

_________________
С уважением, Карагезов Владислав

Спасибо за советы!
Есть вопросы по DFL-700:
В описанной мной схеме смогули я сделать так что у меня часть клиентских машин будут иметь "серые" IP и соответственно натится в интернет, а части машин раздавать реальные IP и роутить их в интернет обеспечивая (или не обеспечивая) их защиту файрволлом?

нет, или все через NAT, или все рутится будут.

_________________
С уважением, Карагезов Владислав