Но ведь в таком случае на проектор также пойдут dhcp-запросы и прочий разрешенный в ip forward-protocol бродкаст, что, как мне кажется, нежелательно.Вы можете отфильтровать эти запросы при помощи ACL на out-направлении интерфейса vlan2, на мой взгляд.
адрес проектора клиентский софт на ПК определяет широковещательным пакетом на адрес 10.0.2.255а не на 255.255.255.255?
Карманный станок для изготовление магнитного ключаЯ не понимаю, почему вы называете эту карту (RFID) магнитным ключом. Я сильно сомневаюсь, что вы вообще имели дело с магнитными ключами.
Мой не чипованныйОткуда такая уверенность?
их нужно каким-то образом в 1 запихать
Или он записан как 6 отдельных однобайтовых чисел?
a) Each address field shall be 48 bits in length.
...
d) Each octet of each address field shall be transmitted least significant bit first.
Соответственно создано подобие сети через несколько хабов.
несколько хабовЯ все-таки надеюсь, что коммутаторов.
Подскажите, чем грозит подсоединение новых пользователей через еще один хаб?Тем, что вы соедините два коммутатора двумя линками и получите петлю, если на коммутаторах не активен STP.
И какие пути решения могут быть?Не создавайте петель (сознательно или случайно), используйте более-менее приличное оборудование (с внятными возможностями диагностики), не позволяйте пользователям трогать коммутаторы, приносить свои точки доступа (можно петлю получить и при помощи двух точек доступа, например).
При звонке в ТП провайдера мне сказали что от меня приходит много битых пакетов и по-этому интернет не работает.Есть предположение, что не пакетов, а ethernet-фреймов, и диагностику они снимают с порта коммутатора (уточните, если появится возможность). Спросите их, каковы настройки порта коммутатора (скорость, 1гигабит/100мегабит/автоопределение; дуплекс, полный или автоопределение). Попробуйте сами жестко задать скорость передачи данных 100 мбит/с на порту ноутбука/маршрутизатора, подключенного к коммутатору.
При использовании любого из них, через некоторое время интернет регулярно пропадал у пользователей, а сам роутер сходим с ума от широковещательных рассылок, его лампочки на портах не прерывно мигали с большой скорость.Я не понял, при чем здесь широковещательные рассылки. О природе трафика логично рассуждать, имея дампы этого трафика или косвенные данные (счетчики широковещательных пакетов на интерфейсах). Насчет мигания лампочек не уверен.
Суть вопроса: почему роутер сходил с ума?Если предположить, что дело все-таки в широковещательном трафике, его источник логичнее всего искать в вашей локальной сети. Если у вас между WAN- и LAN- портами устройства была настроена маршрутизация, то широковещательный пакет с WAN- порта не должен быть перенаправлен на LAN-порты. Один из вариантов, у вас в локальной сети возникала L2-петля. Возможности для возникновения петли: бриджинг на сервере, бриджинг в IP-телефоне, бриджинг между LAN и WLAN на клиентском устройстве, если WiFi-точка доступа также настроена в режиме моста (бриджинга).
Существует ли в спецификации Ethernet какое-нибудь обязательное оповещение со стороны сетевой карты после появления физического соединения?Честно говоря, не знаю, потому как не читал спецификации на 802.1D (MAC bridges) или 802.3 целиком ни разу. Думаю, нет. Коммутатор (точнее, раз уж речь зашла о спецификациях, мост) может определить состояние физического линка при помощи L1-сигнализации (FLP и прочая).
Или коммутатор получит информацию о MAC-адресе только после отправки первого пакета?Думаю, да. Я полагаю, логика здесь такова. Хост, подключившийся к ethernet-сегменту, должен узнать MAC-адрес либо обычного соседа по сегменту, либо маршрутизатора по умолчанию (который, кстати, тоже является его соседом по сегменту), для этого он отправляет ARP-запрос, при этом фактически сообщая свой MAC-адрес в широковещательной посылке. В этот момент коммутатор (фильтрующий мост, простите) добавляет запись в таблицу MAC-адресов.
Вопрос: Как изменить имя хоста (допустим на host.site.com)?Если я вас правильно понял, то попросите провайдера прописать нужные вам PTR-записи для арендуемых вами IP-адресов.
Мне необходимо скрыть информацию о провайдере сервераЯ даже не буду спрашивать, зачем. Если вы арендуете IP-адреса провайдера, любой человек может узнать информацию о вашем провайдере. Если у вас собственная PI-сеть (префикс пространства IPv4-адресов), то любой человек может узнать информацию о вашем провайдере. Сама идея предоставлять доступ к определенным ресурсам и одновременно "скрывать" их характеристики довольно противоречива.
На приведенной схеме все коммутаторы соединены между собой оптикойКроме 3750 какие коммутаторы (вендор, модель) в кольце присутствуют, поясните пожалуйста. Сеть моновендорная?
На первый взгляд можно использовать MSTP, и все будет работать.Можно. А можно использовать и Rapid-PVST+. Во втором случае все будет проще и понятней, на мой взгляд. Но Rapid-PVST+ - вендорспецифичная технология. Но с другой стороны, если вы хотите настроить STP (MSTP, например) в мультивендорном окружении, то будьте готовы к тому, что вам придется диагностировать проблемы, которых "по книжке" быть не должно, но они есть.
На тестовом стенде получили время схождения в пределах секунды-двух.А вам сколько надо? Если выбирать между даунтаймом в секунду и несколько часов (если линк оборвался, а резервирования нет), то выбор очевиден, на мой вгляд.
Однако, изучая дискуссии по STP (на хабре) пришел к выводу, что данный подход не есть торт.STP - такая вещь, о которой знает каждый человек с CCNA, но у которой огромное количество нюансов, и в них уже разбирается не так много людей. Это следует учесть при оценке полезности мнения незнакомого вам человека. Кроме того, не только ваш подход "не торт", но и сам STP "не торт". Если смотреть на вещи в развитии, то сама идея ethernet-бриджинга "не торт". Но есть некие идеалы, а есть "реальность", с которой предстоит работать.
Собственно вопрос, как сделать правильно?Не знаю, и никто не знает. Мне вообще сама идея "правильных"/"неправильных" решений не вполне понятна. Есть рабочие решения, есть нерабочие. Есть решения с незначительными побочными эффектами, есть, наоборот, с ощутимыми.
Как переустановить JunOS?Вы уверены, что это необходимо? Вы пробовали проводить более глубокую диагностику, нежели наблюдение цвета светодиода? Есть, например, команды:
show chassis alarms
show system alarmsГде взять образ?Если есть контракт на устройство - задайте этот вопрос JTAC. Если у вас есть доступ на сайт Juniper - то с него. Если вы знаете текущую версию JunOS и подозреваете, что файл образа на устройстве испортился - найдите рабочий образ необходимой версии.
Вот и хотелось бы спросить опытных людей, что делать в такой ситуации?Делать надо было раньше. Готовить внятный мониторинг, чтобы не гадать, атака это или сервер не справляется с нагрузкой. Налаживать контакты с хостером, чтобы не гадать, реально ли наблюдается атака или это тонкий намек на то, что вам пора арендовать более мощный VPS. Я не понимаю, почему, когда чуть ли не в газетах о DDoS-атаках пишут, единицы из тех, чье финансовое благополучие напрямую зависит от доступности их сайта, примеряют ситуацию на себя и задумываются о технических аспектах безопасности.
Три дня назад сайт стал выдавать 504, 500 и т.д. ошибки.Очень хорошо, что сервер отвечает статусами 504 и 500. Это значит, что он отвечает. Это значит, что канальная емкость не полностью утилизирована. Это значит, что, скорее всего, есть шанс обойтись оптимизацией непосредственно на сервере. Найдите грамотного серверного администратора, согласного вам помочь.
Хостинг сказал, что на наш сервер идет ddos-атака и они делают все возможное чтобы решить проблему.На вашем месте я бы запросил краткий отчет от сотрудников хостера. Какая атака наблюдается (качественные, количественные характеристики), какие меры предприняты, что из этого вышло. Запросил бы дамп "вредоносного" трафика.
каким образом все таки правильно хотя бы временно запустить сайт в работу?На вашем месте я бы собрал на коленке минималистичный статический сайт с описанием ваших товаров и контактными данными. Вы таким образом сможете неудобно, без формы обратной связи и всплывающего окна чатика с консультантом, но все-таки получать заказы.
что делать в такой ситуации?Самое главное - сделать из этой ситуации выводы и предпринять соответствующие меры в ближайшем будущем.
Но из внешки - по не понятной мне причине оно тупо не проходит.Что под этим подразумевается? Истекает таймаут или сервер присылает RST-сегмент?
Кто сталкивался с данным маршрутизаторомНе сталкивался, но пару мыслей выскажу.
сайт из вне более не доступенЧто это значит? Как вы определяете доступность? Когда вы обращаетесь по URL вида http://ipv4address:port, что происходит? Истекает таймаут ("не удалось обнаружить сервер") или вы видите сообщение вроде "сервер сбросил/разорвал соединение"? В первом случае следует проверить настройки "проброса портов", во втором - настройки фаерволла/ACL. Надеюсь, что настройки сервера вы уже проверили.
Основной шлюз имеет 100 мегабитный канал в инет. А один из офисов только 10 мегабитный канал до шлюза.Уточните пожалуйста, в чем конкретно состоит проблема. На что расходуются 10 мегабит/c полосы пропускания? На что их не хватает?
Каким образом можно сжимать трафик штатными средствами?Пока не вполне ясно, как именно вам поможет сжатие трафика. Наиболее простой, поддерживаемый, прогнозируемый способ увеличить производительность доступ в интернет из указанного вами офиса - увеличить полосу пропускания до шлюза.