throughtheether

Одного 100мбит кабеля на всех мало, гигабит стоит в 10 раз дороже (без преувеличений, тут монополия у провайдера) и получается так, что оба нужно задействовать.

Не понял, почему нельзя иметь подключение гигабитным портом с ограничением полосы до 200 мбит/с, например. Или они только за порт без полосы в 10 раз больше требуют?

Схема с NAT (практический всегда - двойным) внутри локальной сети представляется яркой, неординарной, трудноподдерживаемой, излишне усложненной.

и на каждом дочернем маршрутизаторе выключить NAT

Да, если маршрутизаторы уровня офисных-домашних (TP-LINK и прочая), то настроить статическую маршрутизацию.

UPD:

1. За сам по себе гигабит в месяц просят в 10 раз больше. Компания столько тратить не хочет.

Я опять не понял, извините. Только за гигабитный порт (с той же полосой 100 мбит/c) просят в десять раз больше? Уточните на всякий случай у провайдера, может, вам дадут 150-200 мбит/c через гигабитный порт за вменяемые деньги.

2. На счет схемы с НАТом - я с вами согласен и с удовольствием выслушаю предложения.

Поддерживаю предложения, высказанные MrJeos . Разве что я бы DHCP оставил только в офисах, а сами офисные маршрутизаторы адресовал статически. По поводу mikrotik тоже поддерживаю, у них появилась весьма доступная модель (hAP lite). Еще посоветовал бы перед подключением второго канала проанализировать текущее потребление. Возможно, достаточно будет просто перераспределить полосу, применив shaping/policing.

3. Да - что? Будет работать такая сеть при учете цитаты про выключенный нат?

Да, будет, после внятной настройки адресации, статической или динамической маршрутизации. Но будьте готовы к тому, что задействовать одновременно два канала доступа в интернет - задача довольно трудная в плане балансировки. У вас вполне может получиться так, что сейчас все работает, а через час потребитель утилизировал львиную долю канала, повлияв на "качество интернета" своих соседей по каналу, и в то же время соседний канал практически не загружен. Это необходимо учитывать.

Вы можете новые записи создавать? Если да, попробуйте провести атаку типа chosen plaintext, создайте записи с полями вида 'а', 'аа', 'ааа', затем 'б', 'бб', 'ббб'. Может быть, что-то прояснится (или нет).

Вы можете это реализовать при помощи маршрутизации (у всех ПК шлюзом по умолчанию установлен ваш "шлюз", на "шлюзе" - раздающий сервер)

Или можно реализовать схему "router on a stick". Потребуется поддержка port-based VLAN и тэгирования 802.1q на "шлюзе" и коммутаторе. В данном случае у ПК в локальной сети не будет доступа к серверу напрямую.

Также возможны "нестандартные решения" с подменой ARP, но это на любителя.

Может есть какие приспособления для агрегации каналов (2 гбит/с должно хватить с головой)? Или стоит подумать о 10 гбитном линке, но что тогда использовать?

Если есть возможность один гигабитный линк заменить на десятигигабитный линк, то я за этот вариант (см. карточки Intel X540, может кто-то что получше посоветует). Собирая линк из двух (etherchannel, nic teaming, а по сути equal cost multipath), вы, как правило, не ускорите производительность (throughput) одной tcp-сессии (или udp flow).

Выражу мнение, основанное на собственном опыте. Если вдруг задел чьи-то религиозные чувства ("евангелию от Олифера перечить вздумал, еретик!"), извините.

Сам термин "адрес сети" - наследие лихих времен классовой адресации. Оттуда же термины "сеть" и "подсеть" в смысле IP-адресации. Я предлагаю об этих терминах, в силу их слабой применимости к реалиям 2015 года, забыть, и оперировать понятием префикса, т.е. группы адресов с одинаковыми начальными битами.

В вашем случае, предположу, ОС различает маршрут до 10.10.0.0/32 (до роутера) и до 10.10.0.0/24 (маршрут для всех остальных хостов в сети). Это не значит, что все будет работать. Наверняка могут всплыть нюансы с реализацией ARP и т.д.

Возникает также вопрос, как, когда и почему "нулевой" адрес запретили использовать в качестве адреса хоста. Не имея перед собой исходники старых *nix трудно утверждать, но гипотезы такие:
1) раньше "нулевой" адрес использовался не как адрес сети, а как широковещательный, вероятно, корни растут оттуда
2) нюансы реализации маршрутизации и пересылки трафика. Например, запись для маршрута до классовой сети хранилась без маски/префикса (смысл классовой адресации), вероятно, не было возможности различить маршрут до сети с адресом c.c.c.0 и маршрут до хоста с адресом c.c.c.0 . Потом, вероятно, этот подход ("как бы чего не вышло", или fear-uncertainty-doubt в странах развитой демократии) распространился и на подсети, а затем и на префиксы при бесклассовой адресации.

Вообще говоря, представляется полезным попробовать решить следующую задачу.
У вас есть сетевое устройство L3 (маршрутизатор, ведь практически любой сервер или компьютер занимается маршрутизацией собственного трафика), с несколькими ethernet-интерфейсами и с некоторым количеством маршрутов. Как организовать представление таблицы маршрутизации? Как, по заданному IPv4-адресу назначения, определить, как и куда переслать пакет? Попробуйте сами для себя составить примерный алгоритм, многое прояснится.

Но пинг на адрес 127.252 который находится в одной подсети с 127.2/24 не идет.

Почему вы полагаете, что этот хост должен отвечать на пинги?
Кому принадлежит этот адрес (сервер, маршрутизатор)? В любом случае, проверьте на пути следования трафика аксесс-листы (firewall filter), проверьте фильтрацию на фаерволлах, проверьте доступность проблемного хоста по другим протоколам (присылает ли он TCP RST, например, в ответ на TCP SYN), проверьте также его доступность с ближайшего к нему устройства.

Я так и не понял в чем проблема. Если есть какие то советы подскажите

Проверьте режим работы интерфейса, в частности, дуплекс.

А вот дальше я не понимаю как же настроить что бы при обращение с адресов 1.1.1.1/24 в интернет ходили через Dialer 1, с адресов 2.2.2.2/24 через Dialer 2, с адресов 3.3.3.3 через Dialer 3?

Поэкспериментируйте с Policy-based routing на 3845.

на 3550 сложные маршруты

Подразумевается catalyst? Интересные люди ваши админы.

Насколько устойчив этот метод шифровании?

При шифровании одним ключом нескольких сообщений - очень ненадежен. Да и без этого, у вас длина ключа в общем случае меньше длины сообщения. Попробуйте зашифровать длинную строку (~200-300 байт) и проверьте результат.

Сколько минут потребуется профессиональному криптографу для расшифровки?

Не знаю. Знаю по опыту, что студенту, изучающему криптографию, требуется около получаса, чтобы извлечь ключ и исходные сообщения из нескольких шифротекстов, полученных при использовании шифра Вернама с повторением ключа (один ключ на все шифротексты) при "нормальных условиях" (в качестве открытого текста используется грамотная письменная речь, без сжатия и прочего).

А есть ли абсолютный метод шифрований?

Что значит "абсолютный"? Абсолютно стойкий? Абсолютно удобный?

Так же есть ещё свитч D-Link DES-1026D При подключении к нему проводом, всё работает нормально.

Вы не думали, может быть, порт коммутатора неактивен/сгорел?

Трудно говорить о WiFi на частоте 900 МГц, скорее всего речь идет о p2p релее. Есть мнение, что разрекламированная презентация на DEFCON не состоялась именно из-за нарушения правил FCC ("их" комм/частотнадзор).

Ничего сверхъестественного в проекте не было, поэтому появилось множество вариаций:
раз, два, три.

Что я делаю я неправильно?

Вам подают фреймы из двух вланов, наверняка тэгированные, а вы пытаетесь их принимать портом в режиме доступа.

Попробуйте так (синтаксис, вероятно, надо будет немного изменить):

Int gi4
switchport mode trunk
switchport trunk allowed vlan add 2045, 2075

Можно ли, умышленно или случайно, добавить в процесс eigrp на пограничном вышеуказанном роутере настройки, которые бы положили сеть на предприятии 1?

Да, можно.

Не встречали ли подобные случаи.

Встречали, флуд/спуфинг LSA (в случае с OSPF) начинающим "безопасником", который не в той консоли начал экспериментировать. Ну или банальная (и не такая страшная) петля маршрутизации на границе между владениями.

В принципе, как я думаю, максимум что худшего может произойти - не долетать анонсы с пограничного роутера на остальные роутеры домена eigrp.

Или роутер сойдет с ума (баг в прошивке) и начнет рассылать некорректные сообщения протокола маршрутизации, отсюда повышенная утилизация ресурсов и прочие негативные последствия.

Концептуально, в случае разделения сети на домены контроля и управления BGP - лучший вариант. Или, если у вас всего два линка между доменами контроля, можете попробовать управляемую статическую маршрутизацию (track в cisco, аналоги в juniper) и при дальнейшей модернизации сети решительно переходить на BGP (в т.ч. моедрнизировать устройства и т.д.)

Packet pushers, блог Пепельняка

внутри сети нельзя подключаться по RDP к серверу по доменному имени (по внешнему IP тоже),

Насколько я понимаю, нужно копать в сторону NAT,

Вам поможет Hairpin NAT.

Спасибо, что "призвали", помогу чем смогу.

узлы-братья удалены друг от друга на динамически задаваемое значение (в данном случаи 20), так же как и узлы-соседи (в данном случаи 40)

Давайте с терминологией определимся, под соседями подразумеваются узлы на одном уровне дерева, не имеющие общего непосредственного родителя (не братья)?

Ваш алгоритм, к сожалению, до конца не понял, при наличии времени попробую повторить попозже. Но идея двигать отдельные ноды "вручную" мне не импонирует.

Если есть какие-то идеи я буду рад выслушать

Идея такая. Дерево, как правило, имеет на нижних уровнях больше узлов, чем на верхних. Больше узлов - меньше свободы в плане сколь-нибудь равномерного их размещения. Так и начинайте снизу. Из готовых алгоритмов навскидку могу только вспомнить Tidier drawing of trees (за авторством Reingold, Tilford), вполне возможно, что удастся его адаптировать под ваши требования.