Ač jsem se zařekl, že sem nebudu přispívat a nikomu radit, neb je to ztráta času a peněz, udělám výjimku potvrzující pravidlo.
Jsou různé druhy sítí, experimentální high-tech někde na univerzitě, kde je potřeba tu P3/800MHz v kabinetě fyziky připojit na Cisco za 100 litrů, takové, kde je úplně jedno, jak to chodí, malé, velké, různé.
Já budu mluvit o velkých sítích v koncernech.
Levný síťový HW?
A víte, že ten levný HW odvádí často spoustu výborné práce?
Switch v kovovém case za 350,- Kč odvede stejnou spoustu práce jako stejný za 20K.
ALE tyhle mrchy dávám vždy za Cisco/3COM, třeba když mi chybí zásuvky.
Ve velkých sítích cca od 250 a více zařízení se poměrně často zblázní nějaká síťovka a pak začne blbnout celá síť, pokud tam máte jen levné krámy, jste v háji. Pokud tam máte CISCO, jste v háji, ale líp se dohledává port, případně típnete celou kancelář a podezřelou síťovku si došťouráte už lokálně.
Samozřejmě přicházíte na daném portu o věci jako jsou VLANy, bez kterých si život dokážu jen těžko představit.
A pak taky přicházíte o možnost ověřit zařízení před připojením do sítě, to je poměrně velká škoda.Máte 10 zasedaček, všude hrozí, že se do lan píchne nějaký obchodník se zavirovaným NB a bohužel se do sítě dostane.
Přesto na koncové "rozdvojky" v nouzi laciné klumpry používám a řada z nich jede mnoho let bez nejmenšího problému.
Jenže je to pod Cisco a problém se dá najít, používat jen levné klumpry, jsem v háji.
No a pak jsou záložní sítě, HAHAwei použije jen blázen, ale dobré ADSL modemy dělá třeba DrayTek a typ Vigor s cenou od 4000 Kč jsou dobrá až velmi dobrá zařízení, mikrotik je taky zlatíčko a pracant, ale to se bavíme o síti, která když v pondělí lehne a do pátku jí neopravíte, vůbec nic se neděje.
A existuje ještě jeden scénář, kdy se vyplatí používat laciné prvky.
Pokud je někdo jelito a neumí nakonfigurovat zabezpeční Cisco, nebo nemá dost času, aby každý měsíc prováděl kontrolu firmware, vyplatí se ohrožené části sítě úplně fyzicky oddělit. Už jsem viděl admina, který měl pocit, že paket je neměnný a vlan se na něm nedá nastavit.
Pokud je to nakonfigurované dobře, fungují VLANy stejně bezpečně, jako fyzicky oddělená síť, pokud blbě, jako by tam ta VLAN ani nebyla.
Proto není od věci nejohroženější část sítě prostě úplně fyzicky oddělit, ať si jí útočník klidně sežere, mě to je jedno, protože zbytek sítě je jinde. To nemluvím o lidech, kteří mají pocit, že když do 24-portového switche zapojí síťě 10.x.x.x a 192.168.x.x, že to je dostatečné oddělení. Cisco taky není samospásné, paketová bouře v jedné VLAN mi už nejednou prakticky skoro úplně zahryzla celý switch.
Abych jen nechválil laciné krámy.
V poslední době se laciní výrobci snaží do svých zařízení implementovat pokročilé featury typu L2 a L3, QOS/prioritizaci atd.
Nazvat to slušným jménem nelze! Takovou paseku, jakou to dokáže udělat, jak to straší na síti, to je hnus.
Máte 8 portů, jeden třeba označený uplink, dva s vysokou prioritou, dva se střední a zbytek s malou.
Omylem jsem jich pár koupil, aniž bych si toho všiml (prostě koupím laciný switch v plechové krabici od ověřeného výrobce a nekoukám na typ), jenže najednou mi v síti straší!WTF?
Navíc straší tak pitomě, že Cisco mlčí, projevuje se to tak, že nelze dohledat zdroj problému, jen někdy, možná jen v době, kdy indiáni v Amazonii tančí dešťový tanec, to chvíli blbne a pak je tři dny klid.
O co šlo? Pokud počítač v portu s vysokou prioritou začne kopírovat soubor ze sítě, ostatní si ani neškrtnou, ta blbá krabička dropuje jejich pakety! Pokud port s vysokou prioritou nejede naplno, všechno funguje jak má, lítal jsem okolo toho s přestávkama týden, zkusil jsem vyměnit switch za jiný (stejný bohužel), přehodit postižený počítak do jiného portu (bohužel taky pomalého), vyměnit síťovku, vyměnit kabel, až nakonec jsem tam vrznul deset let starý 3Com a začalo to fungovat. Aha, bude to ve switchi!
Na problém jsem přišel až na stole, když jsem si s tím hrál.
Takže tohle se Vám při používání laciných šmejdů může stát celkem lehce.
No, protože o mě tu budou "J"istí lidé asi zase tvrdit, že jsem vůl a že to tak není, tak ani nevím, jestli to odesílat, ale už jsem to napsal, tak jdetě do zadeke