[GrandPr1de]

а обязательно ку-ин-ку паковать на доступе?

[kayot]

А доступу QinQ и нафиг не вперся, в этом один из главных плюсов нормальной схемы :)

Так же не нужен opt82, loop detect, storm control и вообще ничего кроме вланов 802.1q

[GrandPr1de]

А доступу QinQ и нафиг не вперся, в этом один из главных плюсов нормальной схемы :)

Так же не нужен opt82, loop detect, storm control и вообще ничего кроме вланов 802.1q

 

ну я вот поэтому и спросил

просто авторизуем абона по clvan + svlan

 

просто пачка вланов - которые упаковываются на агрегации в svlan-ы

[kayot]

Угу. Можно на аггрегации эти же терминирующие циски ставить если там что-то типа 3650 используется, тогда вообще qinq не нужен.

[tehmeh]

Так же не нужен ... loop detect, storm control и вообще ничего кроме вланов 802.1q

 

Ну lpbk умеет ловить петли за портом абонента на некоторых железках. А storm control, на мой взгляд, все равно нужен, зачем в сети весь этот мусор?

[Traskalata]

Кстати вот здесь в статье хорошо описано http://nag.ru/articles/article/16999/vlan-na-polzovatelya-arhitektura-i-alternativyi.html

[kayot]

lpbk умеет ловить петли за портом абонента на некоторых железках. А storm control, на мой взгляд, все равно нужен, зачем в сети весь этот мусор

Какой мусор, в какой сети? В сети 2 мака, клиент и терминатор. Больше ничего нет, испортить никому ничего нельзя.

[kaist]

клиент и терминатор

терминатору мало понравится мусор, пусть даже от одного клиента... особенно если у клиента помойка в локалке

[tehmeh]

lpbk умеет ловить петли за портом абонента на некоторых железках. А storm control, на мой взгляд, все равно нужен, зачем в сети весь этот мусор

Какой мусор, в какой сети? В сети 2 мака, клиент и терминатор. Больше ничего нет, испортить никому ничего нельзя.

Например, гора broadcast'ов от клиента, которая валится на ваш "терминатор"?

[kayot]

А где взяться горе мусора или броадкаста на порту конечного клиента? :)

Собственно схема эта работает уже несолько лет, на доступе максимально простые L2 свичи с включенным функционалом vlan-only.

Терминатор - сервера с accel.

Вообще никаких граблей, мы после перехода на эту систему половину техподдержки разогнали :)

[kaist]

kayot, у Вас либо маленькая сеть, либо Вам феерически везет :)

Понятно что в схеме влан на пользователя это скорее перестраховка, но почему бы не использовать функционал, который есть, пожалуй, во всех свитчах которые могут вланы?

[tehmeh]

А где взяться горе мусора или броадкаста на порту конечного клиента? :)

 

Зловредная активность на порту абонента, петли внутри сети, намеренный packet crafting, и прочий шлак.

 

VLAN per customer позволяет избавить разгрузить control plane коммутатора от лишнего функционала, зачастую это First Hop Security протоколы, всякие DHCP snooping, IP Source Guard, DAI и иже с ними.

strom control, в свою очередь, на многих коммутаторах фича аппаратная, если чего-нибудь лишнего не настроено (типа логов или трапов). Поэтому я не вижу причин, почему бы мне еще одну строчку в шаблон коммутатора не добавить?

[kayot]

Ну это уже разговор о чем. Если функционал в коммутаторе есть - почему бы его не включить. Но именно необходимость какой-либо в нем нет.

Напомню, началось все вообще с поддержки qinq на доступе.

[Butch3r]

qinq на доступе мне кажется лишним, проще паковать на кластерах

[Saab95]

Проще делать промежуточные узлы, которые уже связывать с центром. Сразу упрощается поиск неисправностей и в случае глобальных поломок вся сеть не отключается разом.

Так же при схеме влан на абонента, коммутаторы можно использовать попроще, а они - дешевле.

[hsvt]

А где взяться горе мусора или броадкаста на порту конечного клиента? :)

Собственно схема эта работает уже несолько лет, на доступе максимально простые L2 свичи с включенным функционалом vlan-only.

Терминатор - сервера с accel.

Вообще никаких граблей, мы после перехода на эту систему половину техподдержки разогнали :)

 

Тоже бы хотел попробовать эту схему, на доступе D-Linkи, на агрегации есть L2+ которые умеют Selective QinQ. Если QinQ на доступе не собирать, что подразумевается под vlan-only ? Пользовательский VLAN и на агрегации уже запаковываете? Как таковая привязка к порту на доступе отсутствует?

Изменено 12 апреля, 2016 пользователем hsvt

[Butch3r]

Привязка: верхний влан + нижний влан

[crank]

Почитал гайды. Catalyst 3750 не умеет терминировать по двойному вилану. Т.е. верхний вилан нужно снимать перед этим коммутатором и выходит, что внутренние виланы не должны пересекаться. Толку от упаковывания и распаковывания vlan'ов абонентов в таком случае не вижу. Пните в нужном направлении, если я не прав.

Изменено 13 апреля, 2016 пользователем crank

[Butch3r]

Почитал гайды. Catalyst 3750 не умеет терминировать по двойному вилану. Т.е. верхний вилан нужно снимать перед этим коммутатором и выходит, что внутренние виланы не должны пересекаться. Толку от упаковывания и распаковывания vlan'ов абонентов в таком случае не вижу. Пните в нужном направлении, если я не прав.

я вообще не нашёл свич, который умеет терменировать с двойным тэгом

qinq нужен чтоб гнать вланы прям до браса и на нём уже терменировать с двойным тэгом

[tehmeh]

У них, видимо, l3-connected, колхозная схема с терминацией L3 до браса, поэтому и грустят, что нельзя приземлить, а гнать QinQ до браса - это чистый l2-connected.

[h3ll1]

c3750 умеет, только надо еще 2 порта :)

[Butch3r]

c3750 умеет, только надо еще 2 порта :)

это костыль

[kayot]

Почитал гайды. Catalyst 3750 не умеет терминировать по двойному вилану. Т.е. верхний вилан нужно снимать перед этим коммутатором и выходит, что внутренние виланы не должны пересекаться. Толку от упаковывания и распаковывания vlan'ов абонентов в таком случае не вижу. Пните в нужном направлении, если я не прав.

Дык 3750 их и так всего 1к может терминировать, зачем тут вообще qinq? Ставьте их прямо на аггрегации, каждая будет свой район терминировать.

У нас аггрегация(DGS-3420) запаковывает в qinq и дальше тянется на L2 до БРАСа, там однозначная привязка svlan/cvlan на клиента.

[GrandPr1de]

боже, терминировать q-in-q и дешманские циски в одном предложении

q-in-q приземлять умеет либо accel-ppp либо дорогие брасы аля juniper mx

 

всё верно товарисч говорит, агрегируйте на 3750, авторизация - opt82 remote-id + номер влана

то бишь циска с которой прилетел запрос + номер влана, я собсно так и делаю

[Saab95]

я вообще не нашёл свич, который умеет терменировать с двойным тэгом

 

Есть такие.

 

Дык 3750 их и так всего 1к может терминировать, зачем тут вообще qinq? Ставьте их прямо на аггрегации, каждая будет свой район терминировать.

У нас аггрегация(DGS-3420) запаковывает в qinq и дальше тянется на L2 до БРАСа, там однозначная привязка svlan/cvlan на клиента.

 

А что не используете MPLS коммутаторы? Которые запаковывают данные с портов/вланов абонентов в L3 и уже передают в центр, тогда там вообще никакого L2 или там вланов не требуется, все будет поверх MPLS работать.