[h3ll1]

Просмотр сообщенияSaab95 (11 декабря 2015 - 21:59) писал:

Используйте вместо MPLS EoIP.

 

:))

Изменено 13 апреля, 2016 пользователем h3ll1

[kayot]

Saab95

А на кой хрен в своей сети масштаба города MPLS? Хорошо что EoIP не предложил :)

[Butch3r]

Есть такие.

скажите модель

 

Saab95

А на кой хрен в своей сети масштаба города MPLS? Хорошо что EoIP не предложил :)

да просто чушь порит

[Saab95]

скажите модель

 

Mikrotik CRS.

 

Просмотр сообщенияSaab95 (11 декабря 2015 - 21:59) писал:

Используйте вместо MPLS EoIP.

:))

 

Тут все верно. Просто есть 2 типа построения сетей - на микротике, и на другом оборудовании. Если везде микротик, то MPLS не нужен, т.к. по сути EoIP это то же самое, только без лишней не нужной монстроподобной обвязки. Когда сеть построена на другом оборудовании, то там может использоваться только стандартизированный MPLS.

[Saab95]

Saab95

А на кой хрен в своей сети масштаба города MPLS?

 

Для удобства управления, простоты реализации и надежности. Т.к. на L2 нет возможности нормального резервирования, нет возможности распределения нагрузки. Как пример - до одного дома выделено 2 волокна, при использовании L2 есть только 2 варианта:

 

1. STP, когда одно волокно простаивает.

2. STP и 2 коммутатора в доме, тогда STP отключает линк между коммутаторами, клиенты каждого коммутатора идут через свое волокно, при обрыве все заворачивается на оставшееся.

 

То есть схему многозвеньевых линков сделать не выйдет, т.к. любой промежуточный линк, например установка третьего коммутатора, создаст проблемы, да и в центре нужно иметь L2 связь между ними, что не удобно.

 

При использовании L3 никаких проблем с масштабированием нет - можно городить сколько угодно каналов с любой скоростью, нагрузка будет распределяться автоматически.

 

Теперь могу ответить на ваш вопрос - потому что MPLS коммутаторы и ядро с MPLS стоит несколько дороже, чем привыкли выделять на строительство сети. Тут и появляется главное преимущество микротика - он все это умеет за низкую стоимость, при этом в большинстве случаев, его "ограниченной" производительности хватает для работы.

[crank]

c3750 умеет, только надо еще 2 порта :)

это костыль

Именно костыль. Тем более для каждого внешнего тега придется выделять по 2 порта. :)

 

BRAS'а как такового у нас нет. Есть серваки, которые делают нарезку скорости (ipt-ratelimit) + NAT, дальше на бордер и вверх. Вот и колхозим с терминацией на C3750. Сейчас большинство абонентов работает через PPPoE, но хочется уйти от этого из-за забыл/потерял пароль, подскажите как настроить роутер/компьютер/неведомую железку + многие хотят "включил и работает" без запусков всяких доп. подключений (это про тех, у кого нет роутера).

Изменено 14 апреля, 2016 пользователем crank

[Butch3r]

Накрутите на серваках двойное тэгирование и терменируйте на них.

[hsvt]

Понятно, что каждый выбирает свою схему, можно ли какой то общий итог подвести? Абонентские тэги навешиваются коммутатором доступа с клиентских портов пользовательский VLAN (c-vlan) (port based) ? Операторские (QinQ) - (s-vlan) коммутатором агрегации. Со стороны NAS (accel-ppp к примеру) создаётся операторский влан, к нему цепляются абонентские, и всё раскручивается обратно, s-vlan подымается при старте системы, c-vlan разворачивается по приходу пакета от пользователя.

 

Авторизация? На основании номера supervlan'а q-in-q + номер vlan'а внутри q-in-q + remote-id формируется запрос к радиусу то есть биллинг должен это поддерживать. Дополнительно еще можно заюзать изоляцию портов.

 

Какие подводные камни? arp spoofing, dns tunneling, lbd, storm control (brd,mlt,unicast), перетыкание монтажниками витух и портов, врезка в кабель соседа?

[Saab95]

Какие подводные камни? arp spoofing, dns tunneling, lbd, storm control (brd,mlt,unicast), перетыкание монтажниками витух и портов, врезка в кабель соседа?

 

Самый главный косяк это нужно помнить связку влана абонента и влана QinQ, то есть при любых изменениях нужно вносить изменения в биллинг, схема с MPLS лишена этого недостатка. В ней для каждого абонента создается уникальный VPLS интерфейс, на котором и предоставляется услуга.

[kayot]

Saab95

Ни одна волшебная технология не исправит перепутанные порты в свиче доступа.

Но в реальности ситуации подобные встречаются редко(сперли свич или вырезали витуху возле ящика) и исправляются банально - оператор нажатием кнопочки в биллинге удаляет для всего дома привязки и абоненты проходят первоначальную авторизацию с вводом логина/пароля от личного кабинета.

[GrandPr1de]

или маркировать кабеля например, в любом случае это проблема не технологии а проблема монтажка как по мне

[mlevel]

Тоже планиурем переход на DHCP opt.82 + VLAN на коммутатор.

 

Для себя придумал следующий сценарий:

- Выдача IP-адреса по опции 82 (порту комутатора).

- WEB-авторизация по логину и паролю персонального кабинета.

- По-умолчанию если авторизации еще не было, то етому IP-адресу заблокирован доступ в фаерволе.

- Если логин и пароль не совпадает с аккаунтом которому был выдан IP-адрес (IP-адрес берем из HTTP заголовков), доступ не разрешаем, репортим в тех. поддержку.

- Если авторизация проходит успешно - разрешаем доступ в фаерволе.

- На роутере (у меня FreeBSD) следим за сменой MAC-адреса для каждого IP-адреса (через ARP log или через MAC notification SNMP trap) и автоматически добавляем такие IP-адреса в таблицу для принудительной повторной WEB-авторизации.

Изменено 14 апреля, 2016 пользователем mlevel

[tehmeh]

Saab с L3-access эволюционировал в MPLS-access?

[Saab95]

Saab с L3-access эволюционировал в MPLS-access?

 

Это одно и то же, только некоторые разновидности. L3-access подразумевает установку IP адресов прямо на абонентских портах, а MPLS передает данные с абонентских портов в центр на BRAS для авторизации. В этом случае адресацией абонентов занимается центральное оборудование.

[Nik0n]

Тоже планиурем переход на DHCP opt.82 + VLAN на коммутатор.

 

Мы это сделали сразу на этапе развертывания в далеком 2009 году. И не пожалели :)

Меняли ядро, меняли магистрали (что бы 10G бьло), ставли аппартные BRAS - но ip unnumbered не изменяли ;-)

Правда ни как можем победить "умных" юриков. Они хотят статический IP. Мы конечно же выдаем IP всегда один и тот же.

Но им видимо ссыкотно, что IP может измениться и всякие клиент-банки, тунели и т.п. перестанут работать.

[GrandPr1de]

ну писал не я этот текст))

не того человека цитируете))

а для юриков можно на влане и поллинг включить или статик роут впилить (что немного правильнее), на то они и юрики)))

[vop]

Тоже планиурем переход на DHCP opt.82 + VLAN на коммутатор.

 

Для себя придумал следующий сценарий:

- Выдача IP-адреса по опции 82 (порту комутатора).

- WEB-авторизация по логину и паролю персонального кабинета.

- По-умолчанию если авторизации еще не было, то етому IP-адресу заблокирован доступ в фаерволе.

- Если логин и пароль не совпадает с аккаунтом которому был выдан IP-адрес (IP-адрес берем из HTTP заголовков), доступ не разрешаем, репортим в тех. поддержку.

- Если авторизация проходит успешно - разрешаем доступ в фаерволе.

- На роутере (у меня FreeBSD) следим за сменой MAC-адреса для каждого IP-адреса (через ARP log или через MAC notification SNMP trap) и автоматически добавляем такие IP-адреса в таблицу для принудительной повторной WEB-авторизации.

 

Добавьте к связке выдачи ip еще и MAC, тогда маки будут отслеживаться автоматически. Поменялось устройство или добавилось еще одно - выдаем на связку новый IP, который надо тоже авторизовать через веб. Старый адрес протухает с новым месяцем (дабы статистику по нему не потерять).

[VPN]

- WEB-авторизация по логину и паролю персонального кабинета.

- На роутере (у меня FreeBSD) следим за сменой MAC-адреса для каждого IP-адреса (через ARP log или через MAC notification SNMP trap) и автоматически добавляем такие IP-адреса в таблицу для принудительной повторной WEB-авторизации.

А зачем эта авторизация? Неужели выданного IP по option 82 недостаточно для авторизации клиента в сети?

[vop]

А зачем эта авторизация? Неужели выданного IP по option 82 недостаточно для авторизации клиента в сети?

 

Я не знаю, зачем там эта авторизация, но обычно она делается для того, что бы оператор не напрягался в поисках, какой же порт закреплен за абонентом. Абонент сам закрепляет за собой порт.

[mlevel]

- WEB-авторизация по логину и паролю персонального кабинета.

- На роутере (у меня FreeBSD) следим за сменой MAC-адреса для каждого IP-адреса (через ARP log или через MAC notification SNMP trap) и автоматически добавляем такие IP-адреса в таблицу для принудительной повторной WEB-авторизации.

А зачем эта авторизация? Неужели выданного IP по option 82 недостаточно для авторизации клиента в сети?

 

Ну например была гроза, поменяли свитч, переключили абонентов, забыли сверить порты и тд.

Такая себе защита от ошибок монтажников.