Jump to content
Калькуляторы

Защита от кражи трафика при IP Unnumbered схема vlan на коммутатор

А доступу QinQ и нафиг не вперся, в этом один из главных плюсов нормальной схемы :)

Так же не нужен opt82, loop detect, storm control и вообще ничего кроме вланов 802.1q

Share this post


Link to post
Share on other sites

А доступу QinQ и нафиг не вперся, в этом один из главных плюсов нормальной схемы :)

Так же не нужен opt82, loop detect, storm control и вообще ничего кроме вланов 802.1q

 

ну я вот поэтому и спросил

просто авторизуем абона по clvan + svlan

 

просто пачка вланов - которые упаковываются на агрегации в svlan-ы

Share this post


Link to post
Share on other sites

Угу. Можно на аггрегации эти же терминирующие циски ставить если там что-то типа 3650 используется, тогда вообще qinq не нужен.

Share this post


Link to post
Share on other sites

Так же не нужен ... loop detect, storm control и вообще ничего кроме вланов 802.1q

 

Ну lpbk умеет ловить петли за портом абонента на некоторых железках. А storm control, на мой взгляд, все равно нужен, зачем в сети весь этот мусор?

Share this post


Link to post
Share on other sites

lpbk умеет ловить петли за портом абонента на некоторых железках. А storm control, на мой взгляд, все равно нужен, зачем в сети весь этот мусор

Какой мусор, в какой сети? В сети 2 мака, клиент и терминатор. Больше ничего нет, испортить никому ничего нельзя.

Share this post


Link to post
Share on other sites

клиент и терминатор

терминатору мало понравится мусор, пусть даже от одного клиента... особенно если у клиента помойка в локалке

Share this post


Link to post
Share on other sites

lpbk умеет ловить петли за портом абонента на некоторых железках. А storm control, на мой взгляд, все равно нужен, зачем в сети весь этот мусор

Какой мусор, в какой сети? В сети 2 мака, клиент и терминатор. Больше ничего нет, испортить никому ничего нельзя.

Например, гора broadcast'ов от клиента, которая валится на ваш "терминатор"?

Share this post


Link to post
Share on other sites

А где взяться горе мусора или броадкаста на порту конечного клиента? :)

Собственно схема эта работает уже несолько лет, на доступе максимально простые L2 свичи с включенным функционалом vlan-only.

Терминатор - сервера с accel.

Вообще никаких граблей, мы после перехода на эту систему половину техподдержки разогнали :)

Share this post


Link to post
Share on other sites

kayot, у Вас либо маленькая сеть, либо Вам феерически везет :)

Понятно что в схеме влан на пользователя это скорее перестраховка, но почему бы не использовать функционал, который есть, пожалуй, во всех свитчах которые могут вланы?

Share this post


Link to post
Share on other sites

А где взяться горе мусора или броадкаста на порту конечного клиента? :)

 

Зловредная активность на порту абонента, петли внутри сети, намеренный packet crafting, и прочий шлак.

 

VLAN per customer позволяет избавить разгрузить control plane коммутатора от лишнего функционала, зачастую это First Hop Security протоколы, всякие DHCP snooping, IP Source Guard, DAI и иже с ними.

strom control, в свою очередь, на многих коммутаторах фича аппаратная, если чего-нибудь лишнего не настроено (типа логов или трапов). Поэтому я не вижу причин, почему бы мне еще одну строчку в шаблон коммутатора не добавить?

Share this post


Link to post
Share on other sites

Ну это уже разговор о чем. Если функционал в коммутаторе есть - почему бы его не включить. Но именно необходимость какой-либо в нем нет.

Напомню, началось все вообще с поддержки qinq на доступе.

Share this post


Link to post
Share on other sites

qinq на доступе мне кажется лишним, проще паковать на кластерах

Share this post


Link to post
Share on other sites

Проще делать промежуточные узлы, которые уже связывать с центром. Сразу упрощается поиск неисправностей и в случае глобальных поломок вся сеть не отключается разом.

Так же при схеме влан на абонента, коммутаторы можно использовать попроще, а они - дешевле.

Share this post


Link to post
Share on other sites

А где взяться горе мусора или броадкаста на порту конечного клиента? :)

Собственно схема эта работает уже несолько лет, на доступе максимально простые L2 свичи с включенным функционалом vlan-only.

Терминатор - сервера с accel.

Вообще никаких граблей, мы после перехода на эту систему половину техподдержки разогнали :)

 

Тоже бы хотел попробовать эту схему, на доступе D-Linkи, на агрегации есть L2+ которые умеют Selective QinQ. Если QinQ на доступе не собирать, что подразумевается под vlan-only ? Пользовательский VLAN и на агрегации уже запаковываете? Как таковая привязка к порту на доступе отсутствует?

Edited by hsvt

Share this post


Link to post
Share on other sites

Привязка: верхний влан + нижний влан

Share this post


Link to post
Share on other sites

Почитал гайды. Catalyst 3750 не умеет терминировать по двойному вилану. Т.е. верхний вилан нужно снимать перед этим коммутатором и выходит, что внутренние виланы не должны пересекаться. Толку от упаковывания и распаковывания vlan'ов абонентов в таком случае не вижу. Пните в нужном направлении, если я не прав.

Edited by crank

Share this post


Link to post
Share on other sites

Почитал гайды. Catalyst 3750 не умеет терминировать по двойному вилану. Т.е. верхний вилан нужно снимать перед этим коммутатором и выходит, что внутренние виланы не должны пересекаться. Толку от упаковывания и распаковывания vlan'ов абонентов в таком случае не вижу. Пните в нужном направлении, если я не прав.

я вообще не нашёл свич, который умеет терменировать с двойным тэгом

qinq нужен чтоб гнать вланы прям до браса и на нём уже терменировать с двойным тэгом

Share this post


Link to post
Share on other sites

У них, видимо, l3-connected, колхозная схема с терминацией L3 до браса, поэтому и грустят, что нельзя приземлить, а гнать QinQ до браса - это чистый l2-connected.

Share this post


Link to post
Share on other sites

c3750 умеет, только надо еще 2 порта :)

Share this post


Link to post
Share on other sites

c3750 умеет, только надо еще 2 порта :)

это костыль

Share this post


Link to post
Share on other sites

Почитал гайды. Catalyst 3750 не умеет терминировать по двойному вилану. Т.е. верхний вилан нужно снимать перед этим коммутатором и выходит, что внутренние виланы не должны пересекаться. Толку от упаковывания и распаковывания vlan'ов абонентов в таком случае не вижу. Пните в нужном направлении, если я не прав.

Дык 3750 их и так всего 1к может терминировать, зачем тут вообще qinq? Ставьте их прямо на аггрегации, каждая будет свой район терминировать.

У нас аггрегация(DGS-3420) запаковывает в qinq и дальше тянется на L2 до БРАСа, там однозначная привязка svlan/cvlan на клиента.

Share this post


Link to post
Share on other sites

боже, терминировать q-in-q и дешманские циски в одном предложении

q-in-q приземлять умеет либо accel-ppp либо дорогие брасы аля juniper mx

 

всё верно товарисч говорит, агрегируйте на 3750, авторизация - opt82 remote-id + номер влана

то бишь циска с которой прилетел запрос + номер влана, я собсно так и делаю

Share this post


Link to post
Share on other sites

я вообще не нашёл свич, который умеет терменировать с двойным тэгом

 

Есть такие.

 

Дык 3750 их и так всего 1к может терминировать, зачем тут вообще qinq? Ставьте их прямо на аггрегации, каждая будет свой район терминировать.

У нас аггрегация(DGS-3420) запаковывает в qinq и дальше тянется на L2 до БРАСа, там однозначная привязка svlan/cvlan на клиента.

 

А что не используете MPLS коммутаторы? Которые запаковывают данные с портов/вланов абонентов в L3 и уже передают в центр, тогда там вообще никакого L2 или там вланов не требуется, все будет поверх MPLS работать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this