Jump to content
Калькуляторы

переход с pptp на EoIP (IP+mac+port+bind)

Приветствую.

На данный момент в сети настроено существование группы pptp-серверов (mpd5). В планах есть желание перейти на так называемый EoIP. Якобы это должно решить множество проблем, которые возникают при тунелировании трафика. DHCP с опцией 82, в принципе, настроен. Вопрос только в том, как обеспечить им (клиентам) доступ в глобальную сеть?

Если у кого есть подробное руководство (не на базе d-link), буду признателен.

 

Спасибо.

Edited by default_vlan

Share this post


Link to post
Share on other sites

и каждому клиенту по микротику поставить?

Share this post


Link to post
Share on other sites

Может IPOE?

Может быть, судя по гуглу.

 

и каждому клиенту по микротику поставить?

дорого и не рентабельно.

Share this post


Link to post
Share on other sites

DHCP с опцией 82

 

Лучше уж vlan-per-user и абонента определять по паре (svlan;cvlan). Opt82 на зоопарке свитчей доступа может стать проблемой.

Share this post


Link to post
Share on other sites
Вопрос только в том, как обеспечить им (клиентам) доступ в глобальную сеть?

 

Немного не допонял. Что значит "как"? Наверно настроить роутинг.

Share this post


Link to post
Share on other sites

опцию 82 закопать.

mac+port+bind сжечь.

советчиков, которые это советуют, утопить.

 

делайте влан-на-абонента.

у вас адреса абонентам даются серые или белые?

Share this post


Link to post
Share on other sites

опцию 82 закопать.

mac+port+bind сжечь.

советчиков, которые это советуют, утопить.

 

у нас годами все работает без проблем.

Сейчас я бы сделал по другому, но вариант вполне рабочий.

Share this post


Link to post
Share on other sites

Благодарю всех откликнувшихся. Извиняюсь, что не отвечал, тут очень странная система с блокировкой сообщений. Сегодня я могу ответить 2 раза, включая этот... и так еще 3 раза.

у вас адреса абонентам даются серые или белые?

Пока серые, но расчитываю на крупный пул белых IP.

 

у нас годами все работает без проблем.

Сейчас я бы сделал по другому, но вариант вполне рабочий.

Сколько клиентов, сколько железок и как бы сделали?

 

Немного не допонял. Что значит "как"? Наверно настроить роутинг.

Ну так это понятно, но вроде как сама технология не подразумевает простого NAT. Или я ошибся?

 

Теперь вопрос тем, кто отписал про vlan-per-user, cvlan, svlan.

У нага приобреталось железо cisco catalyst 2950 и 3548, также есть пара snr-c2950 и nortel-bay-stack, кое где еще 3com 3c16980. Всё же преимущественно стоит cisco 2950. Это что касается уровня доступа.

Уровень распределения ранее был на foundry big iron, сейчас на cisco catalyst 3550.

Проблема в том, что cisco 3550 не понимает большого количества vlan, если на 2х разных железках не выставлен vtp transparent, то они клонируют друг у друга vlan-id, а дальше просто "моргают лампочками", а трафик ходит с огромными задержками. Учитывая этот факт, осмелюсь предположить, что 500-800 человек с района просто не смогут работать в таком режиме. Может быть есть параметр оптимизации для 3550 на количество обслуживаемых vlan? Как быть в этом случае?

 

Опять же, допустим, у меня есть огромный пул внешних белых ip. Выдавать клиенту их по dhcp? В таком случае я смутно представляю топологию сети.

Share this post


Link to post
Share on other sites

unnumbered же

 

У меня такого в 2950 даже нет:

(config-vlan)#? 
VLAN configuration commands:
 are           Maximum number of All Route Explorer hops for this VLAN (or zero if none specified)
 backupcrf     Backup CRF mode of the VLAN
 bridge        Bridging characteristics of the VLAN
 exit          Apply changes, bump revision number, and exit mode
 media         Media type of the VLAN
 mtu           VLAN Maximum Transmission Unit
 name          Ascii name of the VLAN
 no            Negate a command or set its defaults
 parent        ID number of the Parent VLAN of FDDI or Token Ring type VLANs
 private-vlan  Configure a private VLAN
 remote-span   Configure as Remote SPAN VLAN
 ring          Ring number of FDDI or Token Ring type VLANs
 said          IEEE 802.10 SAID
 shutdown      Shutdown VLAN switching
 state         Operational state of the VLAN
 ste           Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified)
 stp           Spanning tree characteristics of the VLAN
 tb-vlan1      ID number of the first translational VLAN for this VLAN (or zero if none)
 tb-vlan2      ID number of the second translational VLAN for this VLAN (or zero if none)

 

на 3550 также:

(config-vlan)#? 
VLAN configuration commands:
 are          Maximum number of All Route Explorer hops for this VLAN (or zero if none specified)
 backupcrf    Backup CRF mode of the VLAN
 bridge       Bridging characteristics of the VLAN
 exit         Apply changes, bump revision number, and exit mode
 media        Media type of the VLAN
 mtu          VLAN Maximum Transmission Unit
 name         Ascii name of the VLAN
 no           Negate a command or set its defaults
 parent       ID number of the Parent VLAN of FDDI or Token Ring type VLANs
 remote-span  Configure as Remote SPAN VLAN
 ring         Ring number of FDDI or Token Ring type VLANs
 said         IEEE 802.10 SAID
 shutdown     Shutdown VLAN switching
 state        Operational state of the VLAN
 ste          Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified)
 stp          Spanning tree characteristics of the VLAN
 tb-vlan1     ID number of the first translational VLAN for this VLAN (or zero if none)
 tb-vlan2     ID number of the second translational VLAN for this VLAN (or zero if none)

Share this post


Link to post
Share on other sites

А зачем ему самому это уметь? В куинку каждый порт упаковать и пусть маршрутизатор все это разбирает

Share this post


Link to post
Share on other sites

А зачем ему самому это уметь? В куинку каждый порт упаковать и пусть маршрутизатор все это разбирает

Пример можно? :) как упаковать и как заставить маршрутизатор, а в моем случае l3-коммутатор это разрулить?

Share this post


Link to post
Share on other sites

Немного не допонял. Что значит "как"? Наверно настроить роутинг.

Ну так это понятно, но вроде как сама технология не подразумевает простого NAT. Или я ошибся?

 

Мне кажется, что NAT особо к технологии предоставления доступа не имеет.

 

Опять же, допустим, у меня есть огромный пул внешних белых ip. Выдавать клиенту их по dhcp? В таком случае я смутно представляю топологию сети.

 

Тут может быть простой подход - неизвестным аппаратам выдавать серый ip, переводя его на белый после подтверждения в рамках квоты на абонента.

Share this post


Link to post
Share on other sites

Мне кажется, что NAT особо к технологии предоставления доступа не имеет.

Как в таком случае должно работать? Я предполагал, что клиенту дается адрес 10.199.199.2 со шлюзом 10.199.199.1 и клиент видит интернет. При этом сервер (который nas) "натит" все запросы из 10.199.199.0/30 в на внешнюю сеть. Или нет?

 

Сейчас собрано, как на картинке. Обычное дерево. от каждой cisco 3550 подключено 24 других коммутатора, в каждом коммутаторе 22-46 клиентов.

1.png

 

А зачем ему самому это уметь? В куинку каждый порт упаковать и пусть маршрутизатор все это разбирает

так?

queue-list 1 interface fastEthernet 0/1 0

 

Тогда как это развернуть на другой стороне?

Edited by default_vlan

Share this post


Link to post
Share on other sites

default_vlan, в терминологии Cisco qinq - это dot1q tunnel ( switchport mode dot1q-tunnel ). Не уверен, что Cisco 3550 это умеет.

При таком способе подключения абонентов L3-интерфейсы на агрегации (C3550 на схеме) не нужны, трафик абонента будет иметь два vlan тэга - svlan и cvlan. Svlan (внешний тэг) уникален для каждого района, cvlan (внутренний тэг) уникален для каждого абонента в пределах района ('районом' на вашей схеме будет C3550 и подключенные к нему C2950). cvlan добавляется на свитче доступа, svlan - на свитче агрегации. Далее в таком виде трафик через L2-ядро попадает в BRAS, который и терминирует эти vlan (т.е. BRAS будет шлюзом для клиента). Далее трафик маршрутизируется в интернет (если нужно, делается NAT). BRAS можно сделать из сервера или купить железку, например, Ericsson Smartedge/SSR или Cisco ASR1k.

Share this post


Link to post
Share on other sites

в терминологии Cisco qinq - это dot1q tunnel ( switchport mode dot1q-tunnel ). Не уверен, что Cisco 3550 это умеет.

При таком способе подключения абонентов L3-интерфейсы на агрегации (C3550 на схеме) не нужны, трафик абонента будет иметь два vlan тэга - svlan и cvlan. Svlan (внешний тэг) уникален для каждого района, cvlan (внутренний тэг) уникален для каждого абонента в пределах района ('районом' на вашей схеме будет C3550 и подключенные к нему C2950). cvlan добавляется на свитче доступа, svlan - на свитче агрегации.

sw mo dot1q-tunnel на 3550 есть.

Получается, чтобы выпустить клиента я должен буду поднимать n-количество vlan на самих серверах доступа равное количеству cvlan? правильно?

Share this post


Link to post
Share on other sites

default_vlan, поддержка dot1q тунелей там то есть, но не будет доступа к нижестоящему оборудованию по причине того что мгмт влан управления будет аналогично клиентским попадать под упаковку в svlan. Решается при поддержке оборудованием selective qinq (удобная для таких случаев реализация идет в Длинках и в Елтексах).

Получается, чтобы выпустить клиента я должен буду поднимать n-количество vlan на самих серверах доступа равное количеству cvlan? правильно?

В случае использования того же accel-ppp , необходимо вручную (скриптами) поднять svlan интерфейсы на сервере, qinq интерфейсы будут автоматом подниматься. Будет поднято n-ое кол-во интерфейсов вида eth0.svlan.cvlan .

Share this post


Link to post
Share on other sites

В схеме ТС(с 3550 на аггрегации), проще эти же 3550 и заставить вланы терминировать. По 500 человек на циску выходит, в самый раз.

И не нужны qinq и хитрые БРАСы :)

 

В итоге у клиентов будет IPOE, да еще и с выделенным вланом, а со свичей придет чистый трафик который будут маршрутизировать в интернет ваши старые сервера, но уже без ppp.

Гуглите "cisco 3550, ip unnumbered, терминация"

Share this post


Link to post
Share on other sites

В схеме ТС(с 3550 на аггрегации), проще эти же 3550 и заставить вланы терминировать. По 500 человек на циску выходит, в самый раз.

не выходит, т.к. 3550 у меня падает от 100 вланов, а клиентов там много больше.

Share this post


Link to post
Share on other sites

Приветствую.

На данный момент в сети настроено существование группы pptp-серверов (mpd5). В планах есть желание перейти на так называемый EoIP. Якобы это должно решить множество проблем, которые возникают при тунелировании трафика. DHCP с опцией 82, в принципе, настроен. Вопрос только в том, как обеспечить им (клиентам) доступ в глобальную сеть?

Если у кого есть подробное руководство (не на базе d-link), буду признателен.

 

Спасибо.

На самом деле, проблем ни каких нет. Вопросик, билинг какой?

Самое сложное в Вашем случае будет сменить на тазиках фрю на линукс + accel-ppp (гуглить по этому слову).

Более того, это можно будет делать постепенно.

Share this post


Link to post
Share on other sites

зачем менять?

у меня qinq на фряхе прекрасно пашет

раздаются серые подсети по dhcp + реальники на unnumbered тем, кому они нужны

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this