[default_vlan]

Приветствую.

На данный момент в сети настроено существование группы pptp-серверов (mpd5). В планах есть желание перейти на так называемый EoIP. Якобы это должно решить множество проблем, которые возникают при тунелировании трафика. DHCP с опцией 82, в принципе, настроен. Вопрос только в том, как обеспечить им (клиентам) доступ в глобальную сеть?

Если у кого есть подробное руководство (не на базе d-link), буду признателен.

 

Спасибо.

Изменено 28 марта, 2017 пользователем default_vlan

[myth]

и каждому клиенту по микротику поставить?

[viver]

Может IPOE?

[default_vlan]

Может IPOE?

Может быть, судя по гуглу.

 

и каждому клиенту по микротику поставить?

дорого и не рентабельно.

[vurd]

Страна?

[myth]

опция 82... Геморрой же

[a290]

DHCP с опцией 82

 

Лучше уж vlan-per-user и абонента определять по паре (svlan;cvlan). Opt82 на зоопарке свитчей доступа может стать проблемой.

[vop]

Вопрос только в том, как обеспечить им (клиентам) доступ в глобальную сеть?

 

Немного не допонял. Что значит "как"? Наверно настроить роутинг.

[rdc]

опцию 82 закопать.

mac+port+bind сжечь.

советчиков, которые это советуют, утопить.

 

делайте влан-на-абонента.

у вас адреса абонентам даются серые или белые?

[Negator]

опцию 82 закопать.

mac+port+bind сжечь.

советчиков, которые это советуют, утопить.

 

у нас годами все работает без проблем.

Сейчас я бы сделал по другому, но вариант вполне рабочий.

[default_vlan]

Благодарю всех откликнувшихся. Извиняюсь, что не отвечал, тут очень странная система с блокировкой сообщений. Сегодня я могу ответить 2 раза, включая этот... и так еще 3 раза.

у вас адреса абонентам даются серые или белые?

Пока серые, но расчитываю на крупный пул белых IP.

 

у нас годами все работает без проблем.

Сейчас я бы сделал по другому, но вариант вполне рабочий.

Сколько клиентов, сколько железок и как бы сделали?

 

Немного не допонял. Что значит "как"? Наверно настроить роутинг.

Ну так это понятно, но вроде как сама технология не подразумевает простого NAT. Или я ошибся?

 

Теперь вопрос тем, кто отписал про vlan-per-user, cvlan, svlan.

У нага приобреталось железо cisco catalyst 2950 и 3548, также есть пара snr-c2950 и nortel-bay-stack, кое где еще 3com 3c16980. Всё же преимущественно стоит cisco 2950. Это что касается уровня доступа.

Уровень распределения ранее был на foundry big iron, сейчас на cisco catalyst 3550.

Проблема в том, что cisco 3550 не понимает большого количества vlan, если на 2х разных железках не выставлен vtp transparent, то они клонируют друг у друга vlan-id, а дальше просто "моргают лампочками", а трафик ходит с огромными задержками. Учитывая этот факт, осмелюсь предположить, что 500-800 человек с района просто не смогут работать в таком режиме. Может быть есть параметр оптимизации для 3550 на количество обслуживаемых vlan? Как быть в этом случае?

 

Опять же, допустим, у меня есть огромный пул внешних белых ip. Выдавать клиенту их по dhcp? В таком случае я смутно представляю топологию сети.

[myth]

unnumbered же

[default_vlan]

unnumbered же

 

У меня такого в 2950 даже нет:

(config-vlan)#? 
VLAN configuration commands:
 are           Maximum number of All Route Explorer hops for this VLAN (or zero if none specified)
 backupcrf     Backup CRF mode of the VLAN
 bridge        Bridging characteristics of the VLAN
 exit          Apply changes, bump revision number, and exit mode
 media         Media type of the VLAN
 mtu           VLAN Maximum Transmission Unit
 name          Ascii name of the VLAN
 no            Negate a command or set its defaults
 parent        ID number of the Parent VLAN of FDDI or Token Ring type VLANs
 private-vlan  Configure a private VLAN
 remote-span   Configure as Remote SPAN VLAN
 ring          Ring number of FDDI or Token Ring type VLANs
 said          IEEE 802.10 SAID
 shutdown      Shutdown VLAN switching
 state         Operational state of the VLAN
 ste           Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified)
 stp           Spanning tree characteristics of the VLAN
 tb-vlan1      ID number of the first translational VLAN for this VLAN (or zero if none)
 tb-vlan2      ID number of the second translational VLAN for this VLAN (or zero if none)

 

на 3550 также:

(config-vlan)#? 
VLAN configuration commands:
 are          Maximum number of All Route Explorer hops for this VLAN (or zero if none specified)
 backupcrf    Backup CRF mode of the VLAN
 bridge       Bridging characteristics of the VLAN
 exit         Apply changes, bump revision number, and exit mode
 media        Media type of the VLAN
 mtu          VLAN Maximum Transmission Unit
 name         Ascii name of the VLAN
 no           Negate a command or set its defaults
 parent       ID number of the Parent VLAN of FDDI or Token Ring type VLANs
 remote-span  Configure as Remote SPAN VLAN
 ring         Ring number of FDDI or Token Ring type VLANs
 said         IEEE 802.10 SAID
 shutdown     Shutdown VLAN switching
 state        Operational state of the VLAN
 ste          Maximum number of Spanning Tree Explorer hops for this VLAN (or zero if none specified)
 stp          Spanning tree characteristics of the VLAN
 tb-vlan1     ID number of the first translational VLAN for this VLAN (or zero if none)
 tb-vlan2     ID number of the second translational VLAN for this VLAN (or zero if none)

[myth]

А зачем ему самому это уметь? В куинку каждый порт упаковать и пусть маршрутизатор все это разбирает

[default_vlan]

А зачем ему самому это уметь? В куинку каждый порт упаковать и пусть маршрутизатор все это разбирает

Пример можно? :) как упаковать и как заставить маршрутизатор, а в моем случае l3-коммутатор это разрулить?

[vop]

Немного не допонял. Что значит "как"? Наверно настроить роутинг.

Ну так это понятно, но вроде как сама технология не подразумевает простого NAT. Или я ошибся?

 

Мне кажется, что NAT особо к технологии предоставления доступа не имеет.

 

Опять же, допустим, у меня есть огромный пул внешних белых ip. Выдавать клиенту их по dhcp? В таком случае я смутно представляю топологию сети.

 

Тут может быть простой подход - неизвестным аппаратам выдавать серый ip, переводя его на белый после подтверждения в рамках квоты на абонента.

[default_vlan]

Мне кажется, что NAT особо к технологии предоставления доступа не имеет.

Как в таком случае должно работать? Я предполагал, что клиенту дается адрес 10.199.199.2 со шлюзом 10.199.199.1 и клиент видит интернет. При этом сервер (который nas) "натит" все запросы из 10.199.199.0/30 в на внешнюю сеть. Или нет?

 

Сейчас собрано, как на картинке. Обычное дерево. от каждой cisco 3550 подключено 24 других коммутатора, в каждом коммутаторе 22-46 клиентов.

 

А зачем ему самому это уметь? В куинку каждый порт упаковать и пусть маршрутизатор все это разбирает

так?

queue-list 1 interface fastEthernet 0/1 0

 

Тогда как это развернуть на другой стороне?

Изменено 30 марта, 2017 пользователем default_vlan

[a290]

default_vlan, в терминологии Cisco qinq - это dot1q tunnel ( switchport mode dot1q-tunnel ). Не уверен, что Cisco 3550 это умеет.

При таком способе подключения абонентов L3-интерфейсы на агрегации (C3550 на схеме) не нужны, трафик абонента будет иметь два vlan тэга - svlan и cvlan. Svlan (внешний тэг) уникален для каждого района, cvlan (внутренний тэг) уникален для каждого абонента в пределах района ('районом' на вашей схеме будет C3550 и подключенные к нему C2950). cvlan добавляется на свитче доступа, svlan - на свитче агрегации. Далее в таком виде трафик через L2-ядро попадает в BRAS, который и терминирует эти vlan (т.е. BRAS будет шлюзом для клиента). Далее трафик маршрутизируется в интернет (если нужно, делается NAT). BRAS можно сделать из сервера или купить железку, например, Ericsson Smartedge/SSR или Cisco ASR1k.

[default_vlan]

в терминологии Cisco qinq - это dot1q tunnel ( switchport mode dot1q-tunnel ). Не уверен, что Cisco 3550 это умеет.

При таком способе подключения абонентов L3-интерфейсы на агрегации (C3550 на схеме) не нужны, трафик абонента будет иметь два vlan тэга - svlan и cvlan. Svlan (внешний тэг) уникален для каждого района, cvlan (внутренний тэг) уникален для каждого абонента в пределах района ('районом' на вашей схеме будет C3550 и подключенные к нему C2950). cvlan добавляется на свитче доступа, svlan - на свитче агрегации.

sw mo dot1q-tunnel на 3550 есть.

Получается, чтобы выпустить клиента я должен буду поднимать n-количество vlan на самих серверах доступа равное количеству cvlan? правильно?

[myth]

accel-ppp это сам умеет делать

[Avad0n]

default_vlan, поддержка dot1q тунелей там то есть, но не будет доступа к нижестоящему оборудованию по причине того что мгмт влан управления будет аналогично клиентским попадать под упаковку в svlan. Решается при поддержке оборудованием selective qinq (удобная для таких случаев реализация идет в Длинках и в Елтексах).

Получается, чтобы выпустить клиента я должен буду поднимать n-количество vlan на самих серверах доступа равное количеству cvlan? правильно?

В случае использования того же accel-ppp , необходимо вручную (скриптами) поднять svlan интерфейсы на сервере, qinq интерфейсы будут автоматом подниматься. Будет поднято n-ое кол-во интерфейсов вида eth0.svlan.cvlan .

[kayot]

В схеме ТС(с 3550 на аггрегации), проще эти же 3550 и заставить вланы терминировать. По 500 человек на циску выходит, в самый раз.

И не нужны qinq и хитрые БРАСы :)

 

В итоге у клиентов будет IPOE, да еще и с выделенным вланом, а со свичей придет чистый трафик который будут маршрутизировать в интернет ваши старые сервера, но уже без ppp.

Гуглите "cisco 3550, ip unnumbered, терминация"

[default_vlan]

В схеме ТС(с 3550 на аггрегации), проще эти же 3550 и заставить вланы терминировать. По 500 человек на циску выходит, в самый раз.

не выходит, т.к. 3550 у меня падает от 100 вланов, а клиентов там много больше.

[telecom]

Приветствую.

На данный момент в сети настроено существование группы pptp-серверов (mpd5). В планах есть желание перейти на так называемый EoIP. Якобы это должно решить множество проблем, которые возникают при тунелировании трафика. DHCP с опцией 82, в принципе, настроен. Вопрос только в том, как обеспечить им (клиентам) доступ в глобальную сеть?

Если у кого есть подробное руководство (не на базе d-link), буду признателен.

 

Спасибо.

На самом деле, проблем ни каких нет. Вопросик, билинг какой?

Самое сложное в Вашем случае будет сменить на тазиках фрю на линукс + accel-ppp (гуглить по этому слову).

Более того, это можно будет делать постепенно.

[rdc]

зачем менять?

у меня qinq на фряхе прекрасно пашет

раздаются серые подсети по dhcp + реальники на unnumbered тем, кому они нужны