Jump to content

pppoe или сегменты

mav
 Share

Recommended Posts

mav

mav

Posted
Posted

Вот встал сейчас вопрос, надо получить более менее контролируемую сеть. Построена на свитчах с возможностью vlan. И вот вопрос поднять PPPoE сервер, поднять vlan'ы на свитчах и всех юзеров гонять через pppoe, либо поставить в центр маршрутизатор и разбить на подсети. В первом случае, как мне показалось, пользователям будет трудно настроить pppoe соединение. Во втором, останется бардак в подсетях. Посоветуйте, как лучше, с учетом на будущее расширение.

  • Replies 107
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

olebedev

olebedev

Posted
Posted

Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента.

mav

mav

Posted
  • Author
Posted
mav, собственно, PPPoE вас не застрахует от бардака в подсетях, как он там был, так и останется.

объясните почему. Если все свитчи с vlan.

mav

mav

Posted
  • Author
Posted
:-) vlan от бардака тоже не застрахует, бардак - он или есть, или его нет. :-)

Почему нет? Каждый пользователь в своем vlan, трафик идет через pppoe-сервер, где режится и шейпится, а там уже дальше :) Как в данном случае можно обойти pppoe сервер?

mav

mav

Posted
  • Author
Posted

да, еще по pppoe, используется связка FreeBSD + mpd, и при пинге 32 байтовыми пакетами, задержка в среднем 9 мс, без pppoe <1 мс. mtu менял, что еще может быть? На сервере сетевые intel, на клиентах realtek

Nailer

Nailer

Posted
Posted
mav, давайте так - определитесь, от чего танцуем - от того, что уже есть (тогда описывайте, что уже есть), или от того, чего хотим (тогда говорите, сколько на это есть денег). Иначе разговор быстро станет беспредметным флеймом.
Grey

Grey

Posted
Posted

ИМХО VPN даёт возможность воспользоваться своим логином с разных компов в сети (сегменты при этом не мешают) VLAN без роутера, на котором все VLAN сходятся и контроллируются, мало даст толку..... видимо правильнее VLAN + роутер. PPPoE или PPTP даст гибкость.... и настроить такие у клиента не сильно и сложно...

mav

mav

Posted
  • Author
Posted
ИМХО VPN даёт возможность воспользоваться своим логином с разных компов в сети (сегменты при этом не мешают) VLAN без роутера, на котором все VLAN сходятся и контроллируются, мало даст толку.....

сделать привязку mac + login + password

 

видимо правильнее VLAN + роутер.

Чем правильнее?

Guest

Guest

Posted
Posted
Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента.

А если 500 абонентов

как же такое колличество ВЛАНов разруливать?

olebedev

olebedev

Posted
Posted
Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента.

А если 500 абонентов

как же такое колличество ВЛАНов разруливать?

 

Ну до 4096 клиентов никакой проблемы нет, дальше придется делать Q-in-Q или ставить несколько роутеров, кстати на счет логина, никто не мешает Вам в этом случае дать пользователям возможность авторизоваться через HTTP.

Nailer

Nailer

Posted
Posted
Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента.

А если 500 абонентов

как же такое колличество ВЛАНов разруливать?

 

Использовать Private Vlan Edge (в терминологии Cisco), или Port-based vlan в терминологии других, подключая каждый свитч с PVE отдельным вланом к роутеру. Такми образом, в одном влане окажутся от 5 до 23 пользователей (ну примерно), что уже гораздо разумнее. Вот дальше надо решать, как из разруливать - навешивая на интерфейс роутера кучку seconary ip (по сети /30 на клиента) или просто не двавя клиентам связности друг с другом.

olebedev

olebedev

Posted
Posted
Использовать Private Vlan Edge (в терминологии Cisco), или Port-based vlan в терминологии других, подключая каждый свитч с PVE отдельным вланом к роутеру. Такми образом, в одном влане окажутся от 5 до 23 пользователей (ну примерно), что уже гораздо разумнее. Вот дальше надо решать, как из разруливать - навешивая на интерфейс роутера кучку seconary ip (по сети /30 на клиента) или просто не двавя клиентам связности друг с другом.

Если уж совсем душиться то можно и всех просто посадить в один VLAN и отрубить связанность между портами, только на uplink коммутатора, это одна крайность, по порту L3 на клиента это другая.

Nailer

Nailer

Posted
Posted

Использовать Private Vlan Edge (в терминологии Cisco), или Port-based vlan в терминологии других, подключая каждый свитч с PVE отдельным вланом к роутеру. Такми образом, в одном влане окажутся от 5 до 23 пользователей (ну примерно), что уже гораздо разумнее. Вот дальше надо решать, как из разруливать - навешивая на интерфейс роутера кучку seconary ip (по сети /30 на клиента) или просто не двавя клиентам связности друг с другом.

Если уж совсем душиться то можно и всех просто посадить в один VLAN и отрубить связанность между портами, только на uplink коммутатора, это одна крайность, по порту L3 на клиента это другая.

 

Так чем это хуже уебищной схемы с вланом на юзера? :-)))

mav

mav

Posted
  • Author
Posted

ну так на чем сойдемся? :) Получается кроме PPPoE (не считая L3 на юзера), ничего больше нет, что бы фильтровать порты и изолировать юзеров друг от друга?

Nailer

Nailer

Posted
Posted

mav, тему почитайте все-таки :-)

 

А решения без L3 есть, хорогие свитчи типа 3750 хорошо умеют контролировать траффик. Только на акцесс вы его не поставите, я думаю.

 

ЗЫ. Забудьте про PPPoE как про страшныный сон..

Nailer

Nailer

Posted
Posted

Гoсть, что вам в моих рекомендациях не понравилось? :-)

 

PPPoE - зло, ровно как и любой другой VPN поверх _своей_ сети. Так как VPN изначально задумывался как средство построения наложенных сетей через неконтролируемые сети. Другими словами, строя у себя VPN, вы признаете, что не можете контролировать то, что творится в вашей сети..

 

ЗЫ. Вспонмнился пост Прохожего про инет в Германии.. А вы хотите юзера заставить PPPoE-соединение устанавливать. Или сами юзеров поддерживать. Это канает с 1000 юзеров, а с 5 тысячами - посчитайте экономику..

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.