mav Опубликовано 11 сентября, 2005 · Жалоба Вот встал сейчас вопрос, надо получить более менее контролируемую сеть. Построена на свитчах с возможностью vlan. И вот вопрос поднять PPPoE сервер, поднять vlan'ы на свитчах и всех юзеров гонять через pppoe, либо поставить в центр маршрутизатор и разбить на подсети. В первом случае, как мне показалось, пользователям будет трудно настроить pppoe соединение. Во втором, останется бардак в подсетях. Посоветуйте, как лучше, с учетом на будущее расширение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 11 сентября, 2005 · Жалоба Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 11 сентября, 2005 · Жалоба mav, собственно, PPPoE вас не застрахует от бардака в подсетях, как он там был, так и останется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mav Опубликовано 11 сентября, 2005 · Жалоба mav, собственно, PPPoE вас не застрахует от бардака в подсетях, как он там был, так и останется. объясните почему. Если все свитчи с vlan. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 11 сентября, 2005 · Жалоба :-) vlan от бардака тоже не застрахует, бардак - он или есть, или его нет. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mav Опубликовано 11 сентября, 2005 · Жалоба :-) vlan от бардака тоже не застрахует, бардак - он или есть, или его нет. :-) Почему нет? Каждый пользователь в своем vlan, трафик идет через pppoe-сервер, где режится и шейпится, а там уже дальше :) Как в данном случае можно обойти pppoe сервер? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mav Опубликовано 11 сентября, 2005 · Жалоба да, еще по pppoe, используется связка FreeBSD + mpd, и при пинге 32 байтовыми пакетами, задержка в среднем 9 мс, без pppoe <1 мс. mtu менял, что еще может быть? На сервере сетевые intel, на клиентах realtek Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 11 сентября, 2005 · Жалоба mav, давайте так - определитесь, от чего танцуем - от того, что уже есть (тогда описывайте, что уже есть), или от того, чего хотим (тогда говорите, сколько на это есть денег). Иначе разговор быстро станет беспредметным флеймом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 11 сентября, 2005 · Жалоба с созданием на роутере L3 порта на каждого клиента. Лучше каждого клиента в порт IPS-а ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grey Опубликовано 11 сентября, 2005 · Жалоба ИМХО VPN даёт возможность воспользоваться своим логином с разных компов в сети (сегменты при этом не мешают) VLAN без роутера, на котором все VLAN сходятся и контроллируются, мало даст толку..... видимо правильнее VLAN + роутер. PPPoE или PPTP даст гибкость.... и настроить такие у клиента не сильно и сложно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 11 сентября, 2005 · Жалоба :-) Судя по объяснениям у него не 802.1q vlan, а port-based :-))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 11 сентября, 2005 · Жалоба jab, в его ситуации это может быть и лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mav Опубликовано 11 сентября, 2005 · Жалоба ИМХО VPN даёт возможность воспользоваться своим логином с разных компов в сети (сегменты при этом не мешают) VLAN без роутера, на котором все VLAN сходятся и контроллируются, мало даст толку..... сделать привязку mac + login + password видимо правильнее VLAN + роутер. Чем правильнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mav Опубликовано 11 сентября, 2005 · Жалоба :-) Судя по объяснениям у него не 802.1q vlan, а port-based :-))) именно) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Опубликовано 12 сентября, 2005 · Жалоба Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента. А если 500 абонентов как же такое колличество ВЛАНов разруливать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 12 сентября, 2005 · Жалоба Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента. А если 500 абонентов как же такое колличество ВЛАНов разруливать? Ну до 4096 клиентов никакой проблемы нет, дальше придется делать Q-in-Q или ставить несколько роутеров, кстати на счет логина, никто не мешает Вам в этом случае дать пользователям возможность авторизоваться через HTTP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 12 сентября, 2005 · Жалоба Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента. А если 500 абонентов как же такое колличество ВЛАНов разруливать? Использовать Private Vlan Edge (в терминологии Cisco), или Port-based vlan в терминологии других, подключая каждый свитч с PVE отдельным вланом к роутеру. Такми образом, в одном влане окажутся от 5 до 23 пользователей (ну примерно), что уже гораздо разумнее. Вот дальше надо решать, как из разруливать - навешивая на интерфейс роутера кучку seconary ip (по сети /30 на клиента) или просто не двавя клиентам связности друг с другом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
olebedev Опубликовано 12 сентября, 2005 · Жалоба Использовать Private Vlan Edge (в терминологии Cisco), или Port-based vlan в терминологии других, подключая каждый свитч с PVE отдельным вланом к роутеру. Такми образом, в одном влане окажутся от 5 до 23 пользователей (ну примерно), что уже гораздо разумнее. Вот дальше надо решать, как из разруливать - навешивая на интерфейс роутера кучку seconary ip (по сети /30 на клиента) или просто не двавя клиентам связности друг с другом. Если уж совсем душиться то можно и всех просто посадить в один VLAN и отрубить связанность между портами, только на uplink коммутатора, это одна крайность, по порту L3 на клиента это другая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 12 сентября, 2005 · Жалоба Использовать Private Vlan Edge (в терминологии Cisco), или Port-based vlan в терминологии других, подключая каждый свитч с PVE отдельным вланом к роутеру. Такми образом, в одном влане окажутся от 5 до 23 пользователей (ну примерно), что уже гораздо разумнее. Вот дальше надо решать, как из разруливать - навешивая на интерфейс роутера кучку seconary ip (по сети /30 на клиента) или просто не двавя клиентам связности друг с другом. Если уж совсем душиться то можно и всех просто посадить в один VLAN и отрубить связанность между портами, только на uplink коммутатора, это одна крайность, по порту L3 на клиента это другая. Так чем это хуже уебищной схемы с вланом на юзера? :-))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 12 сентября, 2005 · Жалоба Не, /30 - это уже эмуляция point-to-point линков. :-) Достаточно просто зарезать все ненужное на рутере. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mav Опубликовано 12 сентября, 2005 · Жалоба ну так на чем сойдемся? :) Получается кроме PPPoE (не считая L3 на юзера), ничего больше нет, что бы фильтровать порты и изолировать юзеров друг от друга? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 12 сентября, 2005 · Жалоба mav, тему почитайте все-таки :-) А решения без L3 есть, хорогие свитчи типа 3750 хорошо умеют контролировать траффик. Только на акцесс вы его не поставите, я думаю. ЗЫ. Забудьте про PPPoE как про страшныный сон.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 12 сентября, 2005 · Жалоба ЗЫ. Забудьте про PPPoE как про страшныный сон.. А тут можно подробнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 13 сентября, 2005 · Жалоба Nailer, поосторожней с рекомендациями. Хотя да, если что-бы отучить пионэра строить сети (долг каждого оператора), то это нармальна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 13 сентября, 2005 · Жалоба Гoсть, что вам в моих рекомендациях не понравилось? :-) PPPoE - зло, ровно как и любой другой VPN поверх _своей_ сети. Так как VPN изначально задумывался как средство построения наложенных сетей через неконтролируемые сети. Другими словами, строя у себя VPN, вы признаете, что не можете контролировать то, что творится в вашей сети.. ЗЫ. Вспонмнился пост Прохожего про инет в Германии.. А вы хотите юзера заставить PPPoE-соединение устанавливать. Или сами юзеров поддерживать. Это канает с 1000 юзеров, а с 5 тысячами - посчитайте экономику.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...