[mav]

Вот встал сейчас вопрос, надо получить более менее контролируемую сеть. Построена на свитчах с возможностью vlan. И вот вопрос поднять PPPoE сервер, поднять vlan'ы на свитчах и всех юзеров гонять через pppoe, либо поставить в центр маршрутизатор и разбить на подсети. В первом случае, как мне показалось, пользователям будет трудно настроить pppoe соединение. Во втором, останется бардак в подсетях. Посоветуйте, как лучше, с учетом на будущее расширение.

[olebedev]

Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента.

[Nailer]

mav, собственно, PPPoE вас не застрахует от бардака в подсетях, как он там был, так и останется.

[mav]

mav, собственно, PPPoE вас не застрахует от бардака в подсетях, как он там был, так и останется.

объясните почему. Если все свитчи с vlan.

[jab]

:-) vlan от бардака тоже не застрахует, бардак - он или есть, или его нет. :-)

[mav]

:-) vlan от бардака тоже не застрахует, бардак - он или есть, или его нет. :-)

Почему нет? Каждый пользователь в своем vlan, трафик идет через pppoe-сервер, где режится и шейпится, а там уже дальше :) Как в данном случае можно обойти pppoe сервер?

[mav]

да, еще по pppoe, используется связка FreeBSD + mpd, и при пинге 32 байтовыми пакетами, задержка в среднем 9 мс, без pppoe <1 мс. mtu менял, что еще может быть? На сервере сетевые intel, на клиентах realtek

[Nailer]

mav, давайте так - определитесь, от чего танцуем - от того, что уже есть (тогда описывайте, что уже есть), или от того, чего хотим (тогда говорите, сколько на это есть денег). Иначе разговор быстро станет беспредметным флеймом.

[Nailer]

с созданием на роутере L3 порта на каждого клиента.

 

Лучше каждого клиента в порт IPS-а ;-)

[Grey]

ИМХО VPN даёт возможность воспользоваться своим логином с разных компов в сети (сегменты при этом не мешают) VLAN без роутера, на котором все VLAN сходятся и контроллируются, мало даст толку..... видимо правильнее VLAN + роутер. PPPoE или PPTP даст гибкость.... и настроить такие у клиента не сильно и сложно...

[jab]

:-) Судя по объяснениям у него не 802.1q vlan, а port-based :-)))

[Nailer]

jab, в его ситуации это может быть и лучше.

[mav]

ИМХО VPN даёт возможность воспользоваться своим логином с разных компов в сети (сегменты при этом не мешают) VLAN без роутера, на котором все VLAN сходятся и контроллируются, мало даст толку.....

сделать привязку mac + login + password

 

видимо правильнее VLAN + роутер.

Чем правильнее?

[mav]

:-) Судя по объяснениям у него не 802.1q vlan, а port-based :-)))

именно)

[Гость]

Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента.

А если 500 абонентов

как же такое колличество ВЛАНов разруливать?

[olebedev]

Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента.

А если 500 абонентов

как же такое колличество ВЛАНов разруливать?

 

Ну до 4096 клиентов никакой проблемы нет, дальше придется делать Q-in-Q или ставить несколько роутеров, кстати на счет логина, никто не мешает Вам в этом случае дать пользователям возможность авторизоваться через HTTP.

[Nailer]

Если есть возможность дать каждому клиенту отдельный VLAN, то конечно лучше всего схема 1 клиент = 1 порт = 1 VLAN с созданием на роутере L3 порта на каждого клиента.

А если 500 абонентов

как же такое колличество ВЛАНов разруливать?

 

Использовать Private Vlan Edge (в терминологии Cisco), или Port-based vlan в терминологии других, подключая каждый свитч с PVE отдельным вланом к роутеру. Такми образом, в одном влане окажутся от 5 до 23 пользователей (ну примерно), что уже гораздо разумнее. Вот дальше надо решать, как из разруливать - навешивая на интерфейс роутера кучку seconary ip (по сети /30 на клиента) или просто не двавя клиентам связности друг с другом.

[olebedev]

Использовать Private Vlan Edge (в терминологии Cisco), или Port-based vlan в терминологии других, подключая каждый свитч с PVE отдельным вланом к роутеру. Такми образом, в одном влане окажутся от 5 до 23 пользователей (ну примерно), что уже гораздо разумнее. Вот дальше надо решать, как из разруливать - навешивая на интерфейс роутера кучку seconary ip (по сети /30 на клиента) или просто не двавя клиентам связности друг с другом.

Если уж совсем душиться то можно и всех просто посадить в один VLAN и отрубить связанность между портами, только на uplink коммутатора, это одна крайность, по порту L3 на клиента это другая.

[Nailer]

Использовать Private Vlan Edge (в терминологии Cisco), или Port-based vlan в терминологии других, подключая каждый свитч с PVE отдельным вланом к роутеру. Такми образом, в одном влане окажутся от 5 до 23 пользователей (ну примерно), что уже гораздо разумнее. Вот дальше надо решать, как из разруливать - навешивая на интерфейс роутера кучку seconary ip (по сети /30 на клиента) или просто не двавя клиентам связности друг с другом.

Если уж совсем душиться то можно и всех просто посадить в один VLAN и отрубить связанность между портами, только на uplink коммутатора, это одна крайность, по порту L3 на клиента это другая.

 

Так чем это хуже уебищной схемы с вланом на юзера? :-)))

[jab]

Не, /30 - это уже эмуляция point-to-point линков. :-) Достаточно просто зарезать все

ненужное на рутере. :-)

[mav]

ну так на чем сойдемся? :) Получается кроме PPPoE (не считая L3 на юзера), ничего больше нет, что бы фильтровать порты и изолировать юзеров друг от друга?

[Nailer]

mav, тему почитайте все-таки :-)

 

А решения без L3 есть, хорогие свитчи типа 3750 хорошо умеют контролировать траффик. Только на акцесс вы его не поставите, я думаю.

 

ЗЫ. Забудьте про PPPoE как про страшныный сон..

[Skylaer]

ЗЫ. Забудьте про PPPoE как про страшныный сон..

 

А тут можно подробнее?

[Гoсть]

Nailer,

поосторожней с рекомендациями. Хотя да, если что-бы отучить пионэра строить сети (долг каждого оператора), то это нармальна.

[Nailer]

Гoсть, что вам в моих рекомендациях не понравилось? :-)

 

PPPoE - зло, ровно как и любой другой VPN поверх _своей_ сети. Так как VPN изначально задумывался как средство построения наложенных сетей через неконтролируемые сети. Другими словами, строя у себя VPN, вы признаете, что не можете контролировать то, что творится в вашей сети..

 

ЗЫ. Вспонмнился пост Прохожего про инет в Германии.. А вы хотите юзера заставить PPPoE-соединение устанавливать. Или сами юзеров поддерживать. Это канает с 1000 юзеров, а с 5 тысячами - посчитайте экономику..