Jump to content

Раскирикуйте схему построения ДС. Авторизация PPPoE

G.Y.S.
 Share

Recommended Posts

G.Y.S.

G.Y.S.

Posted
Posted

#----Краткое лирической отступление----

Использовать ли PPPoE ?

+

1) нет проблемм присущих "ip протоколу" в сети Ethernet: конфликты и подмена ip адресов. Необходимость их контроля.

2) прекрасная система авторизации. Нет необходимости контролировать абонентсикий порт, привязываться к макам и проч...

что экономит время, также уменьшает число звонков в саппорт.

3) можно контролировать не только доступ в Интрнет но и доступ к другим vlan-м (подсети, сервисы, пиринговые сети)

-:

1) оч. большой трафик через ядро сети.

2) стоимость машинок, которые терминируют pppoe

3)...не получается задействованы ресурсы L3 коммутации (l3 свичи) - а "мир" развивается в этом направлении

 

#----Итак схема-----

в core стоит гигабитный коммутатор (l2!), к нему подключены:

1. гигабитные линии на мирорайоны (к примеру штук 5-7)

2. 3-4 pppoe сервера, присоединены к коммутатору транковыми (taged) линкам - транком:2xгигабит etherchannel (простите за каламбул=)

Эти 3-4 машинки делют между собой лоад-банансинг +роутят между юзеров между vlan-ми.

На одной их них поднят DHCP, который раздает ip абонентам в VLAN-ы. Это нам нужно для того, чтобы абоненты внутри влана, могли гонять трафик между собой (а не через core, немного разгружая его)

Машинки с PPPoE мошут быть как PC-роутеры, так и аппаратные (cisco 3845)

3. центральный маршрутизатор (можно ether-channelx2GB)(между ним и pppoe серверами поднят ospf).

4. vlan серверов телематики (барахло больших объемов+web и проч)

5. бордерный роутер в интернет

 

----# дополнение

при разрастании vlan-а (микрорайона) более чем 500-1000 компов для того чтобы уменьшить кол-во броудкаста в нем --- машинка с пппое двигается в этот "большой влан", далее он делиться на 2-3 маленьких влана, которые роутятся этой машинкой. Роутить полученные 2-3 маленьких влана в core -- нельзя, - жадко полосы - гигабтного аплинка на этот микрорайон

 

Нужна конструктивная критика.. =)

  • Replies 50
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Nailer

Nailer

Posted
Posted
1) нет проблемм присущих "ip протоколу" в сети Ethernet: конфликты и подмена ip адресов. Необходимость их контроля.

2) прекрасная система авторизации. Нет необходимости контролировать абонентсикий порт, привязываться к макам и проч...

что экономит время, также уменьшает число звонков в саппорт.

3) можно контролировать не только доступ в Интрнет но и доступ к другим vlan-м (подсети, сервисы, пиринговые сети)

 

1) оч. большой трафик через ядро сети.

2) стоимость машинок, которые терминируют pppoe

3)...не получается задействованы ресурсы L3 коммутации (l3 свичи) - а "мир" развивается в этом направлении

 

1. Решаемо, только дороговато пока.

К тому же вы с PPPoE сегмент по прежнему не контролируете.

2. Вы правда считаете, что PPPoE уменьшает число звноков в саппорт? :-)

3. Это куда легче контролировать без PPPoE, и дешевле к тому же.

 

к "-"

 

В большом L2-сегменте плодятся вирусы, атаки, левые PPPoE - серваки, появляются тарелочники и т.д., и т.п. Все прелести неконтролируемого сегмента.

 

Лучше уж PPtP, хотя его и несколько труднее терминировать, но зато никто не мешает вам использовать L3-коммутацию в сегментах. Плюс ко всему он стандартный в винде, проще объяснять юзерам, как настроить, в отличие от PPPoE.

G.Y.S.

G.Y.S.

Posted
  • Author
Posted
1. Решаемо, только дороговато пока.

согласен. Но еще и трудоемко! (хотя работать мы не боимся=)

2. Вы правда считаете, что PPPoE уменьшает число звноков в саппорт? :-)

уверен! Особенно звонков из серии: я купил себе новый комп (ко мне пришел друг с ноутом) и проч - забейте пожалуйста мой новый мак

3. Это куда легче контролировать без PPPoE, и дешевле к тому же

Приведите пример. Будете по snmp рулить acl на l3 свичиках ? Или как ?

В большом L2-сегменте плодятся вирусы, атаки, левые PPPoE - серваки, появляются тарелочники и т.д., и т.п. Все прелести неконтролируемого сегмента.

-вирусы?

плодятся везде (и в бол и в мал вланах). Согл-н что в бол. вланах чуть быстрее, НО фильтраваль порты можем и на l2 свичах внутри бол. влана.

-атаки?

абонент тебя атакуют внутри влана? Защитись! или удали протокол tcp/ip на интерфесе!

- к тарелочникам у нас спокойной отношение. Опятьже мал влан тут мало поможет

Лучше уж PPtP, хотя его и несколько труднее терминировать, но зато никто не мешает вам использовать L3-коммутацию в сегментах. Плюс ко всему он стандартный в винде, проще объяснять юзерам, как настроить, в отличие от PPPoE.

Что есть в каждой винде - согласен.

а) А как маршруты юзерам передовать на друг-ие подсети ? DHCP - можно только для XP. И то кривовато - масками /24. Просить запускать файлик - тоже можно - но эт не очень хорошо.

б) как всеже контролировать доступ в другие подсети?

 

Аргументы на самом деле хоршие. Жду еще...

Nailer

Nailer

Posted
Posted

1. Решаемо, только дороговато пока.

согласен. Но еще и трудоемко! (хотя работать мы не боимся=)

2. Вы правда считаете, что PPPoE уменьшает число звноков в саппорт? :-)

уверен! Особенно звонков из серии: я купил себе новый комп (ко мне пришел друг с ноутом) и проч - забейте пожалуйста мой новый мак

 

Про это я и говорю.

Только вместо этого вы будете обьяснять - зайдите туда-то, скачайте то-то, настройте тут-то. Потом задолбаетесь объяснять и пойдете настраивать сами.

 

Зачем контроль по mac-у? Технология устаревшая, не создающая проблем хакерам и создающая одновременно с тем проблемы нормальным юзерам и саппорту. Гораздо дешевле контролировать как раз-таки юзерский порт, и, самое главное, создает минимальное количество проблем клиенту.

 

У юзера должна быть дырка в стене, подключая комп в которую, он получает интернет и все прочие ваши ресурсы.

 

Это универсальный рецепт успеха продаж :-))

 

3. Это куда легче контролировать без PPPoE, и дешевле к тому же

Приведите пример. Будут по snmp рулить acl на l3 свичиках ? Или как ?

 

Не принципиально как, но правильно фильтровать как можно ближе к клиенту.

Рулите хоть руками :-)

 

В большом L2-сегменте плодятся вирусы, атаки, левые PPPoE - серваки, появляются тарелочники и т.д., и т.п. Все прелести неконтролируемого сегмента.

-вирусы?

плодятся везде (и в бол и в мал вланах). Согл-н что в бол. вланах чуть быстрее, НО фильтраваль порты можем и на l2 свичах внутри бол. влана.

Что-то у вас то больно функциональные L2-свитчи :-)

Не забывайте, что ваша задача - создать как можно меньше проблем пользователю. Вирусы тут же.

 

-атаки?

абонент тебя атакуют внутри влана? Защитись! или удали протокол tcp/ip на интерфесе!

Опять вы забываете, что ваши клиенты в основной своей массе - старички и домохозяйки, которые за слово TCP/IP дадут вам по морадм сковородкой.

 

- к тарелочникам у нас спокойной отношение. Опятьже мал влан тут мало поможет

 

Я все-таки исхожу из более-менее реальной схемы - неуправляемое или "настраиваемое" железо на акцесс, управляемый L3 свитч уровня 3550 на кучку домов (24 или 48 домов по 5-16 юзеров).

 

Кстати, неплохой вариант - делать на акцессе port-based vlan, изолируя клиентов до роутера. В итоге практически полная связность (за исключеним 5-16 клиентов в сети).

 

Лучше уж PPtP, хотя его и несколько труднее терминировать, но зато никто не мешает вам использовать L3-коммутацию в сегментах. Плюс ко всему он стандартный в винде, проще объяснять юзерам, как настроить, в отличие от PPPoE.

 

Что есть в каждой винде - согласен. А как маршруты юрерам передовать на друг-ие подсети ? DHCP - можно только для XP. И то кривовато - масками /24. Просить запускать файлик - тоже можно - но эт не очень хорошо.

 

 

Согласен, кривовато.

Руки никак не дойдут проверить - не может ли PPtP передавать на клиента политики случаем..

 

Аргументы на сама деле хоршие. Жду еще...

 

Еще аргументы в форуме "У Нага", там уже резня идет по поводу PPPoE .. :-)

G.Y.S.

G.Y.S.

Posted
  • Author
Posted

Прочитал.

Других аргументов к сожалению не увидел.

Vlan на юзера - идеально, быстро, контролируемо. Но дорого и трудоемко.

Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=)

Nag

Nag

Posted
Posted
Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=)

 

Это отчегож?

Есть МАС, есть IP. Этого недостаточно для разделения сервисов и услуг?

Авторизовать на порту вполне можно и не спрашивая МАС - достаточно его мониторить (и чтоб пользователь знал, что все его шаги по МАС мониторятся).

Так что по прежнему не вижу проблем.

G.Y.S.

G.Y.S.

Posted
  • Author
Posted

Вот. Смотри.

Твоя схема: 1. используем DHCP - правильно ? (иначе работать с vlan практически невозможно).

2. Ip addr -ss абоненту DHCP дает в зависимасти от мак (в твоей схеме).

3. Абонент меняет мак. Все - он не авторизован. Можно настроить ДХЦП давать какой нить ip из "гостевого пула" вновь появившемуся маку в влане. Но это не спасет.

Мониторить ? - ну отмониторил.... В доме стоит неупр свич. Дом подключен к порту упр свича. На упр. свиче появился новый мак. Что дальше ...?

ПОВТОРЯЮ

Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=)

Nag

Nag

Posted
Posted
В доме стоит неупр свич.

 

Повторяю в 10-й раз вводную.

В доме стоит управляемый свитч, абонент включен на управляемый порт.

:-)))

 

После смены варианты разные:

1 - не пускать вообще, пока не позвонит "договор А" и не попросит пустить (МАС при этом говорить не надо, админ его сам прекрасно видит).

2 - дать доступ до консоли управления, где по паролю разрулить ситуацию в полном автомате.

3 - дать полный доступ (на тот же или иной IP), и поставить адресок "на заметку" для биллинга и последующих разборок (если это коячник).

Причем все три варианта можно использовать параллельно...

 

Т.е. все еще не вижу никаких проблем и противоречий.

G.Y.S.

G.Y.S.

Posted
  • Author
Posted
Повторяю в 10-й раз вводную.

В доме стоит управляемый свитч, абонент включен на управляемый порт.

не в 10,а в первый ! -) - см. выше

если каждый абонент воткнут в порт управляемого коммутатора - то проблемм нет. Но (как в рекламме): "нет сынок - это фантастика"

+

А внутренний трафик чтобы счтать - это коммутаторы с netflow покупай ? (иногда гигабитные)

Дорого. Очень дорого.

Nag

Nag

Posted
Posted

G.Y.S., активка это 5-10% от цены нормальной сети.

А уж если говорить про полную стоимость (т.е. с учетом лет эдак 5-ти эксплуатации)...

Нет чтоб про оптимизацию саппорта поговорить вместо железок.

G.Y.S.

G.Y.S.

Posted
  • Author
Posted
G.Y.S., активка это 5-10% от цены нормальной сети.

А уж если говорить про полную стоимость (т.е. с учетом лет эдак 5-ти эксплуатации)...

1. говорить о о конкретных ценах я не хочу. В любом случае с PPPoE и единственным неуправляемом свичем в доме (далее он подключен у упр-мому) будет дешевле

ЗЫ

через 5 лет - оборудование уже 1-2 раза придеться поменять.

2. оптимизация саппорта мало зависит от кого упр ли в доме свич или нет.

ЗЫ

мне думается что Паше с такой жизненной позицией (к черту PPPoE) проще продавать упр. железо в бол. колчествах =)

Nailer

Nailer

Posted
Posted

G.Y.S., активка это 5-10% от цены нормальной сети.

А уж если говорить про полную стоимость (т.е. с учетом лет эдак 5-ти эксплуатации)...

1. говорить о о конкретных ценах я не хочу. В любом случае с PPPoE и единственным неуправляемом свичем в доме (далее он подключен у упр-мому) будет дешевле

ЗЫ

через 5 лет - оборудование уже 1-2 раза придеться поменять.

2. оптимизация саппорта мало зависит от кого упр ли в доме свич или нет.

ЗЫ

мне думается что Паше с такой жизненной позицией (к черту PPPoE) проще продавать упр. железо в бол. колчествах =)

 

Вас же никто не застваляет покупать у Паши :-)

 

Попробуйте все-таки подсчитать, во сколько вам станет настройка PPPoE с точки зрения экономических показателей - сколько юзеров плюнут на интернет вообще, не сумев разобраться, к скольким будут идти админы в течении 3-4 дней, сколько народу сбежит к конкурентам, у которых в сети жить проще, сколько мальчиков вам придеться держать, чтобы они бегали ставить PPPoE юзерам..

 

После этого прикиньте стоимости железа и делайте выбор.

G.Y.S.

G.Y.S.

Posted
  • Author
Posted
Попробуйте все-таки подсчитать, во сколько вам станет настройка PPPoE...

без комментариев. Во всем виноват Чубайс...

Nailer

Nailer

Posted
Posted

Попробуйте все-таки подсчитать, во сколько вам станет настройка PPPoE...

без комментариев. Во всем виноват Чубайс...

 

Ну тогда удачного вам построения очередного пионэрнета.

 

Рекомендую все-таки начать лечение собственной экономической близорукости ;-)

kisa

kisa

Posted
Posted
Попробуйте все-таки подсчитать, во сколько вам станет настройка PPPoE с точки зрения экономических показателей - сколько юзеров плюнут на интернет вообще, не сумев разобраться, к скольким будут идти админы в течении 3-4 дней, сколько народу сбежит к конкурентам, у которых в сети жить проще, сколько мальчиков вам придеться держать, чтобы они бегали ставить PPPoE юзерам..

 

ИМХО лучше использовать PPtP. Проблема с настройкой клиентских компов отпадет, только найдите программера, который Вам сделает маленькую, но очень полезную утилиту, настраивающую VPN соединение автоматически, пользователю останется только пароль и логин вбить. Но, по большому счету, даже это не спасает. Столько всего в винде умудряются поломать пользователи, жуть... и все это приходиться чинить.

Kirya

Kirya

Posted
Posted

Ну что вы пристали к человеку ?

Может реально денег не хватает.

Через год поднакопит-начнет менять...

Гoсть

Гoсть

Posted
Posted

PPPoE при многих тысячах абонентах обходится в эксплуатации дешевле и гибче чем привязка MAC/IP. Это аксиома а не теорема, она не требует доказательств.

В обоих случаях на уровне доступа ДОЛЖНЫ использоваться все теже управляемые коммутаторы L2, стоимостью до $15 на порт.

sergsa

sergsa

Posted
Posted
PPPoE при многих тысячах абонентах обходится в эксплуатации дешевле и гибче чем привязка MAC/IP. Это аксиома а не теорема, она не требует доказательств.

В обоих случаях на уровне доступа ДОЛЖНЫ использоваться все теже управляемые коммутаторы L2, стоимостью до $15 на порт.

ИМХО бред

 

управляемые свичи дают много возможностей по контролю сети, позволяют при проблемах у юзера отличить физические проблемы от програмных (показывают линк и мак на порту) чем сильно облегчают жизнь...

Что дают PPP VPN и всякие программы авторизаторы кроме авторизации, и гемороя с настройками у юзеров?

deployer

deployer

Posted
Posted
управляемые свичи дают много возможностей по контролю сети, позволяют при проблемах у юзера отличить физические проблемы от програмных (показывают линк и мак на порту) чем сильно облегчают жизнь...

Что дают PPP VPN и всякие программы авторизаторы кроме авторизации, и гемороя с настройками у юзеров?

 

В любой windows xp уже есть клиент pppoe. Настраивается быстрее чем прописываются сетевые реквизиты на сетевом интерфейсе. База по мак-адресам есть в базе-радиус. правда в pppoe толку от этого нету.

sergsa

sergsa

Posted
Posted

так вопрос в том что управляемое оборудование это не только авторизация но и меньше потерь времени на выяснение причин проблем и их устраниие...

настраивание подключений должно быть максимально упрощенно, средний абонент все тупеет

deployer

deployer

Posted
Posted

Да не вопрос. Выяснение проблем решаются очень просто. У каждого пользователся есть заведомо известный внутренний адрес. По нему очень легко понять, работает ли физический линк до него или нет. И ещё раз повторусь. Среднестатическому юзеру, гораздо легче нажать пару кнопок, ввести имя и пароль и попасть в интернет, нежели заходить в свойства сетевого оборудования и прописывать тучу всяких непонятных адресов. О PPPtP лучше умолчать.

sergsa

sergsa

Posted
Posted

может быть выключен свич просто может завис, может кабель в свиче плохо стоит, может сетевуха сдохла...

контроль свича это важная штука, нужно меньше бегать а больше решать удаленно

Nailer

Nailer

Posted
Posted
Да не вопрос. Выяснение проблем решаются очень просто. У каждого пользователся есть заведомо известный внутренний адрес. По нему очень легко понять, работает ли физический линк до него или нет.  И ещё раз повторусь. Среднестатическому юзеру, гораздо легче нажать пару кнопок, ввести имя и пароль и попасть в интернет, нежели заходить в свойства сетевого оборудования и прописывать тучу всяких непонятных адресов. О PPPtP лучше умолчать.

 

DHCP отменен приказом партии? :-)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.