G.Y.S. Опубликовано 21 октября, 2005 · Жалоба #----Краткое лирической отступление---- Использовать ли PPPoE ? + 1) нет проблемм присущих "ip протоколу" в сети Ethernet: конфликты и подмена ip адресов. Необходимость их контроля. 2) прекрасная система авторизации. Нет необходимости контролировать абонентсикий порт, привязываться к макам и проч... что экономит время, также уменьшает число звонков в саппорт. 3) можно контролировать не только доступ в Интрнет но и доступ к другим vlan-м (подсети, сервисы, пиринговые сети) -: 1) оч. большой трафик через ядро сети. 2) стоимость машинок, которые терминируют pppoe 3)...не получается задействованы ресурсы L3 коммутации (l3 свичи) - а "мир" развивается в этом направлении #----Итак схема----- в core стоит гигабитный коммутатор (l2!), к нему подключены: 1. гигабитные линии на мирорайоны (к примеру штук 5-7) 2. 3-4 pppoe сервера, присоединены к коммутатору транковыми (taged) линкам - транком:2xгигабит etherchannel (простите за каламбул=) Эти 3-4 машинки делют между собой лоад-банансинг +роутят между юзеров между vlan-ми. На одной их них поднят DHCP, который раздает ip абонентам в VLAN-ы. Это нам нужно для того, чтобы абоненты внутри влана, могли гонять трафик между собой (а не через core, немного разгружая его) Машинки с PPPoE мошут быть как PC-роутеры, так и аппаратные (cisco 3845) 3. центральный маршрутизатор (можно ether-channelx2GB)(между ним и pppoe серверами поднят ospf). 4. vlan серверов телематики (барахло больших объемов+web и проч) 5. бордерный роутер в интернет ----# дополнение при разрастании vlan-а (микрорайона) более чем 500-1000 компов для того чтобы уменьшить кол-во броудкаста в нем --- машинка с пппое двигается в этот "большой влан", далее он делиться на 2-3 маленьких влана, которые роутятся этой машинкой. Роутить полученные 2-3 маленьких влана в core -- нельзя, - жадко полосы - гигабтного аплинка на этот микрорайон Нужна конструктивная критика.. =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 21 октября, 2005 · Жалоба 1) нет проблемм присущих "ip протоколу" в сети Ethernet: конфликты и подмена ip адресов. Необходимость их контроля.2) прекрасная система авторизации. Нет необходимости контролировать абонентсикий порт, привязываться к макам и проч... что экономит время, также уменьшает число звонков в саппорт. 3) можно контролировать не только доступ в Интрнет но и доступ к другим vlan-м (подсети, сервисы, пиринговые сети) 1) оч. большой трафик через ядро сети. 2) стоимость машинок, которые терминируют pppoe 3)...не получается задействованы ресурсы L3 коммутации (l3 свичи) - а "мир" развивается в этом направлении 1. Решаемо, только дороговато пока. К тому же вы с PPPoE сегмент по прежнему не контролируете. 2. Вы правда считаете, что PPPoE уменьшает число звноков в саппорт? :-) 3. Это куда легче контролировать без PPPoE, и дешевле к тому же. к "-" В большом L2-сегменте плодятся вирусы, атаки, левые PPPoE - серваки, появляются тарелочники и т.д., и т.п. Все прелести неконтролируемого сегмента. Лучше уж PPtP, хотя его и несколько труднее терминировать, но зато никто не мешает вам использовать L3-коммутацию в сегментах. Плюс ко всему он стандартный в винде, проще объяснять юзерам, как настроить, в отличие от PPPoE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 21 октября, 2005 · Жалоба 1. Решаемо, только дороговато пока. согласен. Но еще и трудоемко! (хотя работать мы не боимся=) 2. Вы правда считаете, что PPPoE уменьшает число звноков в саппорт? :-) уверен! Особенно звонков из серии: я купил себе новый комп (ко мне пришел друг с ноутом) и проч - забейте пожалуйста мой новый мак 3. Это куда легче контролировать без PPPoE, и дешевле к тому же Приведите пример. Будете по snmp рулить acl на l3 свичиках ? Или как ? В большом L2-сегменте плодятся вирусы, атаки, левые PPPoE - серваки, появляются тарелочники и т.д., и т.п. Все прелести неконтролируемого сегмента. -вирусы? плодятся везде (и в бол и в мал вланах). Согл-н что в бол. вланах чуть быстрее, НО фильтраваль порты можем и на l2 свичах внутри бол. влана. -атаки? абонент тебя атакуют внутри влана? Защитись! или удали протокол tcp/ip на интерфесе! - к тарелочникам у нас спокойной отношение. Опятьже мал влан тут мало поможет Лучше уж PPtP, хотя его и несколько труднее терминировать, но зато никто не мешает вам использовать L3-коммутацию в сегментах. Плюс ко всему он стандартный в винде, проще объяснять юзерам, как настроить, в отличие от PPPoE. Что есть в каждой винде - согласен. а) А как маршруты юзерам передовать на друг-ие подсети ? DHCP - можно только для XP. И то кривовато - масками /24. Просить запускать файлик - тоже можно - но эт не очень хорошо. б) как всеже контролировать доступ в другие подсети? Аргументы на самом деле хоршие. Жду еще... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 21 октября, 2005 · Жалоба 1. Решаемо, только дороговато пока. согласен. Но еще и трудоемко! (хотя работать мы не боимся=) 2. Вы правда считаете, что PPPoE уменьшает число звноков в саппорт? :-) уверен! Особенно звонков из серии: я купил себе новый комп (ко мне пришел друг с ноутом) и проч - забейте пожалуйста мой новый мак Про это я и говорю. Только вместо этого вы будете обьяснять - зайдите туда-то, скачайте то-то, настройте тут-то. Потом задолбаетесь объяснять и пойдете настраивать сами. Зачем контроль по mac-у? Технология устаревшая, не создающая проблем хакерам и создающая одновременно с тем проблемы нормальным юзерам и саппорту. Гораздо дешевле контролировать как раз-таки юзерский порт, и, самое главное, создает минимальное количество проблем клиенту. У юзера должна быть дырка в стене, подключая комп в которую, он получает интернет и все прочие ваши ресурсы. Это универсальный рецепт успеха продаж :-)) 3. Это куда легче контролировать без PPPoE, и дешевле к тому же Приведите пример. Будут по snmp рулить acl на l3 свичиках ? Или как ? Не принципиально как, но правильно фильтровать как можно ближе к клиенту. Рулите хоть руками :-) В большом L2-сегменте плодятся вирусы, атаки, левые PPPoE - серваки, появляются тарелочники и т.д., и т.п. Все прелести неконтролируемого сегмента. -вирусы? плодятся везде (и в бол и в мал вланах). Согл-н что в бол. вланах чуть быстрее, НО фильтраваль порты можем и на l2 свичах внутри бол. влана. Что-то у вас то больно функциональные L2-свитчи :-) Не забывайте, что ваша задача - создать как можно меньше проблем пользователю. Вирусы тут же. -атаки?абонент тебя атакуют внутри влана? Защитись! или удали протокол tcp/ip на интерфесе! Опять вы забываете, что ваши клиенты в основной своей массе - старички и домохозяйки, которые за слово TCP/IP дадут вам по морадм сковородкой. - к тарелочникам у нас спокойной отношение. Опятьже мал влан тут мало поможет Я все-таки исхожу из более-менее реальной схемы - неуправляемое или "настраиваемое" железо на акцесс, управляемый L3 свитч уровня 3550 на кучку домов (24 или 48 домов по 5-16 юзеров). Кстати, неплохой вариант - делать на акцессе port-based vlan, изолируя клиентов до роутера. В итоге практически полная связность (за исключеним 5-16 клиентов в сети). Лучше уж PPtP, хотя его и несколько труднее терминировать, но зато никто не мешает вам использовать L3-коммутацию в сегментах. Плюс ко всему он стандартный в винде, проще объяснять юзерам, как настроить, в отличие от PPPoE. Что есть в каждой винде - согласен. А как маршруты юрерам передовать на друг-ие подсети ? DHCP - можно только для XP. И то кривовато - масками /24. Просить запускать файлик - тоже можно - но эт не очень хорошо. Согласен, кривовато. Руки никак не дойдут проверить - не может ли PPtP передавать на клиента политики случаем.. Аргументы на сама деле хоршие. Жду еще... Еще аргументы в форуме "У Нага", там уже резня идет по поводу PPPoE .. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 21 октября, 2005 · Жалоба Ага, натюрлих. Просто я уже устал... ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 21 октября, 2005 · Жалоба Прочитал. Других аргументов к сожалению не увидел. Vlan на юзера - идеально, быстро, контролируемо. Но дорого и трудоемко. Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 22 октября, 2005 · Жалоба Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=) Это отчегож? Есть МАС, есть IP. Этого недостаточно для разделения сервисов и услуг? Авторизовать на порту вполне можно и не спрашивая МАС - достаточно его мониторить (и чтоб пользователь знал, что все его шаги по МАС мониторятся). Так что по прежнему не вижу проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 23 октября, 2005 · Жалоба Вот. Смотри. Твоя схема: 1. используем DHCP - правильно ? (иначе работать с vlan практически невозможно). 2. Ip addr -ss абоненту DHCP дает в зависимасти от мак (в твоей схеме). 3. Абонент меняет мак. Все - он не авторизован. Можно настроить ДХЦП давать какой нить ip из "гостевого пула" вновь появившемуся маку в влане. Но это не спасет. Мониторить ? - ну отмониторил.... В доме стоит неупр свич. Дом подключен к порту упр свича. На упр. свиче появился новый мак. Что дальше ...? ПОВТОРЯЮ Если нет возможности дасть каждому юзеру влан (а ее нет у большинства ДС) - то нормально авторизировать юзера (без тунелей) и разделять ему локальные сервисы (например запретить доступ в др влан) от инернета просто нельзя. Если только не спашивать у него новый мак (а Паша не хочет!=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 23 октября, 2005 · Жалоба В доме стоит неупр свич. Повторяю в 10-й раз вводную. В доме стоит управляемый свитч, абонент включен на управляемый порт. :-))) После смены варианты разные: 1 - не пускать вообще, пока не позвонит "договор А" и не попросит пустить (МАС при этом говорить не надо, админ его сам прекрасно видит). 2 - дать доступ до консоли управления, где по паролю разрулить ситуацию в полном автомате. 3 - дать полный доступ (на тот же или иной IP), и поставить адресок "на заметку" для биллинга и последующих разборок (если это коячник). Причем все три варианта можно использовать параллельно... Т.е. все еще не вижу никаких проблем и противоречий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 23 октября, 2005 · Жалоба Повторяю в 10-й раз вводную. В доме стоит управляемый свитч, абонент включен на управляемый порт. не в 10,а в первый ! -) - см. выше если каждый абонент воткнут в порт управляемого коммутатора - то проблемм нет. Но (как в рекламме): "нет сынок - это фантастика" + А внутренний трафик чтобы счтать - это коммутаторы с netflow покупай ? (иногда гигабитные) Дорого. Очень дорого. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 23 октября, 2005 · Жалоба G.Y.S., активка это 5-10% от цены нормальной сети. А уж если говорить про полную стоимость (т.е. с учетом лет эдак 5-ти эксплуатации)... Нет чтоб про оптимизацию саппорта поговорить вместо железок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 23 октября, 2005 · Жалоба G.Y.S., активка это 5-10% от цены нормальной сети. А уж если говорить про полную стоимость (т.е. с учетом лет эдак 5-ти эксплуатации)... 1. говорить о о конкретных ценах я не хочу. В любом случае с PPPoE и единственным неуправляемом свичем в доме (далее он подключен у упр-мому) будет дешевле ЗЫ через 5 лет - оборудование уже 1-2 раза придеться поменять. 2. оптимизация саппорта мало зависит от кого упр ли в доме свич или нет. ЗЫ мне думается что Паше с такой жизненной позицией (к черту PPPoE) проще продавать упр. железо в бол. колчествах =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 23 октября, 2005 · Жалоба G.Y.S., активка это 5-10% от цены нормальной сети. А уж если говорить про полную стоимость (т.е. с учетом лет эдак 5-ти эксплуатации)... 1. говорить о о конкретных ценах я не хочу. В любом случае с PPPoE и единственным неуправляемом свичем в доме (далее он подключен у упр-мому) будет дешевле ЗЫ через 5 лет - оборудование уже 1-2 раза придеться поменять. 2. оптимизация саппорта мало зависит от кого упр ли в доме свич или нет. ЗЫ мне думается что Паше с такой жизненной позицией (к черту PPPoE) проще продавать упр. железо в бол. колчествах =) Вас же никто не застваляет покупать у Паши :-) Попробуйте все-таки подсчитать, во сколько вам станет настройка PPPoE с точки зрения экономических показателей - сколько юзеров плюнут на интернет вообще, не сумев разобраться, к скольким будут идти админы в течении 3-4 дней, сколько народу сбежит к конкурентам, у которых в сети жить проще, сколько мальчиков вам придеться держать, чтобы они бегали ставить PPPoE юзерам.. После этого прикиньте стоимости железа и делайте выбор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
G.Y.S. Опубликовано 23 октября, 2005 · Жалоба Попробуйте все-таки подсчитать, во сколько вам станет настройка PPPoE... без комментариев. Во всем виноват Чубайс... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 23 октября, 2005 · Жалоба Попробуйте все-таки подсчитать, во сколько вам станет настройка PPPoE... без комментариев. Во всем виноват Чубайс... Ну тогда удачного вам построения очередного пионэрнета. Рекомендую все-таки начать лечение собственной экономической близорукости ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 23 октября, 2005 · Жалоба Попробуйте все-таки подсчитать, во сколько вам станет настройка PPPoE с точки зрения экономических показателей - сколько юзеров плюнут на интернет вообще, не сумев разобраться, к скольким будут идти админы в течении 3-4 дней, сколько народу сбежит к конкурентам, у которых в сети жить проще, сколько мальчиков вам придеться держать, чтобы они бегали ставить PPPoE юзерам.. ИМХО лучше использовать PPtP. Проблема с настройкой клиентских компов отпадет, только найдите программера, который Вам сделает маленькую, но очень полезную утилиту, настраивающую VPN соединение автоматически, пользователю останется только пароль и логин вбить. Но, по большому счету, даже это не спасает. Столько всего в винде умудряются поломать пользователи, жуть... и все это приходиться чинить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirya Опубликовано 24 октября, 2005 · Жалоба Ну что вы пристали к человеку ? Может реально денег не хватает. Через год поднакопит-начнет менять... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гoсть Опубликовано 24 октября, 2005 · Жалоба PPPoE при многих тысячах абонентах обходится в эксплуатации дешевле и гибче чем привязка MAC/IP. Это аксиома а не теорема, она не требует доказательств. В обоих случаях на уровне доступа ДОЛЖНЫ использоваться все теже управляемые коммутаторы L2, стоимостью до $15 на порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ruslan_R Опубликовано 24 октября, 2005 · Жалоба Это аксиома а не теорема, она не требует доказательств. Ню-ню... Блажен, кто верует :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergsa Опубликовано 24 октября, 2005 · Жалоба PPPoE при многих тысячах абонентах обходится в эксплуатации дешевле и гибче чем привязка MAC/IP. Это аксиома а не теорема, она не требует доказательств. В обоих случаях на уровне доступа ДОЛЖНЫ использоваться все теже управляемые коммутаторы L2, стоимостью до $15 на порт. ИМХО бред управляемые свичи дают много возможностей по контролю сети, позволяют при проблемах у юзера отличить физические проблемы от програмных (показывают линк и мак на порту) чем сильно облегчают жизнь... Что дают PPP VPN и всякие программы авторизаторы кроме авторизации, и гемороя с настройками у юзеров? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deployer Опубликовано 24 октября, 2005 · Жалоба управляемые свичи дают много возможностей по контролю сети, позволяют при проблемах у юзера отличить физические проблемы от програмных (показывают линк и мак на порту) чем сильно облегчают жизнь...Что дают PPP VPN и всякие программы авторизаторы кроме авторизации, и гемороя с настройками у юзеров? В любой windows xp уже есть клиент pppoe. Настраивается быстрее чем прописываются сетевые реквизиты на сетевом интерфейсе. База по мак-адресам есть в базе-радиус. правда в pppoe толку от этого нету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergsa Опубликовано 24 октября, 2005 · Жалоба так вопрос в том что управляемое оборудование это не только авторизация но и меньше потерь времени на выяснение причин проблем и их устраниие... настраивание подключений должно быть максимально упрощенно, средний абонент все тупеет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
deployer Опубликовано 24 октября, 2005 · Жалоба Да не вопрос. Выяснение проблем решаются очень просто. У каждого пользователся есть заведомо известный внутренний адрес. По нему очень легко понять, работает ли физический линк до него или нет. И ещё раз повторусь. Среднестатическому юзеру, гораздо легче нажать пару кнопок, ввести имя и пароль и попасть в интернет, нежели заходить в свойства сетевого оборудования и прописывать тучу всяких непонятных адресов. О PPPtP лучше умолчать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergsa Опубликовано 24 октября, 2005 · Жалоба может быть выключен свич просто может завис, может кабель в свиче плохо стоит, может сетевуха сдохла... контроль свича это важная штука, нужно меньше бегать а больше решать удаленно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 24 октября, 2005 · Жалоба Да не вопрос. Выяснение проблем решаются очень просто. У каждого пользователся есть заведомо известный внутренний адрес. По нему очень легко понять, работает ли физический линк до него или нет. И ещё раз повторусь. Среднестатическому юзеру, гораздо легче нажать пару кнопок, ввести имя и пароль и попасть в интернет, нежели заходить в свойства сетевого оборудования и прописывать тучу всяких непонятных адресов. О PPPtP лучше умолчать. DHCP отменен приказом партии? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...