[Tooreagen]

Всем привет! Подскажите, посоветуйте пожалуйста как правильно, как более современно переработать логику сети? Советуют делать VLAN на абонента через QinQ. Какие в этом есть +/- ? Как через ONU в таком случае выдать абоненту пачку VLAN. Как приблизительно поделить сеть логически? 

 

Исходные данные такие: 

1. Количество клиентов около 6000

2. Железо разное, но все переделывается на PON, будет только разнопортовые BDCOM и HUAWEI MA5683T, местами Mikrotik. 

3. Доступ абонов через Linux.

4. Как организовать пул серверов, чтобы можно было выключить любой из них? (Сейчас все на PPPoE, хочу DHCP)

5. Естественно нужно оставить возможность работать просто через VLAN на обычном коммутаторе. 

 

Любой совет, любая подсказка, будет полезна от вас. Хочется все правильно организовать и не думать ближайшие годы 

[sirmax]

7 часов назад, Tooreagen сказал:

Количество клиентов около 6000

 

Эта сеть не тянет даже на среднюю, не то что бы большую. Мелочь пузатая.

 

По теме пон мне сказать толком нечего - у меня его нет 😞

[edo]

ИМХО чтобы «правильно переделать» нужно сначала определиться с целями переделки

[Andrei]

15 часов назад, Tooreagen сказал:

4. Как организовать пул серверов, чтобы можно было выключить любой из них? (Сейчас все на PPPoE, хочу DHCP)

5. Естественно нужно оставить возможность работать просто через VLAN на обычном коммутаторе. 

 

3 часа назад, edo сказал:

определиться с целями переделки

Видимо ТС хочет уйти с PPPOE на IPOE

[VolanD666]

По правильному сначала делаете аудит существующей сети (полностью документируете+находите все слабые места). После этого на основе собранной информации делаете проект сети с паном переделок.

[Tooreagen]

Все верно, хочу уйти от РРРоЕ и правильно переделать сеть. 

 

Цитата

По правильному сначала делаете аудит существующей сети (полностью документируете+находите все слабые места). После этого на основе собранной информации делаете проект сети с паном переделок.

По документированию ясно, я хотел более практические моменты уточнить. Как правильно, как делать подсети, какой тип авторизации применить. 

[VolanD666]

Речь была не совсем про документацию, а про полноценный аудит. И уже после него вы уточняете практические моменты. Когда у вас будет полное представление о работе сети и каких-то проблемных моментах в ней.

[jffulcrum]

Ключевое - что умеет конкретный человек/команда, которая будет эту трансформацию делать. Обычно ищется человек. а на какой технологии он построит - дело уже второе, главное - что он такое уже строил и имеет четкое понимание, что купить и как собрать. Если, конечно, всё не из текущих доходов финансируется - тогда бюджет будет во главе угла, и с высокой вероятностью определять выбор технологии.

[VolanD666]

Ну просто ТС написал "Правильно..." вот я и ответил как правильно :)

[neperpbl3]

Здравствуйте, Tooreagen

Отдельный Vlan на клиента делают для безопасности и изоляции клиентов между собой для исключения паразитного влияния. Сложно сказать, как правильно. Каждый решает сам как ему строить сеть. Мы схему с отдельным vlan на клиента не используем. У нас обычная IP Ethernet сеть с сетями /24 (256 адресов) и /25 (128 адресов). для каждой подсети выделяется отдельный vlan. Все просто. Это одинаково применимо и к Ethernet коммутаторам и к технологии gpon.

 

Безопасность прописывается на коммутаторах по связке IP-MAC. Доступ в интернет регулируется биллингом правилами iptables на пограничных маршрутизаторах.

 

Маршрутищация делится на два уровня: клиентский доступ (маршрутизатор доступа) и связь с провайдерами (пограничный маршрутизатор).

 

 

3. Доступ абонов через Linux.

что вы имеете ввиду? Маршрутизатор?

 

4. Как организовать пул серверов, чтобы можно было выключить любой из них? 

что вы имеете ввиду? Резервирование, дублирование?

Изменено 22 марта, 2023 пользователем neperpbl3

[Tooreagen]

Не пойму почему не срабатывает у меня Цитата?

 

Vlan на клиента думаю это самый безопасный вариант работы сети, который избавит от множества проблем.

 

Цитата

Доступ абонов через Linux.

что вы имеете ввиду? Маршрутизатор?

Да, я имел ввиду что это сервер доступа.

 

Цитата

4. Как организовать пул серверов, чтобы можно было выключить любой из них? 

что вы имеете ввиду? Резервирование, дублирование?

Это когда трудится 4 NAS сервера, ну в случае падения одного из них, все абоненты которые были на упавшем сервере подключаются на те три которые остались.

[Negator]

Возможных вариантов схем слишком много.

А вводных от вас слишком мало.

Непонятно какие сервера доступа, какое оборудование, хотя бы вчерне схему сети.

Можно сделать QinQ, можно обойтись без этого. Много сетей и различных мнений.

QinQ и влан на абонента обычно делают для того, чтобы тянуть всех абонентов в центр по L2

Но это не всегда удобно, иногда логичнее не тянуть абонентов с удаленных узлов до центра.

Мне лично больше нравится L3 схема.

Резервирование серверов тоже можно сделать по разному.

В общем - больше конкретики. Попробуем что то предложить.

 

 

[QWE]

"Это когда трудится 4 NAS сервера, ну в случае падения одного из них, все абоненты которые были на упавшем сервере подключаются на те три которые остались. "

можно мудрить через кластерный софт corosync + pacemaker (как пример) к нему скрипты/правила старта/останова ресурсных групп(интерфейсные сущности, службы/сервисы).

До каждого сервера - тянете вланы от всех абонентов в которых абоненты хватают IP по DHCP.

[Saab95]

Перед каждой головой ПОН ставите микротик, на нем заводите все вланы абонентов пона, на поне, соответственно, по влану на каждую онушку. В каждом влане выдаете 1 адрес поштучно.

 

Далее все микротики любыми каналами сводите в центр, делая маршрутизацию OSPF. В центре ставите сколько нужно серверов (НАТ, шейпер, блокировки), распределяете трафик по ним. Они же и сделают резервирование.

 

Можете, конечно, делать QinQ, всякие там STP что бы не было колец - но это уже устаревшие технологии, тянуть в центр Л2 в виде Л2 уже не модно. Посмотрите сеть любого крупного оператора - L3 транспорт, MPLS сверху для передачи абонентских данных. Масштабировать можно бесконечно.

[Tooreagen]

Долго думал... Такие мысли.

Сейчас авторизация РРРоЕ. Хочу сделать чтобы была возможность использовать IPoE с перспективой перехода на QinQ.

В схеме будет работать (сейчас настраиваю) биллинг, FreeRADIUS, Accel-ppp, Linux iptables.

Может кто подскажет конфиг accel чтобы учитывал сразу три эти авторизации и можно было резервировать подключение абонентов на 4 сервера.

[Numitor]

del

Изменено 20 апреля, 2023 пользователем Numitor