1. Пивязка без VPN.

[Дятел]

и что? кошка не просвичует???

[Мартен]

От воткнуть не в тот порт должна спасать привязка порта к клиенту после его инициализации (при первом входе клиенту выдается адрес для неинициализованных и страничка заплати и лети), а так DHCP+Option82 как наиболее простое и не требующее дополнительных действий на стороне клиента.

от воткнуть не в тот порт должна спасать нормальная организация работ. плюсы: имеем строгий учет, какой абонент к какому порту подсоединен, диагностика проблем упрощается сильно. отключать клиента от сети оч. легко, это можно делать вручную или автоматом по snmp.

Vlan-per-customer не работает в том случае если Вам нужен быстрый и дешевый локальный трафик.

работает. просто вланы надо приземлять на нормальных Л3 свитчах, они роутят на скорости порта. поставить один cat3560(G) на 500-1000 человек вполне реально.

[ingress]

работает. просто вланы надо приземлять на нормальных Л3 свитчах, они роутят на скорости порта. поставить один cat3560(G) на 500-1000 человек вполне реально.

1000 SVI /31 ? или ip unnumbered по большой маске?

однофигственно не потянет, имхо.

про ACL QoS PBR(хотя он не нужен фактически) точно можно забыть с такими числами.

Изменено 15 октября, 2007 пользователем ingress

[Nag]

Да чего мелочиться, Л3 на доступ, да и все.

Какой-нить Summit 24e3... ;-)

[Мартен]

хм, а почему бы и нет?

как у них с оспф?

[Мартен]

 

работает. просто вланы надо приземлять на нормальных Л3 свитчах, они роутят на скорости порта. поставить один cat3560(G) на 500-1000 человек вполне реально.

1000 SVI /31 ? или ip unnumbered по большой маске?

однофигственно не потянет, имхо.

про ACL QoS PBR(хотя он не нужен фактически) точно можно забыть с такими числами.

маска /30 обычно.

ну, эта, есси честно, то больше 200 на девайс пока нету :)

но что-то не вижу проблем приземлить больше. может и ошибаюсь.

[sirmax]

и что? кошка не просвичует???

прироутить надо между вланами, насколько я понимаю )

при нормальном дизайне сети - и пророутит, но я все равно не понимаю Влан-На-Клиента так привлекателен?

[olebedev]

Почему?

Потому что если Вам надо доставить трафик с одного абонентского порта на другой абонентский порт его надо будет отмаршрутизировать в любом случае, нет конечно если поднимать Safe Metro Aggregation то это будет работать со 100% вероятностью, но ставить на каждые 8К клиентов 45ку с Super-IV+10GE да еще и 76ую содержать на мой взгляд несколько накладно ;-)

[vIv]

Да чего мелочиться, Л3 на доступ, да и все.

Какой-нить Summit 24e3... ;-)

Зря ехидничаешь! ;-)

 

http://www.hp.com/rnd/pdfs/ProCurve_5400-3...white_paper.pdf

 

3500 - именно как коммутатор доступа и делался.

[Nag]

хм, а почему бы и нет?

как у них с оспф?

Совершенно нормально с осфп - если юзать полную версию.

Которая стоит совсем не дорого, если поискать. ;-)

 

нет конечно если поднимать Safe Metro Aggregation то это будет работать со 100% вероятностью, но ставить на каждые 8К клиентов 45ку с Super-IV+10GE да еще и 76ую содержать на мой взгляд несколько накладно ;-)

Каталист 6506 с 2-м супом это перемелет левой задней лапой...

При цене за кучку в 6 косарей... И с оптическими портами по цене конвертеров. ;-)

 

 

Зря ехидничаешь! ;-)

И не думаю даже. ;-)

Эти саммиты (и рапиеры) разлетаются на доступ к корпоратам как пирожки...

[desperado]

В Телесисах это тоже красиво сделано - а-ля Cisco Ip Source Guard (dhcpsnooping + arpsecurity).

И стройными рядами в лес пошли все, кто не умеет DHCP ;-)

"вы не умеете DHCP? тогда идите в лес!" (с) :)

 

не умеет!?... скорее не хочет... отличную компанию составят тем, кто не умеет IP.

 

схема проста - клиенты бывают двух видов: юрики и физики.

1. юрики

ARPU в разы больше, общее количество в разы меньше. Доля локального трафика значительно меньше. по этому на них не жалко похерить /30 (даже прямых адресов), VLAN, интерфейс и полосу на L3, 5 минут времени саппорта чтобы объяснить как статиком вбить адрес, если вдруг у них нет админа. Так же подоразумевается что за ними сидят некоторое количество пользователей. Тут "вланперкастомер" идеальный простой вариант, дающий высокую гибкость решения. DHCP-приветствуется, MAC-приязки исключены, да и не нужны. IP привязки возможны.

 

2. Физики

ARPU в разы меньше, общее количество в разы больше. Доля локального трафика значительно выше. Тут нужен максимально дуракоустойчивый недорогой массовый сервис. тут DHCP без вариантов. Так же нерационально терминировать каждого на L3, проще заткнуть дырки всякими фичами. В самом крайнем случае MAC-port привязками.

 

... это если кто-то еще вдруг сам не догнал. извиняюсь за объяснение очевидного.

Изменено 16 октября, 2007 пользователем desperado

[desperado]

И не думаю даже. ;-)

Эти саммиты (и рапиеры) разлетаются на доступ к корпоратам как пирожки...

Акции АО "МММ" тоже в свое время разлетались как пирожки....

 

ИМХО, L3 на доступ излишество (потому как не дает объективных преимуществ) и убожество (т.к. усложняет систему и повышает нагрузку на некоторые элементы, например, на тот же OSPF.

 

конечно, если на доступе сидят ISP на 10-100K клиентов.... тогда тут уже железки такого класса не котируются.

Изменено 16 октября, 2007 пользователем desperado

[desperado]

Vlan-per-customer не работает в том случае если Вам нужен быстрый и дешевый локальный трафик.

не понял тезиса. почему вдруг скорость падает или трафик растёт в цене.

что надо обяснить? почему железка которая может отроутить больше трафика через большее количество интерфейсов стоит дороже? примите это как факт или поинтересуйтесь у производителей.

[Мартен]

Совершенно нормально с осфп - если юзать полную версию.

Которая стоит совсем не дорого, если поискать. ;-)

хм, то что я нашел это 700 буржуйских фунтов. охренеть. это правильный порядок цен?

[Bushi]

"вы не умеете DHCP? тогда идите в лес!" (с) :)

 

не умеет!?... скорее не хочет... отличную компанию составят тем, кто не умеет IP.

 

схема проста - клиенты бывают двух видов: юрики и физики.

1. юрики

ARPU в разы больше, общее количество в разы меньше. Доля локального трафика значительно меньше. по этому на них не жалко похерить /30 (даже прямых адресов), VLAN, интерфейс и полосу на L3, 5 минут времени саппорта чтобы объяснить как статиком вбить адрес, если вдруг у них нет админа. Так же подоразумевается что за ними сидят некоторое количество пользователей. Тут "вланперкастомер" идеальный простой вариант, дающий высокую гибкость решения. DHCP-приветствуется, MAC-приязки исключены, да и не нужны. IP привязки возможны.

Абсолютно не вижу никакого смысла в vlan per customer. Зачем? В чем же гибкость? А если юриков сотни - адресов /30 уже жалко. IP ACL на порту коммутатора вполне достаточно (не важно, L3 или L2 коммутатор). А DHCP позволяет задействовать динамические пулы, что экономит адреса. Не всем нужны постоянные адреса.

 

Из практики - очень часто попадаются клиенты (юр.лица), которые ну никак не могут вбить адрес в настройках TCP/IP, это выше их сил (не говоря уже о настройке PPPoE). А "не умеющие dhcp" - это неофиты, впервые установившие unix like операционку, изучившие команду ifconfig, но до демона dhclient осилить не успели.

Что касается L3 на аксесс - возможно, в некоторых случаях оправдано, но для массого применения - дорого и тяжело. L2 на аксесс за $200 с фильтрами L2-L4 - более чем достаточно.

[olebedev]

Каталист 6506 с 2-м супом это перемелет левой задней лапой...

При цене за кучку в 6 косарей... И с оптическими портами по цене конвертеров. ;-)

Может он еще и Q-in-Q на себя примет и отпрофилирует всем трафик по персональным спискам доступа и отшейпит, а заодно сделает DHCP + Binding? - Ответ однозначный - Нет! А Safe-Metro как раз сделает это левой ногой.

Абсолютно не вижу никакого смысла в vlan per customer. Зачем? В чем же гибкость? А если юриков сотни - адресов /30 уже жалко. IP ACL на порту коммутатора вполне достаточно (не важно, L3 или L2 коммутатор). А DHCP позволяет задействовать динамические пулы, что экономит адреса. Не всем нужны постоянные адреса.

А если юриков сотни то тут Вам помогает port isolation + unnumbered 802.1q (в терминах Cisco).

Изменено 16 октября, 2007 пользователем olebedev

[short]

Может он еще и Q-in-Q на себя примет и отпрофилирует всем трафик по персональным спискам доступа и отшейпит, а заодно сделает DHCP + Binding? - Ответ однозначный - Нет! А Safe-Metro как раз сделает это левой ногой.

вы уже построили?

 

может потратите 10 минут распишете как у вас, может даже с картинками? )

[Nag]

хм, то что я нашел это 700 буржуйских фунтов. охренеть. это правильный порядок цен?

Вполне правильный для нового. ;-)

Но бывает типа и дешевле малость... За $320 б.у. в рознице стоят.

 

 

 

 

Может он еще и Q-in-Q на себя примет и отпрофилирует всем трафик по персональным спискам доступа и отшейпит, а заодно сделает DHCP + Binding? - Ответ однозначный - Нет! А Safe-Metro как раз сделает это левой ногой.

Да, всегда можно найти фичи, ради которых нужно переплатить... В десяток раз. ;-) Особенно если не думать об их реальной необходимости...

[Kuzema]

D-Link DES-3828

[olebedev]

вы уже построили?

может потратите 10 минут распишете как у вас, может даже с картинками? )

Готовое работающее решение описано на сайте cisco поиск по Safe-Metro, а обработка его напильником и адаптация под местные реалии и нужды это уже know-how ;-)

 

 

Да, всегда можно найти фичи, ради которых нужно переплатить... В десяток раз. ;-) Особенно если не думать об их реальной необходимости...

Ага, продавец всегда с удовольствием похвалит свой товар, даже если этот товар уже не отвечает потребностям рынка, при концентрации по 100-150 пользователей с дома 65-ок не накупишься ;-)

[Дятел]

DHCP позволяет задействовать динамические пулы, что экономит адреса. Не всем нужны постоянные адреса.

Если у вас 10 000 абонентов и больше половины из них на безлимитных тарифных планах, то какой размер динамического пула вам нужен? можно ли сказать, что около 10 000 адресов, что бы не попасть в ситуации в новогоднии каникулы, когда кому-та адреса не хватит? Если ответ положительный, то какой смысл в экономии????

 

 

ну, эта, есси честно, то больше 200 на девайс пока нету :)

но что-то не вижу проблем приземлить больше. может и ошибаюсь.

имею 3550, в которой ВЛАНы закончились...так что 1000 честно молотит.

Изменено 17 октября, 2007 пользователем Дятел

[ingress]

имею 3550, в которой ВЛАНы закончились...так что 1000 честно молотит.

L2 или L3 молотит(1000 SVI интерфейсов?)?

[Дятел]

да, 1000 SVI интерфейсов

[ingress]

да, 1000 SVI интерфейсов

и не плохо ему? можно в личку sh proc cpu, sh sdm prefer, sh tcam inacl 1 statistics ну и sh run :)

[Дятел]

и не плохо ему? можно в личку sh proc cpu, sh sdm prefer, sh tcam inacl 1 statistics ну и sh run :)

к сожалению, тот узел, где была 3550 с 1000, уже модернизирован, там теперь 6500.

Есть узел с 3560 и 800 абонентами.

 

cat3560zv#sh proc

CPU utilization for five seconds: 30%/0%; one minute: 24%; five minutes: 25%

 

cat3560zv#sh sdm prefer

The current template is "desktop routing" template.

The selected template optimizes the resources in

the switch to support this level of features for

8 routed interfaces and 1024 VLANs.

 

number of unicast mac addresses: 3K

number of IPv4 IGMP groups + multicast routes: 1K

number of IPv4 unicast routes: 11K

number of directly-connected IPv4 hosts: 3K

number of indirect IPv4 routes: 8K

number of IPv4 policy based routing aces: 512

number of IPv4/MAC qos aces: 512

number of IPv4/MAC security aces: 1K

sh tcam на 3560 не поддерживается.

sh run - ну оооочень длинный )))

из того, что интересно:

interface Vlan1501

ip address 10.215.0.1 255.255.255.0

ip access-group 110 in

!

interface Vlan1502

ip address 10.215.1.1 255.255.255.0

ip access-group 110 in

!

interface Vlan1503

ip address 10.215.2.1 255.255.255.0

ip access-group 110 in

.

.

.

ip route 82.ххх.ххх.2 255.255.255.255 Vlan1501

ip route 82.ххх.ххх.3 255.255.255.255 Vlan1502

ip route 82.ххх.ххх.4 255.255.255.255 Vlan1503

Изменено 17 октября, 2007 пользователем Дятел