1. Пивязка без VPN.

[ingress]

кстати можно vlan acl применить, зачем по одинаковому acl на каждый? :)

 

на 3560 sh platform tcam utilization

[Дятел]

кстати можно vlan acl применить, зачем по одинаковому acl на каждый? :)

потому что применяются одинаковые правила для 99% юзеров.

на 3560 sh platform tcam utilization

cat3560zv#sh platform tcam utilization

 

CAM Utilization for ASIC# 0 Max Used

Masks/Values Masks/values

 

Unicast mac addresses: 400/3200 278/2152

IPv4 IGMP groups + multicast routes: 144/1152 11/57

IPv4 unicast directly-connected routes: 400/3200 278/2152

IPv4 unicast indirectly-connected routes: 1040/8320 419/3299

IPv4 policy based routing aces: 512/512 2/2

IPv4 qos aces: 512/512 80/80

IPv4 security aces: 1024/1024 42/42

[Мартен]

Вполне правильный для нового. ;-)

Но бывает типа и дешевле малость... За $320 б.у. в рознице стоят.

я не про саму железку, а про апгрейд. или у вас они уже проапгрейженные? (блин слово-то какое). те, что по 320$

[Nag]

не про саму железку, а про апгрейд. или у вас они уже проапгрейженные? (блин слово-то какое). те, что по 320$

Это в мыло. ;-)

Но, вообще, проапгрейженные дороже на полтинник. ;-)

[short]

Готовое работающее решение описано на сайте cisco поиск по Safe-Metro, а обработка его напильником и адаптация под местные реалии и нужды это уже know-how ;-)

 

ага. спасибо, я читал. давно.

 

вопрос правда был "вы уже построили?"

[olebedev]

вопрос правда был "вы уже построили?"

Я же еще тогда когда оно появилось писал что для локального трафика оно не применимо, поэтому железо тоже (45ки и 76ые), а решение другое.

[mt6561]

Vlan-per-customer не работает в том случае если Вам нужен быстрый и дешевый локальный трафик.

Почему?

Потому что звезда превращается в шину.

 

Скажем, есть у нас 12-ти портовый 100Мбит свитч.

Юзер из порта 1 льет на скорости 100Мбит/с фильм юзеру в порт 2

Юзер из порта 3 льет на скорости 100Мбит/с фильм юзеру в порт 4

Юзер из порта 5 льет на скорости 100Мбит/с фильм юзеру в порт 6

Юзер из порта 7 льет на скорости 100Мбит/с фильм юзеру в порт 8

Юзер из порта 9 льет на скорости 100Мбит/с фильм юзеру в порт 10

Порт 12 - аплинк наверх, занят скажем на 15Мбит доступом в Интернет для юзера из порта 11, качающего порнуху.

 

Теперь представим vlan-to-user, все ломанулись друг к другу через порт 12. Предположим, там дальше нет аггрегации, и он входит напрямую в центр маршрутизации. Предположим даже, что маршрутизатор опупенно крут, и не проседает под нагрузкой ни капельки. Что получаем?

 

5x100М потоков наверх, 5x100М потоков вниз, да плюс порнуха для юзера 11 ну никак в 100М линк не влазят! Итого юзеры друг другу льют фильмы со скоростью 10Мбит вместо 100Мбит, а юзер 11, платящий деньги за инет, кстати, ваще практически отдыхает (так IP стек уж устроен с дальними и ближними линками).

 

Так понятно? ;)

Изменено 4 января, 2008 пользователем mt6561

[kuru]

5x100М потоков наверх, 5x100М потоков вниз, да плюс порнуха для юзера 11 ну никак в 100М линк не влазят! Итого юзеры друг другу льют фильмы со скоростью 10Мбит вместо 100Мбит, а юзер 11, платящий деньги за инет, кстати, ваще практически отдыхает (так IP стек уж устроен с дальними и ближними линками).

 

Так понятно? ;)

гигабитные аплинки уже на всех свичах есть...

Изменено 4 января, 2008 пользователем kuru

[mt6561]

5x100М потоков наверх, 5x100М потоков вниз, да плюс порнуха для юзера 11 ну никак в 100М линк не влазят! Итого юзеры друг другу льют фильмы со скоростью 10Мбит вместо 100Мбит, а юзер 11, платящий деньги за инет, кстати, ваще практически отдыхает (так IP стек уж устроен с дальними и ближними линками).

 

Так понятно? ;)

гигабитные аплинки уже на всех свичах есть...

А цена?

А если портов - 24 или 48 (что - как дети в школу в 24-х этажке, скажем)

А если порты все и так гигабитные?

А тот факт, что оно уйдет именно в центр сети, а не в аггрегатор 2-го уровня?

А совершенно другие требования (и стоимости) к маршрутизатору?

 

Вобщем, против как по-мне больше, чем за. Особенно если учесть расширение (переход на гигабит тот же).

[UglyAdmin]

А покрытие?

Или предполагается, что вся собственная сеть неблокируемая и между любыми двумя точками будет литься на скорости порта?

А нет, так лучше дать унифицированный сервис, а не дифференцированный по непонятным для юзера параметрам (в пределах свитча 100, в пределах дома от 10 до 100 в зависимости от существующих в данный момент потоков, в пределах района от 2 до 100, опять же в зависимости, в пределах города... и т.д.). Пионерство это. Услуги связи предоставляем, а не халявную локалку...

 

Судя по сайту - пионерство и есть, даже и не стартап. Где заработать денег не знаем, так кинемся во все стороны сразу, авось с какой-нибудь стороны и заработаем. :(

[ingress]

Мы являемся изобретателями VPN-провайдинга в Украине.

я плакалъ.

[Allexxey]

Vlan-per-customer не работает в том случае если Вам нужен быстрый и дешевый локальный трафик.

Почему?

Потому что звезда превращается в шину.

 

Скажем, есть у нас 12-ти портовый 100Мбит свитч.

Юзер из порта 1 льет на скорости 100Мбит/с фильм юзеру в порт 2

Юзер из порта 3 льет на скорости 100Мбит/с фильм юзеру в порт 4

Юзер из порта 5 льет на скорости 100Мбит/с фильм юзеру в порт 6

Юзер из порта 7 льет на скорости 100Мбит/с фильм юзеру в порт 8

Юзер из порта 9 льет на скорости 100Мбит/с фильм юзеру в порт 10

Порт 12 - аплинк наверх, занят скажем на 15Мбит доступом в Интернет для юзера из порта 11, качающего порнуху.

 

Теперь представим vlan-to-user, все ломанулись друг к другу через порт 12. Предположим, там дальше нет аггрегации, и он входит напрямую в центр маршрутизации. Предположим даже, что маршрутизатор опупенно крут, и не проседает под нагрузкой ни капельки. Что получаем?

 

5x100М потоков наверх, 5x100М потоков вниз, да плюс порнуха для юзера 11 ну никак в 100М линк не влазят! Итого юзеры друг другу льют фильмы со скоростью 10Мбит вместо 100Мбит, а юзер 11, платящий деньги за инет, кстати, ваще практически отдыхает (так IP стек уж устроен с дальними и ближними линками).

 

Так понятно? ;)

Так не бывает. Надо мыслить статистически. Если в сети 10 000 абонентов, то 99.9% трафика этих 11 абонентов будет приходить с аплинка. Так что в идеале - все в центр и там разруливать. Никак это не повлияет на скорость для конечного пользователя.

[rid]

ОФ

По поводу клиента неумеющего DHCP, я тут сталкнулся с контроллером сбора данных (с электро счётчиков по RS-485, считывает и отдаёт по запросу), так вот в настройках IP этого чуда техники, даже не предусмотрен "дефолт гейт вэй".

А вы говорите DHCP.

[edwin]

> IP этого чуда техники, даже не предусмотрен "дефолт гейт вэй".

 

как говорят в Одессе "И шо с того ?"

Нарезаем отдельный vlan и/или vrf (у кого на что денег хватает) и отдаем клиенту ... проблем то

[desperado]

Так не бывает. Надо мыслить статистически. Если в сети 10 000 абонентов, то 99.9% трафика этих 11 абонентов будет приходить с аплинка.

да дело не в этом. понятно, что на практике в пределах свитча трафик это редкость и аплинки давно все гигабитные. проблема вылезет, например, когда захочется соединить терминирующие вланы свитчи по оспф (а тут, к примеру, становятся офигенно актуальны диагональные линки, дабы разгрузить тот самый "центр" от локального трафика и получить дополнительную отказоустойчивость, MPLS как альтернативу я пока не беру в расчет по экономическим соображениям). можно конечно использовать объединение, но это уже начинаются костыли, уменьшается гибкость и т.п. И я не верю что есть реальные массовые сервисы на десятки тысяч абонентов с вланперкастомер.

Вланперкастомер при числе обонентов, скажем, более 1000 в комплексе однозначно более ресурсоемок чем обычный /24 с секьюрными затычками и на этапе внедрения и на этапе эксплуатации, по этому он просто проигрывает экономически.

Когда АРПУ (в москве уже скоро, а в регионах чуть позже) упадет до 100 руб/мес и ниже, из альтернативных операторов, которые не хотят продаться, выживут только те, которые уже сей-час не играют в свитчи, а умеют правильно считать деньги. если, конечно, такие есть, ибо есть технико-экономическая сторона вопроса, а есть административно-вышибательная :(.

 

По поводу клиента неумеющего DHCP, я тут сталкнулся с контроллером сбора данных (с электро счётчиков по RS-485, считывает и отдаёт по запросу), так вот в настройках IP этого чуда техники, даже не предусмотрен "дефолт гейт вэй".

А вы говорите DHCP.

во-первых проблема имеет решение - см. выше.

во-вторых этот девайс просто не умеет IP. т.е. он вообще не может подключаться к провайдеру по L3 и обсуждать IP функционал этого девайса нет смысла. точка.

 

Абсолютно не вижу никакого смысла в vlan per customer. Зачем? В чем же гибкость? А если юриков сотни - адресов /30 уже жалко. IP ACL на порту коммутатора вполне достаточно (не важно, L3 или L2 коммутатор). А DHCP позволяет задействовать динамические пулы, что экономит адреса. Не всем нужны постоянные адреса.

динамические пулы для юриков не нужны точно! экономия весьма сомнительная, ибо в рабочий день подключено ну никак не меньше 95%. :)

 

а вот прямые адреса как раз не очень то и нужны конторам до 10 рабочих мест (очень приблизительно). а конторам имеющим десятки-сотни рабочих мест (которые и платят соответственно) зажимать /30 как-то даже и не прилично. обычно им наоборот по дефолту дают /28 и более.

 

вариант с АРПУ на юриках в 500 рублей я не рассматриваю. документооборот дороже.

Из практики - очень часто попадаются клиенты (юр.лица), которые ну никак не могут вбить адрес в настройках TCP/IP, это выше их сил (не говоря уже о настройке PPPoE).

DHCP совершенно не исключает vlan per customer и совершенно этому не мешает. К тому же таким противопоказан не только статик, но и даже просто внешний адрес. За то таким крайне рекомендуется впаривать шлюз класса линксис-врт. При чем иногда даже если у них 1 комп.

Изменено 11 января, 2008 пользователем desperado

[zoro]

Вопрос, а что мешает просто сделать тупо привязку ип-порт?

юзверю дается статичский ип.. заводится витуха... и далее его проблемы ограничения траффика, итд итп... наша цель просто не пропускать какибо либо ипы кроме нужного...

[Дятел]

.

Вланперкастомер при числе обонентов, скажем, более 1000 в комплексе однозначно более ресурсоемок чем обычный /24 с секьюрными затычками и на этапе внедрения и на этапе эксплуатации, по этому он просто проигрывает экономически.

Эта фраза мною не понята. Можно раскрыть тезис?

[desperado]

.

Вланперкастомер при числе обонентов, скажем, более 1000 в комплексе однозначно более ресурсоемок чем обычный /24 с секьюрными затычками и на этапе внедрения и на этапе эксплуатации, по этому он просто проигрывает экономически.

Эта фраза мною не понята. Можно раскрыть тезис?

не понятен смысл фразы или сомнение вызывает достоверность?

[Дятел]

.

Вланперкастомер при числе обонентов, скажем, более 1000 в комплексе однозначно более ресурсоемок чем обычный /24 с секьюрными затычками и на этапе внедрения и на этапе эксплуатации, по этому он просто проигрывает экономически.

Эта фраза мною не понята. Можно раскрыть тезис?

не понятен смысл фразы или сомнение вызывает достоверность?

я понял, что, по вашему мнению, VLANperC при числе абонентов более 1000 более ресурсоемок чем непонятно что. Хотелось бы понять, чего он дороже и почему Вы так считаете.

[Дятел]

desperado, вразумительного ответа не нашлось?

[zoro]

а на мой ответик не кто не отреогировал...

[jeka]

>юзверю дается статичский ип.. заводится витуха... и далее его проблемы ограничения траффика, итд итп... наша цель просто не пропускать какибо либо ипы кроме нужного...

 

Ну у нас именно так, пока живем нормально :-)

[Eugene Tsepelev]

to zoro для этого уже функционал L2+ нужен, либо Option 82 :) что как раз в опросе темы сидит.

[zoro]

DES-3028

DES-3526

весьма дешевы-функциональны...

[Petrivich]

Надоел ВПН.

С учетом наличия управляемого железа хотим отказаться от него. Что выбрать.

Какие плюсы и минусы данных вариантов.

Минус - это отсутствие той авторизации , которую инициализирует сам пользователь . ВПН это своеобразная контрацепция от несанкционированного доступа в интернет . Без ВПНа софт на клиентской машинке лезет во всемирную сеть почём зря , а клиент даже и не в курсе . Для провайдера , есссно , это хорошо с точки зрения купить лишнюю баночку пива . Но разборы полётов с клиентами , которым приходится доказывать что не слон , могут даже изменить бизнес - модель предоставления соответствующих услуг . Например , придётся держать дополнительный штат на тех.поддержке , предварительно настраивать клиентские машинки и так далее . Отсутствие ВПНа как средства авторизации актуально для провайдеров , предлагающих лимитные тарифы с ценами , отличными от тех , что предлагаются в столицах .