Jump to content
Калькуляторы

Вопрос: Linux, rp-pppoe, несколько PPPoE NAS, баллансировка нагрузки

Давайте только без сарказма.

ну а про swithport protected?

 

 

А насчёт завернуть сессию соседа -- это надо умудриться зароутить соседа к себе на ай-пи, который находится за роутером для обоих. Ведь соединение по РРТР устанавливается на 3-м уровне, и мой РРТР-сервер может находиться через несколько хопов от клиентов. И по умолчанию в винде вся РРТР-сессия шифруется mppe128.

Да это без разницы чем оно шифруется.. главное что на L2 мы можем делать все что хотим и в т.ч. завернуть его PPTP сессию через себя. У вас надеюсь юзера сертификатами аутентифицируются? Если нет, то всё возможно. И надо заметить продукты готовые для таких действ в публичной сети давно имеются.

 

 

ps. Кстати, а чем Вы так на такое количество юзеров шифровать собираетесь?

Edited by kostich

Share this post


Link to post
Share on other sites

Давайте только без сарказма.

ну а про swithport protected?

 

 

А насчёт завернуть сессию соседа -- это надо умудриться зароутить соседа к себе на ай-пи, который находится за роутером для обоих. Ведь соединение по РРТР устанавливается на 3-м уровне, и мой РРТР-сервер может находиться через несколько хопов от клиентов. И по умолчанию в винде вся РРТР-сессия шифруется mppe128.

Да это без разницы чем оно шифруется.. главное что на L2 мы можем делать все что хотим и в т.ч. завернуть его PPTP сессию через себя. У вас надеюсь юзера сертификатами аутентифицируются? Если нет, то всё возможно. И надо заметить продукты готовые для таких действ в публичной сети давно имеются.

 

 

ps. Кстати, а чем Вы так на такое количество юзеров шифровать собираетесь?

switсhport protected у меня не используется, так как если два юзера в одном свиче, то мне надо, чтоб они могли напрямую качать друг у друга, а не через роутер по РРРоЕ

"на L2 всё что захочешь", но РРТР-туннель в отличие от РРРоЕ работает по L3

хоть это и более накладно для ЦПУ, но я предпочитаю РРТР и юзаю его только для инета, локалка работает на простом эзернете

есть порезана на вланы, чтоб в одном влане не было много людей, всё затерминировано в свич L3

есть отдельный влан, в котором нет ни одного юзера

в этом влане у меня DHCP&DDNS-сервер, РРТР-серверы и все остальные сервисы

на свиче включен DHCP-relay

сеть у меня в виде ромашки, в центре свич L3, в лепестках отдельные вланы с юзерами

один из лепестков -- влан сервисов и доступа в инет

все нужные маршруты передаются каждому клиенту по DHCP

 

в РРТР шифрование включено в MPD

правда у меня больше 300 туннелей на одном сервере не бывает, но и загрузка ЦПУ сейчас не более 10%

серверы не крутые:

FreeBSD 6.2-RELEASE #0: Fri Feb 9 22:22:12 EET 2007

root@rcx2.uar.net:/usr/src/sys/amd64/compile/ROUTER

Timecounter "i8254" frequency 1193182 Hz quality 0

CPU: Intel® Pentium® 4 CPU 3.00GHz (2997.03-MHz K8-class CPU)

Origin = "GenuineIntel" Id = 0xf49 Stepping = 9

Features=0xbfebfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CLFLU

SH,DTS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE>

Features2=0x641d<SSE3,RSVD2,MON,DS_CPL,CNTX-ID,CX16,<b14>>

AMD Features=0x20100800<SYSCALL,NX,LM>

AMD Features2=0x1<LAHF>

Logical CPUs per core: 2

real memory = 1046872064 (998 MB)

avail memory = 1002332160 (955 MB)

ACPI APIC Table: <INTEL DG965RY >

FreeBSD/SMP: Multiprocessor System Detected: 2 CPUs

cpu0 (BSP): APIC ID: 0

cpu1 (AP): APIC ID: 1

 

Share this post


Link to post
Share on other sites

"на L2 всё что захочешь", но РРТР-туннель в отличие от РРРоЕ работает по L3

Ну вот я о том и речь веду, что это L3 можно на уровне L2 завернуть не на PPTP сервер ISP, а на какой-то свой.

 

 

Share this post


Link to post
Share on other sites

"на L2 всё что захочешь", но РРТР-туннель в отличие от РРРоЕ работает по L3

Ну вот я о том и речь веду, что это L3 можно на уровне L2 завернуть не на PPTP сервер ISP, а на какой-то свой.

можно, если под ай-пи л3-свича будет мак пионера, а за ним тот сервер РРТР

но логин и пароль должен подойти, а его надо знать, а узнать трудно, так как мрре128-шифрование..........

в общем, мы отклонились от темы....

если человеку надо динамическую балансировку РРРоЕ в локалке, то скорее всего это решаемо только с помощью проприетарных решений....

Если б это надо было РРТР, то там всё решается с помощью внутр. ДНС и настройкой round-robin резолвинга, чтоб одно и то же имя резолвилось в разные ай-пи по очереди, и юзеры б коннектились к этим разным ай-пи прибл. поровну, а тут как на мак-уровне сделать... ничего в голову не приходит...

 

Share this post


Link to post
Share on other sites

"на L2 всё что захочешь", но РРТР-туннель в отличие от РРРоЕ работает по L3

Ну вот я о том и речь веду, что это L3 можно на уровне L2 завернуть не на PPTP сервер ISP, а на какой-то свой.

можно, если под ай-пи л3-свича будет мак пионера, а за ним тот сервер РРТР

нет, все не так... если возможен arp cache poisoning, то без разницы как там и что... PPPoE хорош тем, что изначально можно портсвичсекурити прописать и дать возможность пионерам общаться между собой через рутеры по L3. а в дизайне с PPTP мы получаем помойку на L2 уровне, помойку на L3 с левой адресацией и кучу головняков с пионерией.... зачем плодить две помойки когда можно сделать одну нормальную сеть?

 

но логин и пароль должен подойти, а его надо знать, а узнать трудно, так как мрре128-шифрование..........

мы ему подсовываем свой PPTP сервер и если там как минимум мсчап, то спокойно узнаем то что забито у него в форме...

 

если человеку надо динамическую балансировку РРРоЕ в локалке, то скорее всего это решаемо только с помощью проприетарных решений....

если люди поднимают ферму на писюках, то наверное денег на проприетарные решение нет или нет таких решений. с дизайном сети есть еще ряд сложностей т.к. лимит mac-ов на сегмент у свичей есть и дотянуть всю сетку до PPPoE фермы по L2 не всегда можно. если домашку строить на нормальном L2 оборудовании, то надобности в PPPoE и PPTP нет!

Edited by kostich

Share this post


Link to post
Share on other sites

Вот мы незаметно подошли к вопросу дизайна сети. Выбор решения зависит от масштабов сети и инвестиционных возможностей. Чем большей может быть эта сеть -- тем оправданней использование правильных свичей. Чем меньше сеть -- тем больший уклон в сторону свободных софтверных решений. То есть всё зависит от масштабов сети, и важно найти золотую середину, чтоб в итоге проект вернул вложенные средства и приносил прибыль и качество чтоб не страдало.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.