Перейти к содержимому
Калькуляторы

Есть ли смысл в VLAN на пользователя? "За" и "против" VLAN на пользователя резкие аргументы

бр....как всегда народ не думает про умное слово "opex" - посчитайте во что обойдётся эскплуатация вашей схемы с кучей длинков и поймёте что она выгодна пока сеть маленькая, а с нормальным оборудованием аля erx310/e120 и единой точкой предоставления услуги при увеличении количества абонентов "opex" не растут, а вот с длинками или чем то другим ой-ой....
маленькая это сколько?

 

терь собсно по поводу сабжа - схема vlan per user есть идеологически правильная, ибо резко повышает секурити, вопрос по поводу как ея конфигурить - на днях собсно представители из джунипера активно продвигали идею о статической конфигурации вланов на всём оборудовании "ниже" браса и терминировать их на брасе, а собсно автоизацию и настройки раздавать через pppoe - по их мнению такая схема наиболее проста в обслуживании и, в принципе, я с ними даже согласный в ентом вопросе, кроме того такая схема резко упрощает сбор статистики и снимает все вопросы по поводу блокировок/разблокировок абонента
т.е. кроме виланов на пользователя ещё и pppoe городить? О_о

 

вопрос по поводу отслеживания атак и прочая и прочая:

1) во первых схема vlan per user большую часть таких проблем решает сам по себе

2) не смешивайте мух с котлетами - firewall и idp не есть функция узлов доступа (будь то dslam, обычный l2 коммутатор или что-то ещё) или точек дистрибуции услуг, для этого делаются отдельные серьёзные и не очень решения

3) приличную часть решения таких поблем можно по первости возложить прямо на тот же erx310/e120 пока не дорастёте до большого idp - ибо в части policy и всякой фильтрации железки тоже очень могучие, по крайней мере таких иерархических структур которые мона городить на джунипере ещё поискать надо где в принципе можно сделать

я знаю кто и что может делать.

 

я не теоретик, а практик.

если кто предложит поосваивать бюджет в несколько сотен тысяч долларов - я не откажусь и куплю и джунипер и ещё кучу железок.

а если задача стоит не освоить бюджет, а сделать рабочую схему и при этом сэкономить хорошую БМВ, то почему бы и нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уф. Сколько можно?

Кредитов нет, кризис... Конкурентов с большими деньгами, скорее всего, не будет.

Практически второй шанс.

Берите любую дешевую схему, и стройте... Лишь бы прибыль приносило не через 3 года, а сразу.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

маленькая это сколько?
это то что до 10к зверей, а на меньшее количество vlan-per-user не нужен имхо, там проще проблемы секурити решать другими способами

 

т.е. кроме виланов на пользователя ещё и pppoe городить?
именно, ради раздачи настроек, DHCP не предлагать, по многим причинам не катит, статика - тем более, остаётся PPPoE, возможно будущий стандарт "ip sessions" будет лучше PPPoE но пока его нет

 

я не теоретик, а практик.

если кто предложит поосваивать бюджет в несколько сотен тысяч долларов - я не откажусь и куплю и джунипер и ещё кучу железок.

а если задача стоит не освоить бюджет, а сделать рабочую схему и при этом сэкономить хорошую БМВ, то почему бы и нет?

я тоже практик и в телекоме слава богу поболе 10 лет работаю, так что все енти схемы пионернета уже пережил на собственной практике

 

Уф. Сколько можно?

Кредитов нет, кризис... Конкурентов с большими деньгами, скорее всего, не будет.

Практически второй шанс.

Берите любую дешевую схему, и стройте... Лишь бы прибыль приносило не через 3 года, а сразу.

я видимо исключение - инвестор есть и бюджет поболе озвученной выше суммы будет, а кроме того если нет бюджета на развитие - нефиг пытаться городить что либо сложнее dhcp+vpn, там хотя бы на дешёвом гуано можно построить более-менее работающую сеть.

 

А про дешёвые схемы - надоело через пару лет после запуска сети разгребать кучу проблем, из-за того что в начале кому то хотелось сэкономить и построить всё "подешевле"

Изменено пользователем derini

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это в предложенной вами схеме нужно ограничивать локальный трафик, а в моей - он никак не влияет на предоставление доступа в Интернет. Пусть себе крутится и радует абонентов.
Это вопрос скорее религиозный. :) Я считаю, что услуга с низким ARPU (локалка) не должна мешать получать другим абонентам услугу с высоким ARPU (интренет). Поэтому у меня она через BRAS и лимитируется.

 

Ну что вы привязались к конкретным моделям оборудования? Я примерно прикидывал.

Это-же технический форум, или уже нет? :)

 

Если у неё нет возможности делать 1 ACL на диапазон портов, то я куплю следующее поколение, которое умеет и обойдётся оно на 15-20% дороже. Что всё равно сильно дела не меняет при сравнении конечной суммы моей модели и вашей.

А Вы уверены, что следующее поколение будет таким, каким Вы его себе представляете? Пару дней назад Вы писали про 3612, потом про 6500. И наверное Вы оба раза были уверены в собственной правоте. Пока я не указал Вам на 'нюансы'. Сейчас точно не ошибаетесь? :)

Кстати, скорость, с которой Вы отвечаете на мои посты убеждает меня, в том, что перед ответом Вы не пытались прочитать мануал по коммутаторам, которые рекомендовали. Даже после того, как я указал на тонкие места. Т.е. не пытались как инженер найти решение проблем (которое кстати может существовать т.к. я совсем не знаю D-Link). Это нетипично для того, кто называет себя практиком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уф. Сколько можно?

Кредитов нет, кризис... Конкурентов с большими деньгами, скорее всего, не будет.

Практически второй шанс.

Берите любую дешевую схему, и стройте... Лишь бы прибыль приносило не через 3 года, а сразу.

Я c согласен, а какая по вашему самая дешевая схема для сети кол-ом абонентов не более 1000 ?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я видимо исключение - инвестор есть и бюджет поболе озвученной выше суммы будет, а кроме того если нет бюджета на развитие - нефиг пытаться городить что либо сложнее dhcp+vpn, там хотя бы на дешёвом гуано можно построить более-менее работающую сеть.

 

А про дешёвые схемы - надоело через пару лет после запуска сети разгребать кучу проблем, из-за того что в начале кому то хотелось сэкономить и построить всё "подешевле"

Ну вы идеальные условия не берите. Посмотрите километров 10-20 от Москвы. Там людям тоже Интернет нужен. А ещё дальше?

 

 

Это в предложенной вами схеме нужно ограничивать локальный трафик, а в моей - он никак не влияет на предоставление доступа в Интернет. Пусть себе крутится и радует абонентов.
Это вопрос скорее религиозный. :) Я считаю, что услуга с низким ARPU (локалка) не должна мешать получать другим абонентам услугу с высоким ARPU (интренет). Поэтому у меня она через BRAS и лимитируется.

Да локалка вообще может не приносить денег в чистом виде, а быть конкурентным преимуществом, поэтому арпу сравнивать тут не вполне корректно.

А насчёт того, что она мешает получать услугу - так кос.

 

Ну что вы привязались к конкретным моделям оборудования? Я примерно прикидывал.

Это-же технический форум, или уже нет? :)

 

Если у неё нет возможности делать 1 ACL на диапазон портов, то я куплю следующее поколение, которое умеет и обойдётся оно на 15-20% дороже. Что всё равно сильно дела не меняет при сравнении конечной суммы моей модели и вашей.

А Вы уверены, что следующее поколение будет таким, каким Вы его себе представляете? Пару дней назад Вы писали про 3612, потом про 6500. И наверное Вы оба раза были уверены в собственной правоте. Пока я не указал Вам на 'нюансы'. Сейчас точно не ошибаетесь? :)

Кстати, скорость, с которой Вы отвечаете на мои посты убеждает меня, в том, что перед ответом Вы не пытались прочитать мануал по коммутаторам, которые рекомендовали. Даже после того, как я указал на тонкие места. Т.е. не пытались как инженер найти решение проблем (которое кстати может существовать т.к. я совсем не знаю D-Link). Это нетипично для того, кто называет себя практиком.

Всё нормально. Я уверен, что это осуществимо. Уверен, что уложусь примерно в озвученную сумму. Примерно прикинул как.

Дальше - мне за это не платят. Вы правы - я не читал мануал перед тем, как Вам ответить.

Если кто-то заинтересуется и захочет сделать себе подобное - найдёт и оборудование и мануалы. А если кто-то захочет, чтоб я ему сделал подобное - пусть пробует заинтересовать - тогда я буду читать мануалы и подбирать оборудование. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну в целом можно подвести итоги что нужно тому кто хочет зарабатывать деньги.

Очень важный вопрос где внедряются услуги....

Вот в частности наше состояние рынка, это полное отсутствие каких либо сетей и Диал-ап у 80 процентов пользователей. Конечно есть АДСЛ, но он слишком дорог.

Конечно абоненты будут рады любому более ли менее быстрому Интернету и локальным ресурсам, которых у нас сейчас попросту нет. Одним словом абоненту не важно, как я буду предлагать услуги, лишь бы он их получил.

И само собой если в России ( в частности Москве) при бурном развитии сетей, пользователь наверно понимает что VLAN на него одного это круто и так замечательно в плане безопасности, то моему пользователю наверно будет на данный вопрос положить, и ему точно не важно как лишь бы работало.

Но есть фактор того, что затраты начальные при дешевых схемах могут быть низкими, а вот их эксплуатация это нервное напряжение...нужна золотая середина.

Ну например если ставить на дом Медиа-конвертор и неуправляемый свитч, вроде бы дешево, но а если необходимо отключать абонента, то надо к нему идти и отключать физически, это потеря времени, при росте сети такаой вариант не подойдет. Да и потом, если даже путь оборудование в начале ставить не самое крутое, но я сторонник того, чтобы его можно было переносить на другие участки, т.е. моё мнение у всех абонентов разные требования, захотел сегодня абонент более крутой вариант. То какая проблема пусть платит и мы ставим.

В плане удобства для оператора я считаю что лучше всетаки ставить управляемые свитчи.

А вот что касается Влан на пользователя, то это уже при росте сети, можно конечно просто постепенно сменить активку, опять таки если будет необходимость.

И простите меня разве обычная изоляция портов, не обеспечивает безопасность при условии авторизации Мак+Айпи ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я c согласен, а какая по вашему самая дешевая схема для сети кол-ом абонентов не более 1000 ?

Vlan на дом и pppoe клиенту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

т.е. кроме виланов на пользователя ещё и pppoe городить?
именно, ради раздачи настроек, DHCP не предлагать, по многим причинам не катит, статика - тем более, остаётся PPPoE, возможно будущий стандарт "ip sessions" будет лучше PPPoE но пока его нет

Это чем же не угодил DHCP или даже статика?

И как Вы предлагаете маркировать траффик "вверх" в случае PPPoE?

Или на QoS на доступе/агрегации предлагаете вообще забить и решать его просто избыточной полосой???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я c согласен, а какая по вашему самая дешевая схема для сети кол-ом абонентов не более 1000 ?

Vlan на дом и pppoe клиенту.

и добавить изоляцию портов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вы идеальные условия не берите. Посмотрите километров 10-20 от Москвы. Там людям тоже Интернет нужен. А ещё дальше?
я счаз оказываю услуги и строю сети в 10-150 км от москвы и иду туда с московскими ценами и сервисами

 

Это чем же не угодил DHCP или даже статика?
1) Статика - попробуйте поработать с большой сеткой на статике, я пробовал, 18к абонентов, не понравилось, 98% времени call-центра занималось консультациями по настройке, кроме того иногда адреса в сегментиках кончались и приходилось их делить, а этио уже совсем геморрой, после этого опыта статику я даже в страшном сне не рассматриваю как основу

2) DHCP

а) Плохая утилизация адресного пространства - как тока начинаем раздавать реальники становится ужасающей проблемой особенно в свете ужесточившейся политики RIPE в части выделения адресного пространства с требованием утилизации не менее 80% уже имеющегося

б) Плохая авторизация, что Option 61, что Option 82

в) Отсутствие keepalive

г) Невозможность выдать подсеть, в отличие от PPPoE

д) 3 уровень работы а не 2-ой как у PPPoE - резко усложняет резервирование

е) Сложнее контролировать безопасность

ж) Очень затруднительно организовывать тестирование линии для правильной динамической настройки QoS

 

И как Вы предлагаете маркировать траффик "вверх" в случае PPPoE?

Или на QoS на доступе/агрегации предлагаете вообще забить и решать его просто избыточной полосой???

А это, пардон, задача CPE (Customer Premises Equipment) и никакой другой ноды и маркироваться траффик должен именно на нём, есть мнение что вообще скоро самым правильным способом строительства сетей станет наличие умного BSR, слегка умного DSLAM (что уж под ним ни понимать, хоть классический DSLAM, хоть L2 коммутатор, хоть ещё какую зверушку экзотичную) а между DSLAM'ом и BSR'ом голая оптика на CWDM'е - схема имеет ооочень низкий capex по сравнению с сетью построенной на l3-l2 свитчах. (Про технологии позволяющие CPE и BSR'у правильно учитывать реальную полосу пропускания читайте отдельно, например L2C, OAM)

По поводу избыточности полосы - хотите предоставлять действительно качественную услугу - будьте добры организовывать эту самую избыточность заранее, причём избыточность в разы иначе при начале предоставления "тяжёлых" сервисов ваша сеть ляжет, ибо то, чего достаточно для организации "доступа в интернет без гарантий" будет смехотворно мало для организации любого подвида VOD или IPTV

Ну в целом можно подвести итоги что нужно тому кто хочет зарабатывать деньги.
Золотые слова, инвестор всегда прав, и если он хочет подешевле, то стройте подешевле

 

И простите меня разве обычная изоляция портов, не обеспечивает безопасность при условии авторизации Мак+Айпи ?
Нет, ибо звери продолжают видеть друг друга на 2-ом уровне, а енто не есть гуд и оставляет кучу проблем с внутрисегментным взаимодействием, а во вторых лишает единой точки предоставления услуг - после ентого ищите в сети левые dhcp, vpn и pppoe сервера, proxy, боритесь с broadcast storm, внутрисетевым гулянием вирусов, ищите какие из зверей стали частями botnet'ов и тд и тп, схема vlan-per-user все эти проблемы решает сразу
Изменено пользователем derini

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это чем же не угодил DHCP или даже статика?
1) Статика - попробуйте поработать с большой сеткой на статике, я пробовал, 18к абонентов, не понравилось, 98% времени call-центра занималось консультациями по настройке, кроме того иногда адреса в сегментиках кончались и приходилось их делить, а этио уже совсем геморрой, после этого опыта статику я даже в страшном сне не рассматриваю как основу
Наверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?
2) DHCP

а) Плохая утилизация адресного пространства - как тока начинаем раздавать реальники становится ужасающей проблемой особенно в свете ужесточившейся политики RIPE в части выделения адресного пространства с требованием утилизации не менее 80% уже имеющегося

Да нормальная утилизация, такая же, как и с PPPoE...

Просто ни в коем случае не надо делать адреса динамическими, только статика, пробитая в договоре.

DHCP - это чтобы юзеру ничего настраивать не пришлось, если не умеет, и тот самый keepalive...

И с ISG хорошо стыкуется.

б) Плохая авторизация, что Option 61, что Option 82
Чего там авторизовывать? У клинта вилан прибит гвоздями, как и порт свитча и сабинтерфейс на BSR!
в) Отсутствие keepalive
Как это? Время аренды и arp timeout никто не отменял...
г) Невозможность выдать подсеть, в отличие от PPPoE
Физикам? подсеть??? Зачем? Или у Вас и юрики на PPPoE?
д) 3 уровень работы а не 2-ой как у PPPoE - резко усложняет резервирование
ХМ. Ну да. Вместо двух обычных железок надо поставить одну, задублированную...
е) Сложнее контролировать безопасность
В свете "вилан на юзера" - вообще нектуально, безопасность контролируется дизайном.

 

И как Вы предлагаете маркировать траффик "вверх" в случае PPPoE?

Или на QoS на доступе/агрегации предлагаете вообще забить и решать его просто избыточной полосой???

А это, пардон, задача CPE (Customer Premises Equipment)
ВиднО сильное влияние традиционного телекома, с ADSL, PPPoE, CPE и т.п.

Нет этого в Ethernet-сетях, нету. По мере движения к триппер-плею не исключаю что будет. А пока CPE - это клиентский комп, и точка предоставления услуги - порт в свитче доступа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?
бр...подумали что сказали? в броадкастах захлебнётесь милейший....

 

 

Да нормальная утилизация, такая же, как и с PPPoE...

Просто ни в коем случае не надо делать адреса динамическими, только статика, пробитая в договоре.

DHCP - это чтобы юзеру ничего настраивать не пришлось, если не умеет, и тот самый keepalive...

И с ISG хорошо стыкуется.

раздали вы сетку /22 например своим способом, RIPE решил проверить утилизацию пространства, увидел что большая часть адресов не отзывается ибо компы у народа повыключены и возложил на ваш запрос о выделении следующего куска адресов, прецедентов полно с такой причиной отказа

 

 

Чего там авторизовывать? У клинта вилан прибит гвоздями, как и порт свитча и сабинтерфейс на BSR!
Мух с котлетами спутали, предложили на точке дистрибуции услуг знать данные о том как настроено оборудование, а не кто и как подключён, кроме того как вы думаете, в DSLF сидят дураки и они ip sessions просто так разрабатывают, от того что DHCP весь такой удобный и практичный и идеальный и ничё кроме него не канает? =)

 

Как это? Время аренды и arp timeout никто не отменял...
Опять путаем мух и котлеты - время аренды это время на которое мы зарезервировали адрес за пользователем, а не время пока он фактически работает, а для arp timeout - стоит у мну машинка, никаких пакетов не посылает, вот вам и arp-timeout хотя всё подключено, просто тупо стоит и ни единой датаграммы в канал не шлёт. Ровно по этому поводу в ip sessions собираются внедрить BFD.

 

 

Физикам? подсеть??? Зачем? Или у Вас и юрики на PPPoE?
все на PPPoE, ещё не хватало разные способы авторизации плодить, да и физики уже частенько встречаются у которых не один терминал. Способ дистрибуции услуги должен быть един иначе сразу получаем проблемы с масштабируемостью и резко повышается опекс

 

 

В свете "вилан на юзера" - вообще нектуально, безопасность контролируется дизайном.
ну не совсем так....под словом "безопасность" в данном случае надо понимать следующее - "максимально возможное снижение рисков подключения к сети для любого пользователя независимо от типа терминала, настройки терминала и квалификации пользователя" и "максимально возможное снижение рисков для сети от подключения любого пользователя", так что тут не только дизайн но и большой комплекс работ по внедрению и эксплуатации соответствующего оборудования

 

 

ВиднО сильное влияние традиционного телекома, с ADSL, PPPoE, CPE и т.п.

Нет этого в Ethernet-сетях, нету. По мере движения к триппер-плею не исключаю что будет. А пока CPE - это клиентский комп, и точка предоставления услуги - порт в свитче доступа.

Во, золотые слова, особенно "По мере движения к триппер-плею не исключаю что будет", вот я сразу серьёзные сети и строю, а не пионернет, который потом перестравивать придётся, и сразу кроме инета предоставляю VoIP и IPTV

 

P.S. с классическим ADSL никогда не работал, всю жизнь на ethernet сетях живу.

P.P.S. Не утверждаю что PPPoE идеал, просто на данный момент ничего лучшего не придумано, с нетерпением жду лета когда выйдет ip sessions, который должен объеденить лучшие свойства DHCP и PPPoE

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?
бр...подумали что сказали? в броадкастах захлебнётесь милейший....
Какие броадкасты при "вилан на юзера"???

 

Да нормальная утилизация, такая же, как и с PPPoE...

Просто ни в коем случае не надо делать адреса динамическими, только статика, пробитая в договоре.

DHCP - это чтобы юзеру ничего настраивать не пришлось, если не умеет, и тот самый keepalive...

И с ISG хорошо стыкуется.

раздали вы сетку /22 например своим способом, RIPE решил проверить утилизацию пространства, увидел что большая часть адресов не отзывается ибо компы у народа повыключены и возложил на ваш запрос о выделении следующего куска адресов, прецедентов полно с такой причиной отказа
БРЕД. Вы клиентские компы не пробовали опрашивать? Ведь ни один не отзовётся, т.к. файрволл уже по-умолчанию включен. И что там проверять?

RIPE-организация чисто бюрократическая, и ничего технического проверять не могут.

Я так раздал уже /17. Попросили сделать статистику использования адресов. Сделал - их всё удовлетворило.

Нет тут никакой разницы, PPPoE на реальных адресах, или IPoE...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?
бр...подумали что сказали? в броадкастах захлебнётесь милейший....
Какие броадкасты при "вилан на юзера"???

уфф..., судя по всему друг друга не поняли, я уж испугался что было предложено на статике делать l2 сегменты на 16-32к пользователей

Да нормальная утилизация, такая же, как и с PPPoE...

Просто ни в коем случае не надо делать адреса динамическими, только статика, пробитая в договоре.

DHCP - это чтобы юзеру ничего настраивать не пришлось, если не умеет, и тот самый keepalive...

И с ISG хорошо стыкуется.

раздали вы сетку /22 например своим способом, RIPE решил проверить утилизацию пространства, увидел что большая часть адресов не отзывается ибо компы у народа повыключены и возложил на ваш запрос о выделении следующего куска адресов, прецедентов полно с такой причиной отказа
БРЕД. Вы клиентские компы не пробовали опрашивать? Ведь ни один не отзовётся, т.к. файрволл уже по-умолчанию включен. И что там проверять?

RIPE-организация чисто бюрократическая, и ничего технического проверять не могут.

Я так раздал уже /17. Попросили сделать статистику использования адресов. Сделал - их всё удовлетворило.

Нет тут никакой разницы, PPPoE на реальных адресах, или IPoE...

а вот я знаю случаи что уже отказывают, они счаз стали требовать чтобы в уже выделенных блоках утилизация была не менее 80% перед выделением следующего блока и даже требуют план на предполагаемые сроки освоения с обоснованием почему этот блок надо выделить

 

 

а терь таки резюме, дабы наша дискуссия не перешла в стадию религиозного спора: PPPoE + vlan-per-user благо ибо:

 

а) Все атрибуты пользователя это логин+пароль, и никаких более

б) настройка абонентского терминала почти автоматическая

в) заранее, на стадии дизайна сети, решается большой класс секурити проблем

г) имеем единую точку дистрибуции и учёта услуг

д) имеем практически неоганиченно масштабируемую систему

е) низкий опекс

 

PPPoE+vlan-per-user зло ибо:

а) высокий капекс

б) Некоторое снижение пропускной способности канала зверя

в) Тебуется высокая квалификация инженерного персонала

 

 

терь глядя на вышеописанное имеем, если цель инвестора, как говорится, быстро "отбить бабки" и продать сетку на сторону - схема невыгодна, если цель, построить и эксплуатировать сеть в течение длительного времени в расчёте на её развитие до большого числа абонентов - схема становится весьма привлекательна при готовности инвестора вложить в сеть много денег ещё на стадии проектирования и строительства

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не надо юриков на PPPoE, не надо...

Физиков еще можно, если дизайн такой выбран.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а вот я знаю случаи что уже отказывают, они счаз стали требовать чтобы в уже выделенных блоках утилизация была не менее 80% перед выделением следующего блока и даже требуют план на предполагаемые сроки освоения с обоснованием почему этот блок надо выделить
Ну, скоро очередная сетка кончится, вот и посмотрим, надо им утилизацию по активности юзеров или достаточно по количеству. :)

На самом деле - разницы нет, статические адреса или динамические. Если динамические - то надо иметь адресов до 80% от количества активных договорв, а при таком запасе уже можно требовать ещё одну сетку. Обсуждалось это уже на этом форуме.

 

а терь таки резюме, дабы наша дискуссия не перешла в стадию религиозного спора: PPPoE + vlan-per-user благо ибо:

 

а) Все атрибуты пользователя это логин+пароль, и никаких более

б) настройка абонентского терминала почти автоматическая

в) заранее, на стадии дизайна сети, решается большой класс секурити проблем

г) имеем единую точку дистрибуции и учёта услуг

д) имеем практически неоганиченно масштабируемую систему

е) низкий опекс

 

PPPoE+vlan-per-user зло ибо:

а) высокий капекс

б) Некоторое снижение пропускной способности канала зверя

в) Тебуется высокая квалификация инженерного персонала

 

 

терь глядя на вышеописанное имеем, если цель инвестора, как говорится, быстро "отбить бабки" и продать сетку на сторону - схема невыгодна, если цель, построить и эксплуатировать сеть в течение длительного времени в расчёте на её развитие до большого числа абонентов - схема становится весьма привлекательна при готовности инвестора вложить в сеть много денег ещё на стадии проектирования и строительства

:)

А теперь посмотрим на схему IPoE+DHCP+vlan-per-user. Учитывая, что пункты в,г,д имеют место быть и здесь при аналогичном дизайне.

Все плюсы сохраняются, и добавляется ещё несколько:

а) логин и пароль не имеют значения для предоставления услуг, максимум - для доступа к биллингу.

б) настройка абонентского терминала полностью автоматическая.

ж) свитчи доступа могут классифицировать трафик "от пользователя", плюс могут решить вопросы с первичной фильтрацией трафика при унифицированной настройке. Ну, если свитчи слегка поумнее чем DES-2108. :)

И из минусов вычёркивается пункт б, IPoE не имеет дополнительных накладных расходов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

:)

А теперь посмотрим на схему IPoE+DHCP+vlan-per-user. Учитывая, что пункты в,г,д имеют место быть и здесь при аналогичном дизайне.

Все плюсы сохраняются, и добавляется ещё несколько:

а) логин и пароль не имеют значения для предоставления услуг, максимум - для доступа к биллингу.

б) настройка абонентского терминала полностью автоматическая.

ж) свитчи доступа могут классифицировать трафик "от пользователя", плюс могут решить вопросы с первичной фильтрацией трафика при унифицированной настройке. Ну, если свитчи слегка поумнее чем DES-2108. :)

И из минусов вычёркивается пункт б, IPoE не имеет дополнительных накладных расходов.

а) преимущество кажущееся, вы аутентифицируете не абонента а своё оборудование и это плохо, это идеологически неправильно и повышает опекс

б) согласен, это плюс, но актуально только в случае фтыкания кабеля непосредственно в комп абонента, мы от этого уже отказались

ж) неправильная мысль, она кажется хорошей тока пока сеть маленькая, на большой сети выгодно поднимать функции фильтрации и IDP (вплоть до оганизации statefull firewall и IDP 2-7 level) в ядро сети на уровень аггрегации кастомерских вланов, так оно дешевле выходит при большой сети, например, сэкономив на узлах доступа по 100 баксов (учитываем не только стоимость железок но и опекс на их обслуживание и настройку), на сети из 1000 узлов доступа имеем возможность на эти денюжки прикупить серьёзный IDP (да ещё и останется средствов на что нить ещё в загашнике) и сканировать весь траффик аж вплоть до 7-го уровня буде захотим и резать потоки содержащие всяку каку (автоматом решает проблемы с ботнетами, спамерами, завирусованными абонентами, малолетними кулхацкерами и тд и тп) да ещё имеем в качестве бонуса централизованную базу инцидентов в сети, мы, например, счаз дописываем модуль который на основании данных от IDP поизводит автоматическое информиование зверей о том что у них на компе вирусня/бэкдоры/запчасти-ботнетов живут и инфомирование инженерного состава о попытках DoS/DDoS, bruteforce атаках и тд и тп.

 

ну и IPoE - тут дело даже не в накладных расходах, их то как раз копейки, а в хреновой реализации PPPoE в CPE - не видел пока ни одной железки (промышленные a la AT-AR-xxx не рассматриваю, они то каэшн без проблем справляются) которая на PPPoE дала бы поток выше 65-70 мегабит при средненькой фрагментации траффика (в районе 256-512 байт на пакет в среднем), вот это дейтсивтельно не гуд, потому и жду пока выпустят ip sessions ибо они будут лишены этого недостатка, ибо там инкапсулирования не планируется

 

 

Опять же продвигаю в головы некую тезу - инвестор всегда прав, он нам работу даёт, если он хочет подешевле и у него нет долговременных планов по развитию сети то мой вариант не катит, он очень затратен в начале (одни затраты на приличный BSR могут некоторых "инвесторов" до инфаркта довести, не говоря уже о затратах на приличный NAT, Firewall и IDP), если он готов вкладываться и ждать окупаемости в течение 2-3 лет и ожидается большая сеть, тогда самое то PPPoE + vlan-per-user - идеологически всё ж таки самый правильный вариант, но имеет очень высокий капекс

 

 

 

Я c согласен, а какая по вашему самая дешевая схема для сети кол-ом абонентов не более 1000 ?
при условии что не планируется дальнейшее развитие сети и резкое увеличение числа зверей, то:

Vlan на дом, изоляция портов + DHCP + PPPoE/PPTP/L2TP

централизованные с резевированием дехацепатор, dns и PPPoE/PPTP/L2TP аггрегатор на базе FreeBSD, все узлы доступа сводить на одну железку L3+ уровня (a la AT-9924SP) которая будет DHCP и DNS релеем, ну и ещё один сервак для BGP и NAT

Изменено пользователем derini

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а) преимущество кажущееся, вы аутентифицируете не абонента а своё оборудование и это плохо, это идеологически неправильно и повышает опекс
Вот это не понял. Я ничего не аутентифицирую: вот он, клиентский вилан, в нём клиент, вот его IP. Не надо тут ничего аутентифицировать.

С точки зрения безопасности - да как в телефонии, можно только подключиться в абонентский кабель, что легко отслеживается и известно что с этим делать распоследнему оперу, ибо улики совершенно вещественные.

б) согласен, это плюс, но актуально только в случае фтыкания кабеля непосредственно в комп абонента, мы от этого уже отказались
А мы не можем отказаться. CPE - это лишние 30-50 баксов на абонента, их придётся заплатить из своей прибыли, т.к. ARPU от этой коробочки не зависит.
ж) неправильная мысль, она кажется хорошей тока пока сеть маленькая, на большой сети выгодно поднимать функции фильтрации и IDP (вплоть до оганизации statefull firewall и IDP 2-7 level) в ядро сети на уровень аггрегации кастомерских вланов, так оно дешевле выходит при большой сети, например, сэкономив на узлах доступа по 100 баксов (учитываем не только стоимость железок но и опекс на их обслуживание и настройку), на сети из 1000 узлов доступа имеем возможность на эти денюжки прикупить серьёзный IDP (да ещё и останется средствов на что нить ещё в загашнике) и сканировать весь траффик аж вплоть до 7-го уровня буде захотим и резать потоки содержащие всяку каку (автоматом решает проблемы с ботнетами, спамерами, завирусованными абонентами, малолетними кулхацкерами и тд и тп) да ещё имеем в качестве бонуса централизованную базу инцидентов в сети, мы, например, счаз дописываем модуль который на основании данных от IDP поизводит автоматическое информиование зверей о том что у них на компе вирусня/бэкдоры/запчасти-ботнетов живут и инфомирование инженерного состава о попытках DoS/DDoS, bruteforce атаках и тд и тп.
Первичная фильтрация никоим образом не отрицает продвинутую фильтрацию на агрегации и в ядре.

Да и 16-24 портовые свитчи уже обычно слегка поумнее 2108, умеют не только виланы.

ну и IPoE - тут дело даже не в накладных расходах, их то как раз копейки, а в хреновой реализации PPPoE в CPE - не видел пока ни одной железки (промышленные a la AT-AR-xxx не рассматриваю, они то каэшн без проблем справляются) которая на PPPoE дала бы поток выше 65-70 мегабит при средненькой фрагментации траффика (в районе 256-512 байт на пакет в среднем), вот это дейтсивтельно не гуд, потому и жду пока выпустят ip sessions ибо они будут лишены этого недостатка, ибо там инкапсулирования не планируется
Ну да, для PPPoE нужен процессор. А вот попробуйте IPoE и свитч в качестве CPE, например DIR-100 - тут и все 100 мегабит выжать можно. :)
Опять же продвигаю в головы некую тезу - инвестор всегда прав, он нам работу даёт, если он хочет подешевле и у него нет долговременных планов по развитию сети то мой вариант не катит, он очень затратен в начале (одни затраты на приличный BSR могут некоторых "инвесторов" до инфаркта довести, не говоря уже о затратах на приличный NAT, Firewall и IDP), если он готов вкладываться и ждать окупаемости в течение 2-3 лет и ожидается большая сеть, тогда самое то PPPoE + vlan-per-user - идеологически всё ж таки самый правильный вариант, но имеет очень высокий капекс
Кстати, приличный BSR сразу покупать совершенно необязательно, тем более в случае PPPoE.

Да и покупать оборудование "на вырост" - глупость, оно очень быстро устаревает морально.

Можно начать с одного 7206/NPE-G2. Потом добавить ещё один, потом ещё. Как дойдёт до штук 8-10 - заменить на ESR, освободившиеся продать. :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот это не понял. Я ничего не аутентифицирую: вот он, клиентский вилан, в нём клиент, вот его IP. Не надо тут ничего аутентифицировать.

С точки зрения безопасности - да как в телефонии, можно только подключиться в абонентский кабель, что легко отслеживается и известно что с этим делать распоследнему оперу, ибо улики совершенно вещественные.

вот о том то и речь что зверя не аутентифицируем

 

Кстати, приличный BSR сразу покупать совершенно необязательно, тем более в случае PPPoE.

Да и покупать оборудование "на вырост" - глупость, оно очень быстро устаревает морально.

Можно начать с одного 7206/NPE-G2. Потом добавить ещё один, потом ещё. Как дойдёт до штук 8-10 - заменить на ESR, освободившиеся продать. :)))

тьфу-тьфу....бог миловал, мы сразу нормальное покупаем, тем более что у мну стойкая нелюбовь к кошкам

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?
бр...подумали что сказали? в броадкастах захлебнётесь милейший....
Какие броадкасты при "вилан на юзера"???

А что с этими виланами потом происходит? Вы их бриджуете? Тогда бродкасты будут. Вы между ними маршрутизируете? Тогда какой же это "сегментик"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я так понимаю, что при схеме с IPoE/VLAN, ip-unnumbered и /32 на клиенте с дефолт-раутом на интерфейс, весь броадкаст закончится где-то в районе клиентского локалхоста.

Изменено пользователем mikevlz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но если /32, что означает "сегментик на 16-32К юзеров"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про сегментик я тоже не понял, но поскольку речь шла о нехватке или избытке адресов, да ещё и их перебрасывании - решил, что это об узле, на котором терминируются юзеры. На что сказал, что не надо мельчить узлы. Один узел на 16К-32К юзеров - в самый раз...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот о том то и речь что зверя не аутентифицируем
А зачем (с)?

Телефонисты вон, сто лет не аути..это самое. ;-) И ничего, живут...

 

тьфу-тьфу....бог миловал, мы сразу нормальное покупаем,
Гхм... И это в кризис... :-) Только позавидовать, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.