kapa Опубликовано 23 октября, 2008 · Жалоба бр....как всегда народ не думает про умное слово "opex" - посчитайте во что обойдётся эскплуатация вашей схемы с кучей длинков и поймёте что она выгодна пока сеть маленькая, а с нормальным оборудованием аля erx310/e120 и единой точкой предоставления услуги при увеличении количества абонентов "opex" не растут, а вот с длинками или чем то другим ой-ой....маленькая это сколько? терь собсно по поводу сабжа - схема vlan per user есть идеологически правильная, ибо резко повышает секурити, вопрос по поводу как ея конфигурить - на днях собсно представители из джунипера активно продвигали идею о статической конфигурации вланов на всём оборудовании "ниже" браса и терминировать их на брасе, а собсно автоизацию и настройки раздавать через pppoe - по их мнению такая схема наиболее проста в обслуживании и, в принципе, я с ними даже согласный в ентом вопросе, кроме того такая схема резко упрощает сбор статистики и снимает все вопросы по поводу блокировок/разблокировок абонентат.е. кроме виланов на пользователя ещё и pppoe городить? О_о вопрос по поводу отслеживания атак и прочая и прочая:1) во первых схема vlan per user большую часть таких проблем решает сам по себе 2) не смешивайте мух с котлетами - firewall и idp не есть функция узлов доступа (будь то dslam, обычный l2 коммутатор или что-то ещё) или точек дистрибуции услуг, для этого делаются отдельные серьёзные и не очень решения 3) приличную часть решения таких поблем можно по первости возложить прямо на тот же erx310/e120 пока не дорастёте до большого idp - ибо в части policy и всякой фильтрации железки тоже очень могучие, по крайней мере таких иерархических структур которые мона городить на джунипере ещё поискать надо где в принципе можно сделать я знаю кто и что может делать. я не теоретик, а практик. если кто предложит поосваивать бюджет в несколько сотен тысяч долларов - я не откажусь и куплю и джунипер и ещё кучу железок. а если задача стоит не освоить бюджет, а сделать рабочую схему и при этом сэкономить хорошую БМВ, то почему бы и нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 23 октября, 2008 · Жалоба Уф. Сколько можно? Кредитов нет, кризис... Конкурентов с большими деньгами, скорее всего, не будет. Практически второй шанс. Берите любую дешевую схему, и стройте... Лишь бы прибыль приносило не через 3 года, а сразу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
derini Опубликовано 23 октября, 2008 (изменено) · Жалоба маленькая это сколько?это то что до 10к зверей, а на меньшее количество vlan-per-user не нужен имхо, там проще проблемы секурити решать другими способами т.е. кроме виланов на пользователя ещё и pppoe городить?именно, ради раздачи настроек, DHCP не предлагать, по многим причинам не катит, статика - тем более, остаётся PPPoE, возможно будущий стандарт "ip sessions" будет лучше PPPoE но пока его нет я не теоретик, а практик. если кто предложит поосваивать бюджет в несколько сотен тысяч долларов - я не откажусь и куплю и джунипер и ещё кучу железок. а если задача стоит не освоить бюджет, а сделать рабочую схему и при этом сэкономить хорошую БМВ, то почему бы и нет? я тоже практик и в телекоме слава богу поболе 10 лет работаю, так что все енти схемы пионернета уже пережил на собственной практике Уф. Сколько можно? Кредитов нет, кризис... Конкурентов с большими деньгами, скорее всего, не будет. Практически второй шанс. Берите любую дешевую схему, и стройте... Лишь бы прибыль приносило не через 3 года, а сразу. я видимо исключение - инвестор есть и бюджет поболе озвученной выше суммы будет, а кроме того если нет бюджета на развитие - нефиг пытаться городить что либо сложнее dhcp+vpn, там хотя бы на дешёвом гуано можно построить более-менее работающую сеть. А про дешёвые схемы - надоело через пару лет после запуска сети разгребать кучу проблем, из-за того что в начале кому то хотелось сэкономить и построить всё "подешевле" Изменено 23 октября, 2008 пользователем derini Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 23 октября, 2008 · Жалоба Это в предложенной вами схеме нужно ограничивать локальный трафик, а в моей - он никак не влияет на предоставление доступа в Интернет. Пусть себе крутится и радует абонентов.Это вопрос скорее религиозный. :) Я считаю, что услуга с низким ARPU (локалка) не должна мешать получать другим абонентам услугу с высоким ARPU (интренет). Поэтому у меня она через BRAS и лимитируется. Ну что вы привязались к конкретным моделям оборудования? Я примерно прикидывал. Это-же технический форум, или уже нет? :) Если у неё нет возможности делать 1 ACL на диапазон портов, то я куплю следующее поколение, которое умеет и обойдётся оно на 15-20% дороже. Что всё равно сильно дела не меняет при сравнении конечной суммы моей модели и вашей. А Вы уверены, что следующее поколение будет таким, каким Вы его себе представляете? Пару дней назад Вы писали про 3612, потом про 6500. И наверное Вы оба раза были уверены в собственной правоте. Пока я не указал Вам на 'нюансы'. Сейчас точно не ошибаетесь? :) Кстати, скорость, с которой Вы отвечаете на мои посты убеждает меня, в том, что перед ответом Вы не пытались прочитать мануал по коммутаторам, которые рекомендовали. Даже после того, как я указал на тонкие места. Т.е. не пытались как инженер найти решение проблем (которое кстати может существовать т.к. я совсем не знаю D-Link). Это нетипично для того, кто называет себя практиком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 23 октября, 2008 · Жалоба Уф. Сколько можно? Кредитов нет, кризис... Конкурентов с большими деньгами, скорее всего, не будет. Практически второй шанс. Берите любую дешевую схему, и стройте... Лишь бы прибыль приносило не через 3 года, а сразу. Я c согласен, а какая по вашему самая дешевая схема для сети кол-ом абонентов не более 1000 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 23 октября, 2008 · Жалоба я видимо исключение - инвестор есть и бюджет поболе озвученной выше суммы будет, а кроме того если нет бюджета на развитие - нефиг пытаться городить что либо сложнее dhcp+vpn, там хотя бы на дешёвом гуано можно построить более-менее работающую сеть. А про дешёвые схемы - надоело через пару лет после запуска сети разгребать кучу проблем, из-за того что в начале кому то хотелось сэкономить и построить всё "подешевле" Ну вы идеальные условия не берите. Посмотрите километров 10-20 от Москвы. Там людям тоже Интернет нужен. А ещё дальше? Это в предложенной вами схеме нужно ограничивать локальный трафик, а в моей - он никак не влияет на предоставление доступа в Интернет. Пусть себе крутится и радует абонентов.Это вопрос скорее религиозный. :) Я считаю, что услуга с низким ARPU (локалка) не должна мешать получать другим абонентам услугу с высоким ARPU (интренет). Поэтому у меня она через BRAS и лимитируется. Да локалка вообще может не приносить денег в чистом виде, а быть конкурентным преимуществом, поэтому арпу сравнивать тут не вполне корректно.А насчёт того, что она мешает получать услугу - так кос. Ну что вы привязались к конкретным моделям оборудования? Я примерно прикидывал. Это-же технический форум, или уже нет? :) Если у неё нет возможности делать 1 ACL на диапазон портов, то я куплю следующее поколение, которое умеет и обойдётся оно на 15-20% дороже. Что всё равно сильно дела не меняет при сравнении конечной суммы моей модели и вашей. А Вы уверены, что следующее поколение будет таким, каким Вы его себе представляете? Пару дней назад Вы писали про 3612, потом про 6500. И наверное Вы оба раза были уверены в собственной правоте. Пока я не указал Вам на 'нюансы'. Сейчас точно не ошибаетесь? :) Кстати, скорость, с которой Вы отвечаете на мои посты убеждает меня, в том, что перед ответом Вы не пытались прочитать мануал по коммутаторам, которые рекомендовали. Даже после того, как я указал на тонкие места. Т.е. не пытались как инженер найти решение проблем (которое кстати может существовать т.к. я совсем не знаю D-Link). Это нетипично для того, кто называет себя практиком. Всё нормально. Я уверен, что это осуществимо. Уверен, что уложусь примерно в озвученную сумму. Примерно прикинул как.Дальше - мне за это не платят. Вы правы - я не читал мануал перед тем, как Вам ответить. Если кто-то заинтересуется и захочет сделать себе подобное - найдёт и оборудование и мануалы. А если кто-то захочет, чтоб я ему сделал подобное - пусть пробует заинтересовать - тогда я буду читать мануалы и подбирать оборудование. ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 23 октября, 2008 · Жалоба Ну в целом можно подвести итоги что нужно тому кто хочет зарабатывать деньги. Очень важный вопрос где внедряются услуги.... Вот в частности наше состояние рынка, это полное отсутствие каких либо сетей и Диал-ап у 80 процентов пользователей. Конечно есть АДСЛ, но он слишком дорог. Конечно абоненты будут рады любому более ли менее быстрому Интернету и локальным ресурсам, которых у нас сейчас попросту нет. Одним словом абоненту не важно, как я буду предлагать услуги, лишь бы он их получил. И само собой если в России ( в частности Москве) при бурном развитии сетей, пользователь наверно понимает что VLAN на него одного это круто и так замечательно в плане безопасности, то моему пользователю наверно будет на данный вопрос положить, и ему точно не важно как лишь бы работало. Но есть фактор того, что затраты начальные при дешевых схемах могут быть низкими, а вот их эксплуатация это нервное напряжение...нужна золотая середина. Ну например если ставить на дом Медиа-конвертор и неуправляемый свитч, вроде бы дешево, но а если необходимо отключать абонента, то надо к нему идти и отключать физически, это потеря времени, при росте сети такаой вариант не подойдет. Да и потом, если даже путь оборудование в начале ставить не самое крутое, но я сторонник того, чтобы его можно было переносить на другие участки, т.е. моё мнение у всех абонентов разные требования, захотел сегодня абонент более крутой вариант. То какая проблема пусть платит и мы ставим. В плане удобства для оператора я считаю что лучше всетаки ставить управляемые свитчи. А вот что касается Влан на пользователя, то это уже при росте сети, можно конечно просто постепенно сменить активку, опять таки если будет необходимость. И простите меня разве обычная изоляция портов, не обеспечивает безопасность при условии авторизации Мак+Айпи ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 23 октября, 2008 · Жалоба Я c согласен, а какая по вашему самая дешевая схема для сети кол-ом абонентов не более 1000 ? Vlan на дом и pppoe клиенту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 24 октября, 2008 · Жалоба т.е. кроме виланов на пользователя ещё и pppoe городить?именно, ради раздачи настроек, DHCP не предлагать, по многим причинам не катит, статика - тем более, остаётся PPPoE, возможно будущий стандарт "ip sessions" будет лучше PPPoE но пока его нет Это чем же не угодил DHCP или даже статика?И как Вы предлагаете маркировать траффик "вверх" в случае PPPoE? Или на QoS на доступе/агрегации предлагаете вообще забить и решать его просто избыточной полосой??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 24 октября, 2008 · Жалоба Я c согласен, а какая по вашему самая дешевая схема для сети кол-ом абонентов не более 1000 ? Vlan на дом и pppoe клиенту. и добавить изоляцию портов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
derini Опубликовано 24 октября, 2008 (изменено) · Жалоба Ну вы идеальные условия не берите. Посмотрите километров 10-20 от Москвы. Там людям тоже Интернет нужен. А ещё дальше?я счаз оказываю услуги и строю сети в 10-150 км от москвы и иду туда с московскими ценами и сервисами Это чем же не угодил DHCP или даже статика?1) Статика - попробуйте поработать с большой сеткой на статике, я пробовал, 18к абонентов, не понравилось, 98% времени call-центра занималось консультациями по настройке, кроме того иногда адреса в сегментиках кончались и приходилось их делить, а этио уже совсем геморрой, после этого опыта статику я даже в страшном сне не рассматриваю как основу2) DHCP а) Плохая утилизация адресного пространства - как тока начинаем раздавать реальники становится ужасающей проблемой особенно в свете ужесточившейся политики RIPE в части выделения адресного пространства с требованием утилизации не менее 80% уже имеющегося б) Плохая авторизация, что Option 61, что Option 82 в) Отсутствие keepalive г) Невозможность выдать подсеть, в отличие от PPPoE д) 3 уровень работы а не 2-ой как у PPPoE - резко усложняет резервирование е) Сложнее контролировать безопасность ж) Очень затруднительно организовывать тестирование линии для правильной динамической настройки QoS И как Вы предлагаете маркировать траффик "вверх" в случае PPPoE?Или на QoS на доступе/агрегации предлагаете вообще забить и решать его просто избыточной полосой??? А это, пардон, задача CPE (Customer Premises Equipment) и никакой другой ноды и маркироваться траффик должен именно на нём, есть мнение что вообще скоро самым правильным способом строительства сетей станет наличие умного BSR, слегка умного DSLAM (что уж под ним ни понимать, хоть классический DSLAM, хоть L2 коммутатор, хоть ещё какую зверушку экзотичную) а между DSLAM'ом и BSR'ом голая оптика на CWDM'е - схема имеет ооочень низкий capex по сравнению с сетью построенной на l3-l2 свитчах. (Про технологии позволяющие CPE и BSR'у правильно учитывать реальную полосу пропускания читайте отдельно, например L2C, OAM) По поводу избыточности полосы - хотите предоставлять действительно качественную услугу - будьте добры организовывать эту самую избыточность заранее, причём избыточность в разы иначе при начале предоставления "тяжёлых" сервисов ваша сеть ляжет, ибо то, чего достаточно для организации "доступа в интернет без гарантий" будет смехотворно мало для организации любого подвида VOD или IPTV Ну в целом можно подвести итоги что нужно тому кто хочет зарабатывать деньги.Золотые слова, инвестор всегда прав, и если он хочет подешевле, то стройте подешевле И простите меня разве обычная изоляция портов, не обеспечивает безопасность при условии авторизации Мак+Айпи ?Нет, ибо звери продолжают видеть друг друга на 2-ом уровне, а енто не есть гуд и оставляет кучу проблем с внутрисегментным взаимодействием, а во вторых лишает единой точки предоставления услуг - после ентого ищите в сети левые dhcp, vpn и pppoe сервера, proxy, боритесь с broadcast storm, внутрисетевым гулянием вирусов, ищите какие из зверей стали частями botnet'ов и тд и тп, схема vlan-per-user все эти проблемы решает сразу Изменено 24 октября, 2008 пользователем derini Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 24 октября, 2008 · Жалоба Это чем же не угодил DHCP или даже статика?1) Статика - попробуйте поработать с большой сеткой на статике, я пробовал, 18к абонентов, не понравилось, 98% времени call-центра занималось консультациями по настройке, кроме того иногда адреса в сегментиках кончались и приходилось их делить, а этио уже совсем геморрой, после этого опыта статику я даже в страшном сне не рассматриваю как основуНаверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?2) DHCPа) Плохая утилизация адресного пространства - как тока начинаем раздавать реальники становится ужасающей проблемой особенно в свете ужесточившейся политики RIPE в части выделения адресного пространства с требованием утилизации не менее 80% уже имеющегося Да нормальная утилизация, такая же, как и с PPPoE...Просто ни в коем случае не надо делать адреса динамическими, только статика, пробитая в договоре. DHCP - это чтобы юзеру ничего настраивать не пришлось, если не умеет, и тот самый keepalive... И с ISG хорошо стыкуется. б) Плохая авторизация, что Option 61, что Option 82Чего там авторизовывать? У клинта вилан прибит гвоздями, как и порт свитча и сабинтерфейс на BSR!в) Отсутствие keepaliveКак это? Время аренды и arp timeout никто не отменял...г) Невозможность выдать подсеть, в отличие от PPPoEФизикам? подсеть??? Зачем? Или у Вас и юрики на PPPoE?д) 3 уровень работы а не 2-ой как у PPPoE - резко усложняет резервированиеХМ. Ну да. Вместо двух обычных железок надо поставить одну, задублированную...е) Сложнее контролировать безопасностьВ свете "вилан на юзера" - вообще нектуально, безопасность контролируется дизайном. И как Вы предлагаете маркировать траффик "вверх" в случае PPPoE?Или на QoS на доступе/агрегации предлагаете вообще забить и решать его просто избыточной полосой??? А это, пардон, задача CPE (Customer Premises Equipment)ВиднО сильное влияние традиционного телекома, с ADSL, PPPoE, CPE и т.п.Нет этого в Ethernet-сетях, нету. По мере движения к триппер-плею не исключаю что будет. А пока CPE - это клиентский комп, и точка предоставления услуги - порт в свитче доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
derini Опубликовано 24 октября, 2008 · Жалоба Наверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?бр...подумали что сказали? в броадкастах захлебнётесь милейший.... Да нормальная утилизация, такая же, как и с PPPoE...Просто ни в коем случае не надо делать адреса динамическими, только статика, пробитая в договоре. DHCP - это чтобы юзеру ничего настраивать не пришлось, если не умеет, и тот самый keepalive... И с ISG хорошо стыкуется. раздали вы сетку /22 например своим способом, RIPE решил проверить утилизацию пространства, увидел что большая часть адресов не отзывается ибо компы у народа повыключены и возложил на ваш запрос о выделении следующего куска адресов, прецедентов полно с такой причиной отказа Чего там авторизовывать? У клинта вилан прибит гвоздями, как и порт свитча и сабинтерфейс на BSR!Мух с котлетами спутали, предложили на точке дистрибуции услуг знать данные о том как настроено оборудование, а не кто и как подключён, кроме того как вы думаете, в DSLF сидят дураки и они ip sessions просто так разрабатывают, от того что DHCP весь такой удобный и практичный и идеальный и ничё кроме него не канает? =) Как это? Время аренды и arp timeout никто не отменял...Опять путаем мух и котлеты - время аренды это время на которое мы зарезервировали адрес за пользователем, а не время пока он фактически работает, а для arp timeout - стоит у мну машинка, никаких пакетов не посылает, вот вам и arp-timeout хотя всё подключено, просто тупо стоит и ни единой датаграммы в канал не шлёт. Ровно по этому поводу в ip sessions собираются внедрить BFD. Физикам? подсеть??? Зачем? Или у Вас и юрики на PPPoE?все на PPPoE, ещё не хватало разные способы авторизации плодить, да и физики уже частенько встречаются у которых не один терминал. Способ дистрибуции услуги должен быть един иначе сразу получаем проблемы с масштабируемостью и резко повышается опекс В свете "вилан на юзера" - вообще нектуально, безопасность контролируется дизайном.ну не совсем так....под словом "безопасность" в данном случае надо понимать следующее - "максимально возможное снижение рисков подключения к сети для любого пользователя независимо от типа терминала, настройки терминала и квалификации пользователя" и "максимально возможное снижение рисков для сети от подключения любого пользователя", так что тут не только дизайн но и большой комплекс работ по внедрению и эксплуатации соответствующего оборудования ВиднО сильное влияние традиционного телекома, с ADSL, PPPoE, CPE и т.п.Нет этого в Ethernet-сетях, нету. По мере движения к триппер-плею не исключаю что будет. А пока CPE - это клиентский комп, и точка предоставления услуги - порт в свитче доступа. Во, золотые слова, особенно "По мере движения к триппер-плею не исключаю что будет", вот я сразу серьёзные сети и строю, а не пионернет, который потом перестравивать придётся, и сразу кроме инета предоставляю VoIP и IPTV P.S. с классическим ADSL никогда не работал, всю жизнь на ethernet сетях живу. P.P.S. Не утверждаю что PPPoE идеал, просто на данный момент ничего лучшего не придумано, с нетерпением жду лета когда выйдет ip sessions, который должен объеденить лучшие свойства DHCP и PPPoE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 24 октября, 2008 · Жалоба Наверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?бр...подумали что сказали? в броадкастах захлебнётесь милейший....Какие броадкасты при "вилан на юзера"??? Да нормальная утилизация, такая же, как и с PPPoE...Просто ни в коем случае не надо делать адреса динамическими, только статика, пробитая в договоре. DHCP - это чтобы юзеру ничего настраивать не пришлось, если не умеет, и тот самый keepalive... И с ISG хорошо стыкуется. раздали вы сетку /22 например своим способом, RIPE решил проверить утилизацию пространства, увидел что большая часть адресов не отзывается ибо компы у народа повыключены и возложил на ваш запрос о выделении следующего куска адресов, прецедентов полно с такой причиной отказаБРЕД. Вы клиентские компы не пробовали опрашивать? Ведь ни один не отзовётся, т.к. файрволл уже по-умолчанию включен. И что там проверять?RIPE-организация чисто бюрократическая, и ничего технического проверять не могут. Я так раздал уже /17. Попросили сделать статистику использования адресов. Сделал - их всё удовлетворило. Нет тут никакой разницы, PPPoE на реальных адресах, или IPoE... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
derini Опубликовано 24 октября, 2008 · Жалоба Наверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?бр...подумали что сказали? в броадкастах захлебнётесь милейший....Какие броадкасты при "вилан на юзера"??? уфф..., судя по всему друг друга не поняли, я уж испугался что было предложено на статике делать l2 сегменты на 16-32к пользователей Да нормальная утилизация, такая же, как и с PPPoE...Просто ни в коем случае не надо делать адреса динамическими, только статика, пробитая в договоре. DHCP - это чтобы юзеру ничего настраивать не пришлось, если не умеет, и тот самый keepalive... И с ISG хорошо стыкуется. раздали вы сетку /22 например своим способом, RIPE решил проверить утилизацию пространства, увидел что большая часть адресов не отзывается ибо компы у народа повыключены и возложил на ваш запрос о выделении следующего куска адресов, прецедентов полно с такой причиной отказаБРЕД. Вы клиентские компы не пробовали опрашивать? Ведь ни один не отзовётся, т.к. файрволл уже по-умолчанию включен. И что там проверять?RIPE-организация чисто бюрократическая, и ничего технического проверять не могут. Я так раздал уже /17. Попросили сделать статистику использования адресов. Сделал - их всё удовлетворило. Нет тут никакой разницы, PPPoE на реальных адресах, или IPoE... а вот я знаю случаи что уже отказывают, они счаз стали требовать чтобы в уже выделенных блоках утилизация была не менее 80% перед выделением следующего блока и даже требуют план на предполагаемые сроки освоения с обоснованием почему этот блок надо выделить а терь таки резюме, дабы наша дискуссия не перешла в стадию религиозного спора: PPPoE + vlan-per-user благо ибо: а) Все атрибуты пользователя это логин+пароль, и никаких более б) настройка абонентского терминала почти автоматическая в) заранее, на стадии дизайна сети, решается большой класс секурити проблем г) имеем единую точку дистрибуции и учёта услуг д) имеем практически неоганиченно масштабируемую систему е) низкий опекс PPPoE+vlan-per-user зло ибо: а) высокий капекс б) Некоторое снижение пропускной способности канала зверя в) Тебуется высокая квалификация инженерного персонала терь глядя на вышеописанное имеем, если цель инвестора, как говорится, быстро "отбить бабки" и продать сетку на сторону - схема невыгодна, если цель, построить и эксплуатировать сеть в течение длительного времени в расчёте на её развитие до большого числа абонентов - схема становится весьма привлекательна при готовности инвестора вложить в сеть много денег ещё на стадии проектирования и строительства Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Egor Опубликовано 24 октября, 2008 · Жалоба Не надо юриков на PPPoE, не надо... Физиков еще можно, если дизайн такой выбран. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 24 октября, 2008 · Жалоба а вот я знаю случаи что уже отказывают, они счаз стали требовать чтобы в уже выделенных блоках утилизация была не менее 80% перед выделением следующего блока и даже требуют план на предполагаемые сроки освоения с обоснованием почему этот блок надо выделитьНу, скоро очередная сетка кончится, вот и посмотрим, надо им утилизацию по активности юзеров или достаточно по количеству. :)На самом деле - разницы нет, статические адреса или динамические. Если динамические - то надо иметь адресов до 80% от количества активных договорв, а при таком запасе уже можно требовать ещё одну сетку. Обсуждалось это уже на этом форуме. а терь таки резюме, дабы наша дискуссия не перешла в стадию религиозного спора: PPPoE + vlan-per-user благо ибо: а) Все атрибуты пользователя это логин+пароль, и никаких более б) настройка абонентского терминала почти автоматическая в) заранее, на стадии дизайна сети, решается большой класс секурити проблем г) имеем единую точку дистрибуции и учёта услуг д) имеем практически неоганиченно масштабируемую систему е) низкий опекс PPPoE+vlan-per-user зло ибо: а) высокий капекс б) Некоторое снижение пропускной способности канала зверя в) Тебуется высокая квалификация инженерного персонала терь глядя на вышеописанное имеем, если цель инвестора, как говорится, быстро "отбить бабки" и продать сетку на сторону - схема невыгодна, если цель, построить и эксплуатировать сеть в течение длительного времени в расчёте на её развитие до большого числа абонентов - схема становится весьма привлекательна при готовности инвестора вложить в сеть много денег ещё на стадии проектирования и строительства :)А теперь посмотрим на схему IPoE+DHCP+vlan-per-user. Учитывая, что пункты в,г,д имеют место быть и здесь при аналогичном дизайне. Все плюсы сохраняются, и добавляется ещё несколько: а) логин и пароль не имеют значения для предоставления услуг, максимум - для доступа к биллингу. б) настройка абонентского терминала полностью автоматическая. ж) свитчи доступа могут классифицировать трафик "от пользователя", плюс могут решить вопросы с первичной фильтрацией трафика при унифицированной настройке. Ну, если свитчи слегка поумнее чем DES-2108. :) И из минусов вычёркивается пункт б, IPoE не имеет дополнительных накладных расходов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
derini Опубликовано 24 октября, 2008 (изменено) · Жалоба :)А теперь посмотрим на схему IPoE+DHCP+vlan-per-user. Учитывая, что пункты в,г,д имеют место быть и здесь при аналогичном дизайне. Все плюсы сохраняются, и добавляется ещё несколько: а) логин и пароль не имеют значения для предоставления услуг, максимум - для доступа к биллингу. б) настройка абонентского терминала полностью автоматическая. ж) свитчи доступа могут классифицировать трафик "от пользователя", плюс могут решить вопросы с первичной фильтрацией трафика при унифицированной настройке. Ну, если свитчи слегка поумнее чем DES-2108. :) И из минусов вычёркивается пункт б, IPoE не имеет дополнительных накладных расходов. а) преимущество кажущееся, вы аутентифицируете не абонента а своё оборудование и это плохо, это идеологически неправильно и повышает опекс б) согласен, это плюс, но актуально только в случае фтыкания кабеля непосредственно в комп абонента, мы от этого уже отказались ж) неправильная мысль, она кажется хорошей тока пока сеть маленькая, на большой сети выгодно поднимать функции фильтрации и IDP (вплоть до оганизации statefull firewall и IDP 2-7 level) в ядро сети на уровень аггрегации кастомерских вланов, так оно дешевле выходит при большой сети, например, сэкономив на узлах доступа по 100 баксов (учитываем не только стоимость железок но и опекс на их обслуживание и настройку), на сети из 1000 узлов доступа имеем возможность на эти денюжки прикупить серьёзный IDP (да ещё и останется средствов на что нить ещё в загашнике) и сканировать весь траффик аж вплоть до 7-го уровня буде захотим и резать потоки содержащие всяку каку (автоматом решает проблемы с ботнетами, спамерами, завирусованными абонентами, малолетними кулхацкерами и тд и тп) да ещё имеем в качестве бонуса централизованную базу инцидентов в сети, мы, например, счаз дописываем модуль который на основании данных от IDP поизводит автоматическое информиование зверей о том что у них на компе вирусня/бэкдоры/запчасти-ботнетов живут и инфомирование инженерного состава о попытках DoS/DDoS, bruteforce атаках и тд и тп. ну и IPoE - тут дело даже не в накладных расходах, их то как раз копейки, а в хреновой реализации PPPoE в CPE - не видел пока ни одной железки (промышленные a la AT-AR-xxx не рассматриваю, они то каэшн без проблем справляются) которая на PPPoE дала бы поток выше 65-70 мегабит при средненькой фрагментации траффика (в районе 256-512 байт на пакет в среднем), вот это дейтсивтельно не гуд, потому и жду пока выпустят ip sessions ибо они будут лишены этого недостатка, ибо там инкапсулирования не планируется Опять же продвигаю в головы некую тезу - инвестор всегда прав, он нам работу даёт, если он хочет подешевле и у него нет долговременных планов по развитию сети то мой вариант не катит, он очень затратен в начале (одни затраты на приличный BSR могут некоторых "инвесторов" до инфаркта довести, не говоря уже о затратах на приличный NAT, Firewall и IDP), если он готов вкладываться и ждать окупаемости в течение 2-3 лет и ожидается большая сеть, тогда самое то PPPoE + vlan-per-user - идеологически всё ж таки самый правильный вариант, но имеет очень высокий капекс Я c согласен, а какая по вашему самая дешевая схема для сети кол-ом абонентов не более 1000 ?при условии что не планируется дальнейшее развитие сети и резкое увеличение числа зверей, то:Vlan на дом, изоляция портов + DHCP + PPPoE/PPTP/L2TP централизованные с резевированием дехацепатор, dns и PPPoE/PPTP/L2TP аггрегатор на базе FreeBSD, все узлы доступа сводить на одну железку L3+ уровня (a la AT-9924SP) которая будет DHCP и DNS релеем, ну и ещё один сервак для BGP и NAT Изменено 24 октября, 2008 пользователем derini Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 25 октября, 2008 · Жалоба а) преимущество кажущееся, вы аутентифицируете не абонента а своё оборудование и это плохо, это идеологически неправильно и повышает опексВот это не понял. Я ничего не аутентифицирую: вот он, клиентский вилан, в нём клиент, вот его IP. Не надо тут ничего аутентифицировать.С точки зрения безопасности - да как в телефонии, можно только подключиться в абонентский кабель, что легко отслеживается и известно что с этим делать распоследнему оперу, ибо улики совершенно вещественные. б) согласен, это плюс, но актуально только в случае фтыкания кабеля непосредственно в комп абонента, мы от этого уже отказалисьА мы не можем отказаться. CPE - это лишние 30-50 баксов на абонента, их придётся заплатить из своей прибыли, т.к. ARPU от этой коробочки не зависит.ж) неправильная мысль, она кажется хорошей тока пока сеть маленькая, на большой сети выгодно поднимать функции фильтрации и IDP (вплоть до оганизации statefull firewall и IDP 2-7 level) в ядро сети на уровень аггрегации кастомерских вланов, так оно дешевле выходит при большой сети, например, сэкономив на узлах доступа по 100 баксов (учитываем не только стоимость железок но и опекс на их обслуживание и настройку), на сети из 1000 узлов доступа имеем возможность на эти денюжки прикупить серьёзный IDP (да ещё и останется средствов на что нить ещё в загашнике) и сканировать весь траффик аж вплоть до 7-го уровня буде захотим и резать потоки содержащие всяку каку (автоматом решает проблемы с ботнетами, спамерами, завирусованными абонентами, малолетними кулхацкерами и тд и тп) да ещё имеем в качестве бонуса централизованную базу инцидентов в сети, мы, например, счаз дописываем модуль который на основании данных от IDP поизводит автоматическое информиование зверей о том что у них на компе вирусня/бэкдоры/запчасти-ботнетов живут и инфомирование инженерного состава о попытках DoS/DDoS, bruteforce атаках и тд и тп.Первичная фильтрация никоим образом не отрицает продвинутую фильтрацию на агрегации и в ядре.Да и 16-24 портовые свитчи уже обычно слегка поумнее 2108, умеют не только виланы. ну и IPoE - тут дело даже не в накладных расходах, их то как раз копейки, а в хреновой реализации PPPoE в CPE - не видел пока ни одной железки (промышленные a la AT-AR-xxx не рассматриваю, они то каэшн без проблем справляются) которая на PPPoE дала бы поток выше 65-70 мегабит при средненькой фрагментации траффика (в районе 256-512 байт на пакет в среднем), вот это дейтсивтельно не гуд, потому и жду пока выпустят ip sessions ибо они будут лишены этого недостатка, ибо там инкапсулирования не планируетсяНу да, для PPPoE нужен процессор. А вот попробуйте IPoE и свитч в качестве CPE, например DIR-100 - тут и все 100 мегабит выжать можно. :)Опять же продвигаю в головы некую тезу - инвестор всегда прав, он нам работу даёт, если он хочет подешевле и у него нет долговременных планов по развитию сети то мой вариант не катит, он очень затратен в начале (одни затраты на приличный BSR могут некоторых "инвесторов" до инфаркта довести, не говоря уже о затратах на приличный NAT, Firewall и IDP), если он готов вкладываться и ждать окупаемости в течение 2-3 лет и ожидается большая сеть, тогда самое то PPPoE + vlan-per-user - идеологически всё ж таки самый правильный вариант, но имеет очень высокий капексКстати, приличный BSR сразу покупать совершенно необязательно, тем более в случае PPPoE.Да и покупать оборудование "на вырост" - глупость, оно очень быстро устаревает морально. Можно начать с одного 7206/NPE-G2. Потом добавить ещё один, потом ещё. Как дойдёт до штук 8-10 - заменить на ESR, освободившиеся продать. :))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
derini Опубликовано 25 октября, 2008 · Жалоба Вот это не понял. Я ничего не аутентифицирую: вот он, клиентский вилан, в нём клиент, вот его IP. Не надо тут ничего аутентифицировать.С точки зрения безопасности - да как в телефонии, можно только подключиться в абонентский кабель, что легко отслеживается и известно что с этим делать распоследнему оперу, ибо улики совершенно вещественные. вот о том то и речь что зверя не аутентифицируем Кстати, приличный BSR сразу покупать совершенно необязательно, тем более в случае PPPoE.Да и покупать оборудование "на вырост" - глупость, оно очень быстро устаревает морально. Можно начать с одного 7206/NPE-G2. Потом добавить ещё один, потом ещё. Как дойдёт до штук 8-10 - заменить на ESR, освободившиеся продать. :))) тьфу-тьфу....бог миловал, мы сразу нормальное покупаем, тем более что у мну стойкая нелюбовь к кошкам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 25 октября, 2008 · Жалоба Наверное, это дизайн неправильный. Если делать "сегментик" на 16-32К юзеров, то с чего это адресам кончаться??? А тем более, что-то делить?бр...подумали что сказали? в броадкастах захлебнётесь милейший....Какие броадкасты при "вилан на юзера"??? А что с этими виланами потом происходит? Вы их бриджуете? Тогда бродкасты будут. Вы между ними маршрутизируете? Тогда какой же это "сегментик"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 25 октября, 2008 (изменено) · Жалоба я так понимаю, что при схеме с IPoE/VLAN, ip-unnumbered и /32 на клиенте с дефолт-раутом на интерфейс, весь броадкаст закончится где-то в районе клиентского локалхоста. Изменено 25 октября, 2008 пользователем mikevlz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 25 октября, 2008 · Жалоба Но если /32, что означает "сегментик на 16-32К юзеров"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 25 октября, 2008 · Жалоба Про сегментик я тоже не понял, но поскольку речь шла о нехватке или избытке адресов, да ещё и их перебрасывании - решил, что это об узле, на котором терминируются юзеры. На что сказал, что не надо мельчить узлы. Один узел на 16К-32К юзеров - в самый раз... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 25 октября, 2008 · Жалоба вот о том то и речь что зверя не аутентифицируемА зачем (с)? Телефонисты вон, сто лет не аути..это самое. ;-) И ничего, живут... тьфу-тьфу....бог миловал, мы сразу нормальное покупаем,Гхм... И это в кризис... :-) Только позавидовать, да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...