Перейти к содержимому
Калькуляторы

Есть ли смысл в VLAN на пользователя? "За" и "против" VLAN на пользователя резкие аргументы

Вообще объясните мне что хорошего в том, что устройство, которое должно быть на связи в идеале 24/7, должно раз в час переполучать адрес по dhcp?

Что хорошего в nat'е? Все знают, что NAT зло и в лучшем случае подойдет для физлиц.

Что хорошего в pptp? Шифрование все равно использовать нельзя, так как грузит брасы и ограничение трафика к клиенту при включенном шифровании не работает ( 12.4.22Т).

Session-timeout 24 часа на ppp-сессию это отличная идея?

 

Влан-на-пользователя самая простая по реализации схема и самая надежная. Пользователь не зависит от таких сервисов, как:

- radius , где после обрыва нужно ждать пока там alive-пакеты с браса лететь перестанут и биллинг не закроет сессию. Она ведь может быть только одна!

- dhcp

Можно спокойно подключать по pppoe, если есть желание. Можно подсовывать ему dhcp, а не хочет - сам пусть прописывает адрес. И будет работать. Можно выдавать серые адреса, а можно честные.

Эксплуатировать тяжело, да?

Изменено пользователем vit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще объясните мне что хорошего в том, что устройство, которое должно быть на связи в идеале 24/7, должно раз в час переполучать адрес по dhcp?
Вы наверное удивитесь, но даже с временем аренды в 2 минуты трафик идёт непрерывно)))
Что хорошего в nat'е? Все знают, что NAT зло и в лучшем случае подойдет для физлиц.
А разве с этим ктото спорит? НАТ от безисходности применяют обычно, ибо статус lir далеко не все сразу потянуть могут. Да и pi денег доже стоит...
Что хорошего в pptp?
Да ничего в нём хорошего) Просто так исторически сложилось))) (из сетей на неуправляемом железе)
Влан-на-пользователя самая простая по реализации схема и самая надежная.
А разве ктото спорит? только есть и в ней много тонкостей.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы правы. Удивлюсь. Я после вот такого много чему удивляюсь

router(config)#interface FastEthernet0/1
router(config-if)# arp timeout 10
router(config-if)#^Z
router#ping 10.0.0.1 rep 1000

Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Success rate is 99 percent (995/1000), round-trip min/avg/max = 56/66/80 ms
router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface FastEthernet0/1
router(config-if)#no arp timeout 10
router(config-if)#^Z
router#ping 10.0.0.1 rep 1000

Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (1000/1000), round-trip min/avg/max = 56/60/84 ms

Так же постоянно удивляюсь crash'ам иосов и пр. глюкам. Постоянно удивляюсь терпеливости персонала и длинкам, которые прошивка за прошивкой тестируют на абонентах новые фичи.

Изменено пользователем vit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А я вот до сих пор удивляюсь людям, полагающим, что на циске за N килобаксов софт должен быть безглючным...

Вы думаете у других вендоров с этим лучше? У Джунипера например, или у хуавея ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

['BudushiyISP']

 

так схема в итоге запущена и в каком виде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче, сколько трахался с DHCP сервером опция 82 неработает как надо :( на линухе работает в качестве релей-агента и Cisco и Dlink и HP... на циске простой сервер с опцией 82 неработает :( даже без ISG....

но надо искать DHCP-Radius...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче, сколько трахался с DHCP сервером опция 82 неработает как надо :( на линухе работает в качестве релей-агента и Cisco и Dlink и HP... на циске простой сервер с опцией 82 неработает :( даже без ISG....

но надо искать DHCP-Radius...

Схема внедрена в следующем виде, тестируется. На доступе китайское гуано с поддержкой 802.1q на каждый порт выделен VLAN на агрегации и в ядре коммутаторы какие попало L3, настроены приоритеты QOS, на внешний трафик данный сам высокий приоритет. При подключении пользователь единожды автоматизируется на веб-странице (определяется его мак), далее пользователю просто включает комп и всё работает, анализ пользователя идёт на основе его мака. Сменил пользователь комп, олять тоже самое автоматизировался один раз и всё...Хотел сделать с опцией 82 проверил, что-то у меня ничего не вышло. Да и коммутаторы на доступ с опцией 82 - дорогие.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем в таком варианте доступ с opt.82? Он же на аггрегации есть, если виланы туда сходятся, этого достаточно. Тоже тестируем такую схему - адрес по номеру вилана отлично выдаётся. И никакого МАКа :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как определяется его MAC через L3-сеть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а нах определять МАК :)? мы определяем коммутатор доступа и порт... или у вас один и тот же клиент лазиет по разным портам :)?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а нах определять МАК :)? мы определяем коммутатор доступа и порт... или у вас один и тот же клиент лазиет по разным портам :)?

Я вообще не врубился как с опцией 82 работать, а так да на агрегации Опция 82 есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем в таком варианте доступ с opt.82? Он же на аггрегации есть, если виланы туда сходятся, этого достаточно. Тоже тестируем такую схему - адрес по номеру вилана отлично выдаётся. И никакого МАКа :)
какое оборудование стоит на агрегации и доступе?

как определяли и разбирали на дхцп-сервере формат опции82?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пока только примитивный стенд. Через недельку будем собирать что-то ближе к реальным условиям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поздравляю, ты только-что придумал запретительный тариф и добавил гимора своей техподдержке 8-)

Хотя мог просто настроить свой биллинг ;-)

А ведь правильный подход был заявлен чуть выше, хотя и выводы были кривые... Правильный подход: ОНО ДОЛЖНО РАБОТАТЬ и не привлекать внимания. Т.е. как американцы пишут: "провод - в стену". Думать не надо, надо втыкнуть - и ОНО _ОБЯЗАНО_ заработать.

Спуститесь на землю. имхо 80% провайдеров работают не по вашей схеме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поздравляю, ты только-что придумал запретительный тариф и добавил гимора своей техподдержке 8-)

Хотя мог просто настроить свой биллинг ;-)

А ведь правильный подход был заявлен чуть выше, хотя и выводы были кривые... Правильный подход: ОНО ДОЛЖНО РАБОТАТЬ и не привлекать внимания. Т.е. как американцы пишут: "провод - в стену". Думать не надо, надо втыкнуть - и ОНО _ОБЯЗАНО_ заработать.

Спуститесь на землю. имхо 80% провайдеров работают не по вашей схеме.

Не совсем понятно что Вы предлагаете определять абонента по порту Опция 82?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абоненту - DHCP c Opt82, но это уже в помощь, если захочет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абонентTу - DHCP c Opt82, но это уже в помощь, если захочет.

А софт решение какой поток выдержит, с учётом того что VLAN-ы будут на нём терминироваться, а доступ будет закрывать просто изменением правил на нём?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абоненту - DHCP c Opt82, но это уже в помощь, если захочет.

это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено)

Точность такой "инвентаризации" не хуже чем у традиционной телефонии)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено)
Точность такой "инвентаризации" не хуже чем у традиционной телефонии)

да, только в традиционной телефонии не стоят АТС в каждом подъезде:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да, только в традиционной телефонии не стоят АТС в каждом подъезде:)

Так поясните, в чём же разница? С точки зрения противоправных деяний - всё то же самое - только врезка в кабель или вскрытие кроссировочного ящика со свичём. Хотя если у вас свичи общедоступны, то тогда этот метод не подойдёт)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абоненту - DHCP c Opt82, но это уже в помощь, если захочет.

это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено)

Для желающих явной авторизации - 802.1X

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да, только в традиционной телефонии не стоят АТС в каждом подъезде:)
Так поясните, в чём же разница? С точки зрения противоправных деяний - всё то же самое - только врезка в кабель или вскрытие кроссировочного ящика со свичём. Хотя если у вас свичи общедоступны, то тогда этот метод не подойдёт)

имхо, в случаи инвентаризации абонентов по портам, увеличивается на мой взгляд влияние человеческого фактора в случае замены/апгрейда/ремонта оборудования и маштабирования сети. Какие вообще отзывы о надежности сетей с инвентаризацией абонентов по портам размером 10-30-50 тыс. абонентом? Есть ли вообще такие примеры?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абонентTу - DHCP c Opt82, но это уже в помощь, если захочет.

А софт решение какой поток выдержит, с учётом того что VLAN-ы будут на нём терминироваться, а доступ будет закрывать просто изменением правил на нём?

Я видел где-то гигабит с копейками на XEON, jab недавно сказал, что на новых процах вроде бы раза в 4 больше ожидается, но нужно сделать поправку на то, что у меня предметный тюнинг, а у него предметный мегатюнинг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.