Jump to content
Калькуляторы

Есть ли смысл в VLAN на пользователя? "За" и "против" VLAN на пользователя резкие аргументы

Вообще объясните мне что хорошего в том, что устройство, которое должно быть на связи в идеале 24/7, должно раз в час переполучать адрес по dhcp?

Что хорошего в nat'е? Все знают, что NAT зло и в лучшем случае подойдет для физлиц.

Что хорошего в pptp? Шифрование все равно использовать нельзя, так как грузит брасы и ограничение трафика к клиенту при включенном шифровании не работает ( 12.4.22Т).

Session-timeout 24 часа на ppp-сессию это отличная идея?

 

Влан-на-пользователя самая простая по реализации схема и самая надежная. Пользователь не зависит от таких сервисов, как:

- radius , где после обрыва нужно ждать пока там alive-пакеты с браса лететь перестанут и биллинг не закроет сессию. Она ведь может быть только одна!

- dhcp

Можно спокойно подключать по pppoe, если есть желание. Можно подсовывать ему dhcp, а не хочет - сам пусть прописывает адрес. И будет работать. Можно выдавать серые адреса, а можно честные.

Эксплуатировать тяжело, да?

Edited by vit

Share this post


Link to post
Share on other sites
Вообще объясните мне что хорошего в том, что устройство, которое должно быть на связи в идеале 24/7, должно раз в час переполучать адрес по dhcp?
Вы наверное удивитесь, но даже с временем аренды в 2 минуты трафик идёт непрерывно)))
Что хорошего в nat'е? Все знают, что NAT зло и в лучшем случае подойдет для физлиц.
А разве с этим ктото спорит? НАТ от безисходности применяют обычно, ибо статус lir далеко не все сразу потянуть могут. Да и pi денег доже стоит...
Что хорошего в pptp?
Да ничего в нём хорошего) Просто так исторически сложилось))) (из сетей на неуправляемом железе)
Влан-на-пользователя самая простая по реализации схема и самая надежная.
А разве ктото спорит? только есть и в ней много тонкостей.

 

Share this post


Link to post
Share on other sites

Вы правы. Удивлюсь. Я после вот такого много чему удивляюсь

router(config)#interface FastEthernet0/1
router(config-if)# arp timeout 10
router(config-if)#^Z
router#ping 10.0.0.1 rep 1000

Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Success rate is 99 percent (995/1000), round-trip min/avg/max = 56/66/80 ms
router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface FastEthernet0/1
router(config-if)#no arp timeout 10
router(config-if)#^Z
router#ping 10.0.0.1 rep 1000

Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (1000/1000), round-trip min/avg/max = 56/60/84 ms

Так же постоянно удивляюсь crash'ам иосов и пр. глюкам. Постоянно удивляюсь терпеливости персонала и длинкам, которые прошивка за прошивкой тестируют на абонентах новые фичи.

Edited by vit

Share this post


Link to post
Share on other sites

А я вот до сих пор удивляюсь людям, полагающим, что на циске за N килобаксов софт должен быть безглючным...

Вы думаете у других вендоров с этим лучше? У Джунипера например, или у хуавея ?

Share this post


Link to post
Share on other sites

['BudushiyISP']

 

так схема в итоге запущена и в каком виде?

Share this post


Link to post
Share on other sites

Короче, сколько трахался с DHCP сервером опция 82 неработает как надо :( на линухе работает в качестве релей-агента и Cisco и Dlink и HP... на циске простой сервер с опцией 82 неработает :( даже без ISG....

но надо искать DHCP-Radius...

Share this post


Link to post
Share on other sites
Короче, сколько трахался с DHCP сервером опция 82 неработает как надо :( на линухе работает в качестве релей-агента и Cisco и Dlink и HP... на циске простой сервер с опцией 82 неработает :( даже без ISG....

но надо искать DHCP-Radius...

Схема внедрена в следующем виде, тестируется. На доступе китайское гуано с поддержкой 802.1q на каждый порт выделен VLAN на агрегации и в ядре коммутаторы какие попало L3, настроены приоритеты QOS, на внешний трафик данный сам высокий приоритет. При подключении пользователь единожды автоматизируется на веб-странице (определяется его мак), далее пользователю просто включает комп и всё работает, анализ пользователя идёт на основе его мака. Сменил пользователь комп, олять тоже самое автоматизировался один раз и всё...Хотел сделать с опцией 82 проверил, что-то у меня ничего не вышло. Да и коммутаторы на доступ с опцией 82 - дорогие.

 

Share this post


Link to post
Share on other sites

А зачем в таком варианте доступ с opt.82? Он же на аггрегации есть, если виланы туда сходятся, этого достаточно. Тоже тестируем такую схему - адрес по номеру вилана отлично выдаётся. И никакого МАКа :)

Share this post


Link to post
Share on other sites

А как определяется его MAC через L3-сеть?

Share this post


Link to post
Share on other sites

а нах определять МАК :)? мы определяем коммутатор доступа и порт... или у вас один и тот же клиент лазиет по разным портам :)?

 

Share this post


Link to post
Share on other sites

а нах определять МАК :)? мы определяем коммутатор доступа и порт... или у вас один и тот же клиент лазиет по разным портам :)?

Я вообще не врубился как с опцией 82 работать, а так да на агрегации Опция 82 есть.

Share this post


Link to post
Share on other sites
А зачем в таком варианте доступ с opt.82? Он же на аггрегации есть, если виланы туда сходятся, этого достаточно. Тоже тестируем такую схему - адрес по номеру вилана отлично выдаётся. И никакого МАКа :)
какое оборудование стоит на агрегации и доступе?

как определяли и разбирали на дхцп-сервере формат опции82?

 

 

Share this post


Link to post
Share on other sites

Пока только примитивный стенд. Через недельку будем собирать что-то ближе к реальным условиям.

Share this post


Link to post
Share on other sites
Поздравляю, ты только-что придумал запретительный тариф и добавил гимора своей техподдержке 8-)

Хотя мог просто настроить свой биллинг ;-)

А ведь правильный подход был заявлен чуть выше, хотя и выводы были кривые... Правильный подход: ОНО ДОЛЖНО РАБОТАТЬ и не привлекать внимания. Т.е. как американцы пишут: "провод - в стену". Думать не надо, надо втыкнуть - и ОНО _ОБЯЗАНО_ заработать.

Спуститесь на землю. имхо 80% провайдеров работают не по вашей схеме.

Share this post


Link to post
Share on other sites
Поздравляю, ты только-что придумал запретительный тариф и добавил гимора своей техподдержке 8-)

Хотя мог просто настроить свой биллинг ;-)

А ведь правильный подход был заявлен чуть выше, хотя и выводы были кривые... Правильный подход: ОНО ДОЛЖНО РАБОТАТЬ и не привлекать внимания. Т.е. как американцы пишут: "провод - в стену". Думать не надо, надо втыкнуть - и ОНО _ОБЯЗАНО_ заработать.

Спуститесь на землю. имхо 80% провайдеров работают не по вашей схеме.

Не совсем понятно что Вы предлагаете определять абонента по порту Опция 82?

 

 

Share this post


Link to post
Share on other sites

Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абоненту - DHCP c Opt82, но это уже в помощь, если захочет.

Share this post


Link to post
Share on other sites
Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абонентTу - DHCP c Opt82, но это уже в помощь, если захочет.

А софт решение какой поток выдержит, с учётом того что VLAN-ы будут на нём терминироваться, а доступ будет закрывать просто изменением правил на нём?

 

Share this post


Link to post
Share on other sites
Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абоненту - DHCP c Opt82, но это уже в помощь, если захочет.

это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено)

Share this post


Link to post
Share on other sites
это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено)

Точность такой "инвентаризации" не хуже чем у традиционной телефонии)

Share this post


Link to post
Share on other sites
это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено)
Точность такой "инвентаризации" не хуже чем у традиционной телефонии)

да, только в традиционной телефонии не стоят АТС в каждом подъезде:)

Share this post


Link to post
Share on other sites
да, только в традиционной телефонии не стоят АТС в каждом подъезде:)

Так поясните, в чём же разница? С точки зрения противоправных деяний - всё то же самое - только врезка в кабель или вскрытие кроссировочного ящика со свичём. Хотя если у вас свичи общедоступны, то тогда этот метод не подойдёт)

Share this post


Link to post
Share on other sites
Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абоненту - DHCP c Opt82, но это уже в помощь, если захочет.

это скорее инвентаризация абонентов , а не авторизация (как тут уже верно было замечено)

Для желающих явной авторизации - 802.1X

Share this post


Link to post
Share on other sites
да, только в традиционной телефонии не стоят АТС в каждом подъезде:)
Так поясните, в чём же разница? С точки зрения противоправных деяний - всё то же самое - только врезка в кабель или вскрытие кроссировочного ящика со свичём. Хотя если у вас свичи общедоступны, то тогда этот метод не подойдёт)

имхо, в случаи инвентаризации абонентов по портам, увеличивается на мой взгляд влияние человеческого фактора в случае замены/апгрейда/ремонта оборудования и маштабирования сети. Какие вообще отзывы о надежности сетей с инвентаризацией абонентов по портам размером 10-30-50 тыс. абонентом? Есть ли вообще такие примеры?

Share this post


Link to post
Share on other sites
Абонент == провод == порт доступа == набор IP адресов == VLAN ID

В помощь абонентTу - DHCP c Opt82, но это уже в помощь, если захочет.

А софт решение какой поток выдержит, с учётом того что VLAN-ы будут на нём терминироваться, а доступ будет закрывать просто изменением правил на нём?

Я видел где-то гигабит с копейками на XEON, jab недавно сказал, что на новых процах вроде бы раза в 4 больше ожидается, но нужно сделать поправку на то, что у меня предметный тюнинг, а у него предметный мегатюнинг.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this