Jump to content
Калькуляторы

Зачем люди нарезают сети /30 на клиента?

 

1. Так какого хрена люди режут на юзера сетки /29 или /30 ?

 

Edited by white_crow

Share this post


Link to post
Share on other sites

2. Так какого хрена люди режут на юзера сетки /29 или /30 ?

Предложите другой вариант БЕЗ ВПНа.

Share this post


Link to post
Share on other sites
5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS
а если на агрегации все ещё L2-железка, а доступ не поддерживает ACL?

 

6. Зачем нужен BRAS ? : )
аккаунтинг, сессии

Share this post


Link to post
Share on other sites
2. Так какого хрена люди режут на юзера сетки /29 или /30 ?
Предложите другой вариант БЕЗ ВПНа.

кажется начинаю понимать, но не совсем...

То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе?

А причём здесь VPN?

Мне VPN нужен, если надо пробросимть клиенту белый адрес.

Или клиенту нужен шифрованный тунель до центра.

А так, если есть возможность зафиксировать IP на клиента с помощью умных железок на доступе - туннели нафиг не нужны.

 

 

И ещё заметка по поводу 21 века - что пора забить на MAC адреса CPE устройств. Нам не надо устраивать гимор клиенту. И себе тоже. Пусть себе меняет ноут или сетвухи или MAC адрес в реестре Windows - пофиг. Главное - IP на порт прикручен железно. И не надо вести учёт этих маков.....

 

Это и в DOCSIS я сразу же принялся реализовывать - не прошло и года - как получилось : ))))) Зато как хорошо порнушников на фтп , в чате, на форуие банить : )))))

 

Ещё не могу понять - как люди обходятся без DHCP. Тоже гимор клиенту и сапорту.

Если уж так бояться, что вся система уязвима от одного DHCP - так поставьте второй. Сделайте резерв.

Share this post


Link to post
Share on other sites

а белый IP через VPN - это не гемор для клиента?

Share this post


Link to post
Share on other sites
2. Так какого хрена люди режут на юзера сетки /29 или /30 ?
Предложите другой вариант БЕЗ ВПНа.

кажется начинаю понимать, но не совсем...

То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе?

Нет. Это маршрутизация.
А причём здесь VPN?

Мне VPN нужен, если надо пробросимть клиенту белый адрес.

Вы сами ответили на свой вопрос. Туннель позволяет давать адрес с 32 маской, ибо point-to-point. Иначе адреса клиента и шлюза для него должны быть в одной подсети. Вот и посчитайте, какой должна быть наиболее широкая маска, чтоб в ней поместились: адрес сети, бродкаст, адрес клиента, адрес шлюза.

Share this post


Link to post
Share on other sites
Предложите другой вариант БЕЗ ВПНа.

L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов.

На каждый вилан подсетка реальников. В отдельном порту висит машинка реализующая proxyy-arp внутри подсети (за одним банит сканящих подсеть, отдавая левый мак, чтоб вирусы не мешали)

 

На доступе свитчи с opt82, с разделение портов. DHCP запросы через релей на L3 идут на isg, например 72 циску, где авторизуем абонента по номеру порта.

Если ip source guard на свитчах не поддерживается, то ip-mac binding где либо на агрегации и скриптик следящий чтоб маки с порта на порт не скакали.

Share this post


Link to post
Share on other sites
Предложите другой вариант БЕЗ ВПНа.

L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов.

На каждый вилан подсетка реальников.

Т.е. уже получаем в подсети кого-то, кроме одного клиента и одного провайдера. Это не альтернатива сети в /30 либо туннелю.

Share this post


Link to post
Share on other sites
Предложите другой вариант БЕЗ ВПНа.

L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов.

На каждый вилан подсетка реальников.

Т.е. уже получаем в подсети кого-то, кроме одного клиента и одного провайдера. Это не альтернатива сети в /30 либо туннелю.

попутный вопрос: кто какое оборудование использует для терминации большого количества клиентских SVI ?

Share this post


Link to post
Share on other sites

1. Что посоветуете в центр из 10G L3 Switch ? Можете взять D-Link, Huawei. Но надежнее конечно Juniper, Сisco

 

2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Этого я не знаю

3. Какие плюсы и минусы вы видите сейчас и в перспективе в моей схеме работы? (чур только не говорить про расточительность фейковых подсетей, мол /16 на небольшой квартал - это много. Не волнуйтесь - город не большой. Фейковых адресов хватит на всех : ))) А белые адреса - очень дорого на каждого. Так что - по умолчанию: NAT.

4. На уровне агрегации района заканчиваются VLAN юзеров этого района (с доступа идут VLAN trunk///), поэтому проблем не вижу с ограничением в 4K VLAN. В другом районе начинаем нумерацию заново - ведь не пересекаются районы на L2. Юриков связываю по VPN через центр. В чём проблема VLAN на клиента? Проблема лишь в том, что клиент с одного района захочет находится в одном VLAN-e c клиентом другого района, а это уже Метро Ethernet решение, но такая вероятность весьма ничтожна.

5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS ? Если локальный трафик даёте как бы бесплатно, т.е. безлимитный доступ. То обязательно скорость надо урезать, иначе в будущем будет полный бардак. Если скорость не ограничиваете по локалке, то обязательно считайте. Ваша задача зарабатывать деньги. Уверяю даже при появлении конкурентов, которые якобы будут давать всё бесплатно. Клиенты все равно выберут качество. Ибо пару пользователей качков при полной халяве всегда рады забить канал.

6. Зачем нужен BRAS ? : ) Ideco который Вы используете фактически и есть BRAS - Сервер Удаленного Контроля Широкопостного Доступа, позволяет контролировать все процессы в центре, так намного удобнее когда сеть большая.

 

9. Какие могут быть препятствия в моей схеме для внедрения IPTV ? (igmp коммутаторы поддерживают) Для нормальной работы MVR в коммутаторах.

Edited by BudushiyISP

Share this post


Link to post
Share on other sites
а белый IP через VPN - это не гемор для клиента?

Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе.

 

К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время....

 

А какие проблемы у вас возникают с VPN?

Share this post


Link to post
Share on other sites
а белый IP через VPN - это не гемор для клиента?

Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе.

 

К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время....

 

А какие проблемы у вас возникают с VPN?

Никаких граблей. Просто разговоры. Кому как удобно, так и делает

 

Share this post


Link to post
Share on other sites
2. Так какого хрена люди режут на юзера сетки /29 или /30 ?
Предложите другой вариант БЕЗ ВПНа.

кажется начинаю понимать, но не совсем...

То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе?

Нет. Это маршрутизация.

Т.е. я так понимаю, если на доступе турые L2 свичи, то, чтобы не было бардака, каждому зверьку выдаём адрес /30. Т.е. загоняем его в свою маленькую подсеть, и связь с другими он должен держать через L3 в ценре или на агрегации, где можно уже рулить этими абонами? В этом маршрутизация? Тогда понятно. Действительно, прикольное решение. Или не так я понял?

Share this post


Link to post
Share on other sites

Т.е. я так понимаю, если на доступе турые L2 свичи, то, чтобы не было бардака, каждому зверьку выдаём адрес /30. Т.е. загоняем его в свою маленькую подсеть, и связь с другими он должен держать через L3 в ценре или на агрегации, где можно уже рулить этими абонами? В этом маршрутизация? Тогда понятно. Действительно, прикольное решение. Или не так я понял?

Да, всё верно. А лучше выдавать /29 или /28, чтоб все устройства пользователя получили нужные адреса

Share this post


Link to post
Share on other sites

Спасибо за ответы, вот пару уточнений:

 

1. Что посоветуете в центр из 10G L3 Switch ? Можете взять D-Link, Huawei. Но надежнее конечно Juniper, Сisco

 

> что по-поводу HP скажите?

 

2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Этого я не знаю

 

> вроде я понял, в каrих случаях это применяется, выше я рассуждал... : )

 

4. На уровне агрегации района заканчиваются VLAN юзеров этого района (с доступа идут VLAN trunk///), поэтому проблем не вижу с ограничением в 4K VLAN. В другом районе начинаем нумерацию заново - ведь не пересекаются районы на L2. Юриков связываю по VPN через центр. В чём проблема VLAN на клиента? Проблема лишь в том, что клиент с одного района захочет находится в одном VLAN-e c клиентом другого района, а это уже Метро Ethernet решение, но такая вероятность весьма ничтожна.

 

> Да, про это я думал - это крайне ничтожная вероятность в нашем городе. До этого намана по L3 VPN юриков связывали. Но, вообще-то QinQ все коммутаторы поддерживают, так что.....

 

5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS ? Если локальный трафик даёте как бы бесплатно, т.е. безлимитный доступ. То обязательно скорость надо урезать, иначе в будущем будет полный бардак. Если скорость не ограничиваете по локалке, то обязательно считайте. Ваша задача зарабатывать деньги. Уверяю даже при появлении конкурентов, которые якобы будут давать всё бесплатно. Клиенты все равно выберут качество. Ибо пару пользователей качков при полной халяве всегда рады забить канал.

 

> Да, это абсолютно понятно - я с вами согласен. Я выбираю не считать локальный трафик, брать за него доп. абонку и скорость резать.

 

6. Зачем нужен BRAS ? : ) Ideco который Вы используете фактически и есть BRAS - Сервер Удаленного Контроля Широкопостного Доступа, позволяет контролировать все процессы в центре, так намного удобнее когда сеть большая.

 

> : ) Классно, у меня тоже есть типа BRAS : )

 

9. Какие могут быть препятствия в моей схеме для внедрения IPTV ? (igmp коммутаторы поддерживают) Для нормальной работы MVR в коммутаторах.

 

> MVR поддерживается

I. Что-то я гуглил-гуглил, но внятно так и не понял, что за ip-unnumbered? Это терминология Киски?

У других вендоров есть аналоги? Каковы основные прелести?

 

II. что такое svi ? кому не лень суть написать?

 

 

PS: Технологии, которые обошли меня стороной: ppoe, radius, sFlow/Netflow/ 802.1x , BGP, RIP, OSPF : )))) А так хотелось их попробовать, изучить : ))))

 

Какой, я , блин, админ, если не юзал эти штучки....

 

 

Share this post


Link to post
Share on other sites

Еще уточнение: можно и без туннелей добиться расхода в один IP на абонента вместо четырех. Фактически выходит та же точка-точка.

На клиенте:

ip address add x.x.x.y/32 dev eth0 # цепляем на интерфейс адрес с 32 маской

ip route add x.x.x.x dev eth0 src x.x.x.y # указываем маршрут на шлюз непосредственно в интерфейс

ip route add default via x.x.x.x # маршрут по умолчанию через указанный выше шлюз

На сервере:

ip address add x.x.x.x/32 dev eth0

ip route add x.x.x.y dev eth0 src x.x.x.x

либо, при другой схеме, можно на сервере указать более широкую маску. Главное, чтоб клиенты не видели друг друга.

Примеры приведены для линуха. К сожалению, Винда 32 маску указать не позволит :(

Share this post


Link to post
Share on other sites
Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе.

 

К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время....

 

А какие проблемы у вас возникают с VPN?

1 по поводу ярлыка ... а если у клиента не ПК, а домашний роутер? или на домашнем ПК не Винда, а Mac или Linux?

2 VPN я так понимаю PPTP? Тогда в случае открытого межабонентского трафика, маршруты для других подсетей прийдется отдавать по DHCP.

 

я считаю что лучше определиться - либо PPP, либо IPoE/DHCP, а скрещивать ежа с ужом...

 

II. что такое svi ? кому не лень суть написать?
грубо говоря SVI - это VLAN исполняющий L3 функции (VLAN с назначенным ip-адресом)

Share this post


Link to post
Share on other sites
хм.. а почему не /31 ?

а что человеку шлюзом будет? при такой маске только 1 айпишник выдет - клиентский... как бы изолированная единица выходит

Share this post


Link to post
Share on other sites
а что человеку шлюзом будет? при такой маске только 1 айпишник выдет - клиентский... как бы изолированная единица выходит
Я так понимаю ответ был глупость-на-глупость?

 

А почему бы не выдавать белые адреса через NAT?

И как я понял в вашей сети сейчас все оборудование работает как баласт и все разруливается через ACL?

Может в вашем случае перейти полностью на ETHERNET+NAT (убрать всякие VPN), отделить каждый свич (абонентов) на доступе в свою подсеть. Смаршрутизировать их на L3.

Edited by 2bit

Share this post


Link to post
Share on other sites
хм.. а почему не /31 ?
http://en.wikipedia.org/wiki/Subnetwork
In general the number of available hosts on a subnet can be calculated using the formula 2n - 2, where n is the number of bits used for the host portion of the address.

 

RFC 3021 specifies an exception to this rule when dealing with 31 bit subnet masks (i.e. 1 host bit). According to the above rule a 31 bit mask would allow for 21 − 2 = 0 hosts. The RFC makes allowances in this case for certain types of networks (point-to-point) to disregard the network and broadcast address, allowing two host addresses to be allocated.

Share this post


Link to post
Share on other sites

а кто пробовал? а хотя только глупыЕ ОКНА не понимают такое.

GW:10.1.1.1 255.255.255.254
CLI:10.1.1.2 255.255.255.254

Share this post


Link to post
Share on other sites
а кто пробовал? а хотя только глупыЕ ОКНА не понимают такое.

GW:10.1.1.1 255.255.255.254
CLI:10.1.1.2 255.255.255.254

А сами-то пробовали? :) боюсь, что у Вас не только ОКНА глупыми окажутся...

Во-первых, указанные вами адреса будут находиться в разных зонах /31.

Во-вторых, loopback/broadcast вроде бы пока никто не отменял. Как Вы собираетесь умудриться без них сеть создать?

Edited by Alexandr Ovcharenko

Share this post


Link to post
Share on other sites

msk3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4>
        ether 00:10:f3:11:cd:f4
        inet 10.1.1.1 netmask 0xfffffffe broadcast 10.1.1.1

 

а зачем клиенту broadcast

Edited by Telesis

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this