white_crow Posted March 22, 2009 Posted March 22, 2009 (edited) 1. Так какого хрена люди режут на юзера сетки /29 или /30 ? Edited July 8, 2009 by white_crow Вставить ник Quote
EvilShadow Posted March 22, 2009 Posted March 22, 2009 2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Предложите другой вариант БЕЗ ВПНа. Вставить ник Quote
DemYaN Posted March 22, 2009 Posted March 22, 2009 5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoSа если на агрегации все ещё L2-железка, а доступ не поддерживает ACL? 6. Зачем нужен BRAS ? : )аккаунтинг, сессии Вставить ник Quote
white_crow Posted March 22, 2009 Author Posted March 22, 2009 2. Так какого хрена люди режут на юзера сетки /29 или /30 ?Предложите другой вариант БЕЗ ВПНа. кажется начинаю понимать, но не совсем...То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе? А причём здесь VPN? Мне VPN нужен, если надо пробросимть клиенту белый адрес. Или клиенту нужен шифрованный тунель до центра. А так, если есть возможность зафиксировать IP на клиента с помощью умных железок на доступе - туннели нафиг не нужны. И ещё заметка по поводу 21 века - что пора забить на MAC адреса CPE устройств. Нам не надо устраивать гимор клиенту. И себе тоже. Пусть себе меняет ноут или сетвухи или MAC адрес в реестре Windows - пофиг. Главное - IP на порт прикручен железно. И не надо вести учёт этих маков..... Это и в DOCSIS я сразу же принялся реализовывать - не прошло и года - как получилось : ))))) Зато как хорошо порнушников на фтп , в чате, на форуие банить : ))))) Ещё не могу понять - как люди обходятся без DHCP. Тоже гимор клиенту и сапорту. Если уж так бояться, что вся система уязвима от одного DHCP - так поставьте второй. Сделайте резерв. Вставить ник Quote
DemYaN Posted March 22, 2009 Posted March 22, 2009 а белый IP через VPN - это не гемор для клиента? Вставить ник Quote
EvilShadow Posted March 22, 2009 Posted March 22, 2009 2. Так какого хрена люди режут на юзера сетки /29 или /30 ?Предложите другой вариант БЕЗ ВПНа. кажется начинаю понимать, но не совсем...То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе? Нет. Это маршрутизация.А причём здесь VPN? Мне VPN нужен, если надо пробросимть клиенту белый адрес. Вы сами ответили на свой вопрос. Туннель позволяет давать адрес с 32 маской, ибо point-to-point. Иначе адреса клиента и шлюза для него должны быть в одной подсети. Вот и посчитайте, какой должна быть наиболее широкая маска, чтоб в ней поместились: адрес сети, бродкаст, адрес клиента, адрес шлюза. Вставить ник Quote
Дегтярев Илья Posted March 22, 2009 Posted March 22, 2009 Предложите другой вариант БЕЗ ВПНа. L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов. На каждый вилан подсетка реальников. В отдельном порту висит машинка реализующая proxyy-arp внутри подсети (за одним банит сканящих подсеть, отдавая левый мак, чтоб вирусы не мешали) На доступе свитчи с opt82, с разделение портов. DHCP запросы через релей на L3 идут на isg, например 72 циску, где авторизуем абонента по номеру порта. Если ip source guard на свитчах не поддерживается, то ip-mac binding где либо на агрегации и скриптик следящий чтоб маки с порта на порт не скакали. Вставить ник Quote
EvilShadow Posted March 22, 2009 Posted March 22, 2009 Предложите другой вариант БЕЗ ВПНа. L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов. На каждый вилан подсетка реальников. Т.е. уже получаем в подсети кого-то, кроме одного клиента и одного провайдера. Это не альтернатива сети в /30 либо туннелю. Вставить ник Quote
4vlad Posted March 22, 2009 Posted March 22, 2009 Предложите другой вариант БЕЗ ВПНа. L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов. На каждый вилан подсетка реальников. Т.е. уже получаем в подсети кого-то, кроме одного клиента и одного провайдера. Это не альтернатива сети в /30 либо туннелю. попутный вопрос: кто какое оборудование использует для терминации большого количества клиентских SVI ? Вставить ник Quote
BudushiyISP Posted March 22, 2009 Posted March 22, 2009 (edited) 1. Что посоветуете в центр из 10G L3 Switch ? Можете взять D-Link, Huawei. Но надежнее конечно Juniper, Сisco 2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Этого я не знаю 3. Какие плюсы и минусы вы видите сейчас и в перспективе в моей схеме работы? (чур только не говорить про расточительность фейковых подсетей, мол /16 на небольшой квартал - это много. Не волнуйтесь - город не большой. Фейковых адресов хватит на всех : ))) А белые адреса - очень дорого на каждого. Так что - по умолчанию: NAT. 4. На уровне агрегации района заканчиваются VLAN юзеров этого района (с доступа идут VLAN trunk///), поэтому проблем не вижу с ограничением в 4K VLAN. В другом районе начинаем нумерацию заново - ведь не пересекаются районы на L2. Юриков связываю по VPN через центр. В чём проблема VLAN на клиента? Проблема лишь в том, что клиент с одного района захочет находится в одном VLAN-e c клиентом другого района, а это уже Метро Ethernet решение, но такая вероятность весьма ничтожна. 5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS ? Если локальный трафик даёте как бы бесплатно, т.е. безлимитный доступ. То обязательно скорость надо урезать, иначе в будущем будет полный бардак. Если скорость не ограничиваете по локалке, то обязательно считайте. Ваша задача зарабатывать деньги. Уверяю даже при появлении конкурентов, которые якобы будут давать всё бесплатно. Клиенты все равно выберут качество. Ибо пару пользователей качков при полной халяве всегда рады забить канал. 6. Зачем нужен BRAS ? : ) Ideco который Вы используете фактически и есть BRAS - Сервер Удаленного Контроля Широкопостного Доступа, позволяет контролировать все процессы в центре, так намного удобнее когда сеть большая. 9. Какие могут быть препятствия в моей схеме для внедрения IPTV ? (igmp коммутаторы поддерживают) Для нормальной работы MVR в коммутаторах. Edited March 22, 2009 by BudushiyISP Вставить ник Quote
white_crow Posted March 22, 2009 Author Posted March 22, 2009 а белый IP через VPN - это не гемор для клиента? Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе. К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время.... А какие проблемы у вас возникают с VPN? Вставить ник Quote
BudushiyISP Posted March 22, 2009 Posted March 22, 2009 а белый IP через VPN - это не гемор для клиента? Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе. К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время.... А какие проблемы у вас возникают с VPN? Никаких граблей. Просто разговоры. Кому как удобно, так и делает Вставить ник Quote
white_crow Posted March 22, 2009 Author Posted March 22, 2009 2. Так какого хрена люди режут на юзера сетки /29 или /30 ?Предложите другой вариант БЕЗ ВПНа. кажется начинаю понимать, но не совсем...То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе? Нет. Это маршрутизация. Т.е. я так понимаю, если на доступе турые L2 свичи, то, чтобы не было бардака, каждому зверьку выдаём адрес /30. Т.е. загоняем его в свою маленькую подсеть, и связь с другими он должен держать через L3 в ценре или на агрегации, где можно уже рулить этими абонами? В этом маршрутизация? Тогда понятно. Действительно, прикольное решение. Или не так я понял? Вставить ник Quote
L-ZiX Posted March 22, 2009 Posted March 22, 2009 Т.е. я так понимаю, если на доступе турые L2 свичи, то, чтобы не было бардака, каждому зверьку выдаём адрес /30. Т.е. загоняем его в свою маленькую подсеть, и связь с другими он должен держать через L3 в ценре или на агрегации, где можно уже рулить этими абонами? В этом маршрутизация? Тогда понятно. Действительно, прикольное решение. Или не так я понял? Да, всё верно. А лучше выдавать /29 или /28, чтоб все устройства пользователя получили нужные адреса Вставить ник Quote
white_crow Posted March 22, 2009 Author Posted March 22, 2009 Спасибо за ответы, вот пару уточнений: 1. Что посоветуете в центр из 10G L3 Switch ? Можете взять D-Link, Huawei. Но надежнее конечно Juniper, Сisco > что по-поводу HP скажите? 2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Этого я не знаю > вроде я понял, в каrих случаях это применяется, выше я рассуждал... : ) 4. На уровне агрегации района заканчиваются VLAN юзеров этого района (с доступа идут VLAN trunk///), поэтому проблем не вижу с ограничением в 4K VLAN. В другом районе начинаем нумерацию заново - ведь не пересекаются районы на L2. Юриков связываю по VPN через центр. В чём проблема VLAN на клиента? Проблема лишь в том, что клиент с одного района захочет находится в одном VLAN-e c клиентом другого района, а это уже Метро Ethernet решение, но такая вероятность весьма ничтожна. > Да, про это я думал - это крайне ничтожная вероятность в нашем городе. До этого намана по L3 VPN юриков связывали. Но, вообще-то QinQ все коммутаторы поддерживают, так что..... 5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS ? Если локальный трафик даёте как бы бесплатно, т.е. безлимитный доступ. То обязательно скорость надо урезать, иначе в будущем будет полный бардак. Если скорость не ограничиваете по локалке, то обязательно считайте. Ваша задача зарабатывать деньги. Уверяю даже при появлении конкурентов, которые якобы будут давать всё бесплатно. Клиенты все равно выберут качество. Ибо пару пользователей качков при полной халяве всегда рады забить канал. > Да, это абсолютно понятно - я с вами согласен. Я выбираю не считать локальный трафик, брать за него доп. абонку и скорость резать. 6. Зачем нужен BRAS ? : ) Ideco который Вы используете фактически и есть BRAS - Сервер Удаленного Контроля Широкопостного Доступа, позволяет контролировать все процессы в центре, так намного удобнее когда сеть большая. > : ) Классно, у меня тоже есть типа BRAS : ) 9. Какие могут быть препятствия в моей схеме для внедрения IPTV ? (igmp коммутаторы поддерживают) Для нормальной работы MVR в коммутаторах. > MVR поддерживается I. Что-то я гуглил-гуглил, но внятно так и не понял, что за ip-unnumbered? Это терминология Киски? У других вендоров есть аналоги? Каковы основные прелести? II. что такое svi ? кому не лень суть написать? PS: Технологии, которые обошли меня стороной: ppoe, radius, sFlow/Netflow/ 802.1x , BGP, RIP, OSPF : )))) А так хотелось их попробовать, изучить : )))) Какой, я , блин, админ, если не юзал эти штучки.... Вставить ник Quote
EvilShadow Posted March 22, 2009 Posted March 22, 2009 Еще уточнение: можно и без туннелей добиться расхода в один IP на абонента вместо четырех. Фактически выходит та же точка-точка. На клиенте: ip address add x.x.x.y/32 dev eth0 # цепляем на интерфейс адрес с 32 маской ip route add x.x.x.x dev eth0 src x.x.x.y # указываем маршрут на шлюз непосредственно в интерфейс ip route add default via x.x.x.x # маршрут по умолчанию через указанный выше шлюз На сервере: ip address add x.x.x.x/32 dev eth0 ip route add x.x.x.y dev eth0 src x.x.x.x либо, при другой схеме, можно на сервере указать более широкую маску. Главное, чтоб клиенты не видели друг друга. Примеры приведены для линуха. К сожалению, Винда 32 маску указать не позволит :( Вставить ник Quote
DemYaN Posted March 22, 2009 Posted March 22, 2009 Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе. К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время.... А какие проблемы у вас возникают с VPN? 1 по поводу ярлыка ... а если у клиента не ПК, а домашний роутер? или на домашнем ПК не Винда, а Mac или Linux?2 VPN я так понимаю PPTP? Тогда в случае открытого межабонентского трафика, маршруты для других подсетей прийдется отдавать по DHCP. я считаю что лучше определиться - либо PPP, либо IPoE/DHCP, а скрещивать ежа с ужом... II. что такое svi ? кому не лень суть написать?грубо говоря SVI - это VLAN исполняющий L3 функции (VLAN с назначенным ip-адресом) Вставить ник Quote
Nallien Posted March 23, 2009 Posted March 23, 2009 хм.. а почему не /31 ? а что человеку шлюзом будет? при такой маске только 1 айпишник выдет - клиентский... как бы изолированная единица выходит Вставить ник Quote
2bit Posted March 23, 2009 Posted March 23, 2009 (edited) а что человеку шлюзом будет? при такой маске только 1 айпишник выдет - клиентский... как бы изолированная единица выходитЯ так понимаю ответ был глупость-на-глупость? А почему бы не выдавать белые адреса через NAT? И как я понял в вашей сети сейчас все оборудование работает как баласт и все разруливается через ACL? Может в вашем случае перейти полностью на ETHERNET+NAT (убрать всякие VPN), отделить каждый свич (абонентов) на доступе в свою подсеть. Смаршрутизировать их на L3. Edited March 23, 2009 by 2bit Вставить ник Quote
EvilShadow Posted March 23, 2009 Posted March 23, 2009 хм.. а почему не /31 ? http://en.wikipedia.org/wiki/SubnetworkIn general the number of available hosts on a subnet can be calculated using the formula 2n - 2, where n is the number of bits used for the host portion of the address. RFC 3021 specifies an exception to this rule when dealing with 31 bit subnet masks (i.e. 1 host bit). According to the above rule a 31 bit mask would allow for 21 − 2 = 0 hosts. The RFC makes allowances in this case for certain types of networks (point-to-point) to disregard the network and broadcast address, allowing two host addresses to be allocated. Вставить ник Quote
Telesis Posted March 23, 2009 Posted March 23, 2009 а кто пробовал? а хотя только глупыЕ ОКНА не понимают такое. GW:10.1.1.1 255.255.255.254 CLI:10.1.1.2 255.255.255.254 Вставить ник Quote
Alexandr Ovcharenko Posted March 23, 2009 Posted March 23, 2009 (edited) а кто пробовал? а хотя только глупыЕ ОКНА не понимают такое. GW:10.1.1.1 255.255.255.254 CLI:10.1.1.2 255.255.255.254 А сами-то пробовали? :) боюсь, что у Вас не только ОКНА глупыми окажутся...Во-первых, указанные вами адреса будут находиться в разных зонах /31. Во-вторых, loopback/broadcast вроде бы пока никто не отменял. Как Вы собираетесь умудриться без них сеть создать? Edited March 23, 2009 by Alexandr Ovcharenko Вставить ник Quote
Telesis Posted March 23, 2009 Posted March 23, 2009 (edited) msk3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4> ether 00:10:f3:11:cd:f4 inet 10.1.1.1 netmask 0xfffffffe broadcast 10.1.1.1 а зачем клиенту broadcast Edited March 23, 2009 by Telesis Вставить ник Quote
Дегтярев Илья Posted March 23, 2009 Posted March 23, 2009 Проверено, винда по dhcp отлично берет /32 ип и адрес шлюза в любой подсети. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.