Перейти к содержимому
Калькуляторы

Зачем люди нарезают сети /30 на клиента?

 

1. Так какого хрена люди режут на юзера сетки /29 или /30 ?

 

Изменено пользователем white_crow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2. Так какого хрена люди режут на юзера сетки /29 или /30 ?

Предложите другой вариант БЕЗ ВПНа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS
а если на агрегации все ещё L2-железка, а доступ не поддерживает ACL?

 

6. Зачем нужен BRAS ? : )
аккаунтинг, сессии

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2. Так какого хрена люди режут на юзера сетки /29 или /30 ?
Предложите другой вариант БЕЗ ВПНа.

кажется начинаю понимать, но не совсем...

То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе?

А причём здесь VPN?

Мне VPN нужен, если надо пробросимть клиенту белый адрес.

Или клиенту нужен шифрованный тунель до центра.

А так, если есть возможность зафиксировать IP на клиента с помощью умных железок на доступе - туннели нафиг не нужны.

 

 

И ещё заметка по поводу 21 века - что пора забить на MAC адреса CPE устройств. Нам не надо устраивать гимор клиенту. И себе тоже. Пусть себе меняет ноут или сетвухи или MAC адрес в реестре Windows - пофиг. Главное - IP на порт прикручен железно. И не надо вести учёт этих маков.....

 

Это и в DOCSIS я сразу же принялся реализовывать - не прошло и года - как получилось : ))))) Зато как хорошо порнушников на фтп , в чате, на форуие банить : )))))

 

Ещё не могу понять - как люди обходятся без DHCP. Тоже гимор клиенту и сапорту.

Если уж так бояться, что вся система уязвима от одного DHCP - так поставьте второй. Сделайте резерв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а белый IP через VPN - это не гемор для клиента?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2. Так какого хрена люди режут на юзера сетки /29 или /30 ?
Предложите другой вариант БЕЗ ВПНа.

кажется начинаю понимать, но не совсем...

То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе?

Нет. Это маршрутизация.
А причём здесь VPN?

Мне VPN нужен, если надо пробросимть клиенту белый адрес.

Вы сами ответили на свой вопрос. Туннель позволяет давать адрес с 32 маской, ибо point-to-point. Иначе адреса клиента и шлюза для него должны быть в одной подсети. Вот и посчитайте, какой должна быть наиболее широкая маска, чтоб в ней поместились: адрес сети, бродкаст, адрес клиента, адрес шлюза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Предложите другой вариант БЕЗ ВПНа.

L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов.

На каждый вилан подсетка реальников. В отдельном порту висит машинка реализующая proxyy-arp внутри подсети (за одним банит сканящих подсеть, отдавая левый мак, чтоб вирусы не мешали)

 

На доступе свитчи с opt82, с разделение портов. DHCP запросы через релей на L3 идут на isg, например 72 циску, где авторизуем абонента по номеру порта.

Если ip source guard на свитчах не поддерживается, то ip-mac binding где либо на агрегации и скриптик следящий чтоб маки с порта на порт не скакали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Предложите другой вариант БЕЗ ВПНа.

L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов.

На каждый вилан подсетка реальников.

Т.е. уже получаем в подсети кого-то, кроме одного клиента и одного провайдера. Это не альтернатива сети в /30 либо туннелю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Предложите другой вариант БЕЗ ВПНа.

L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов.

На каждый вилан подсетка реальников.

Т.е. уже получаем в подсети кого-то, кроме одного клиента и одного провайдера. Это не альтернатива сети в /30 либо туннелю.

попутный вопрос: кто какое оборудование использует для терминации большого количества клиентских SVI ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Что посоветуете в центр из 10G L3 Switch ? Можете взять D-Link, Huawei. Но надежнее конечно Juniper, Сisco

 

2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Этого я не знаю

3. Какие плюсы и минусы вы видите сейчас и в перспективе в моей схеме работы? (чур только не говорить про расточительность фейковых подсетей, мол /16 на небольшой квартал - это много. Не волнуйтесь - город не большой. Фейковых адресов хватит на всех : ))) А белые адреса - очень дорого на каждого. Так что - по умолчанию: NAT.

4. На уровне агрегации района заканчиваются VLAN юзеров этого района (с доступа идут VLAN trunk///), поэтому проблем не вижу с ограничением в 4K VLAN. В другом районе начинаем нумерацию заново - ведь не пересекаются районы на L2. Юриков связываю по VPN через центр. В чём проблема VLAN на клиента? Проблема лишь в том, что клиент с одного района захочет находится в одном VLAN-e c клиентом другого района, а это уже Метро Ethernet решение, но такая вероятность весьма ничтожна.

5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS ? Если локальный трафик даёте как бы бесплатно, т.е. безлимитный доступ. То обязательно скорость надо урезать, иначе в будущем будет полный бардак. Если скорость не ограничиваете по локалке, то обязательно считайте. Ваша задача зарабатывать деньги. Уверяю даже при появлении конкурентов, которые якобы будут давать всё бесплатно. Клиенты все равно выберут качество. Ибо пару пользователей качков при полной халяве всегда рады забить канал.

6. Зачем нужен BRAS ? : ) Ideco который Вы используете фактически и есть BRAS - Сервер Удаленного Контроля Широкопостного Доступа, позволяет контролировать все процессы в центре, так намного удобнее когда сеть большая.

 

9. Какие могут быть препятствия в моей схеме для внедрения IPTV ? (igmp коммутаторы поддерживают) Для нормальной работы MVR в коммутаторах.

Изменено пользователем BudushiyISP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а белый IP через VPN - это не гемор для клиента?

Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе.

 

К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время....

 

А какие проблемы у вас возникают с VPN?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а белый IP через VPN - это не гемор для клиента?

Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе.

 

К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время....

 

А какие проблемы у вас возникают с VPN?

Никаких граблей. Просто разговоры. Кому как удобно, так и делает

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2. Так какого хрена люди режут на юзера сетки /29 или /30 ?
Предложите другой вариант БЕЗ ВПНа.

кажется начинаю понимать, но не совсем...

То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе?

Нет. Это маршрутизация.

Т.е. я так понимаю, если на доступе турые L2 свичи, то, чтобы не было бардака, каждому зверьку выдаём адрес /30. Т.е. загоняем его в свою маленькую подсеть, и связь с другими он должен держать через L3 в ценре или на агрегации, где можно уже рулить этими абонами? В этом маршрутизация? Тогда понятно. Действительно, прикольное решение. Или не так я понял?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. я так понимаю, если на доступе турые L2 свичи, то, чтобы не было бардака, каждому зверьку выдаём адрес /30. Т.е. загоняем его в свою маленькую подсеть, и связь с другими он должен держать через L3 в ценре или на агрегации, где можно уже рулить этими абонами? В этом маршрутизация? Тогда понятно. Действительно, прикольное решение. Или не так я понял?

Да, всё верно. А лучше выдавать /29 или /28, чтоб все устройства пользователя получили нужные адреса

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за ответы, вот пару уточнений:

 

1. Что посоветуете в центр из 10G L3 Switch ? Можете взять D-Link, Huawei. Но надежнее конечно Juniper, Сisco

 

> что по-поводу HP скажите?

 

2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Этого я не знаю

 

> вроде я понял, в каrих случаях это применяется, выше я рассуждал... : )

 

4. На уровне агрегации района заканчиваются VLAN юзеров этого района (с доступа идут VLAN trunk///), поэтому проблем не вижу с ограничением в 4K VLAN. В другом районе начинаем нумерацию заново - ведь не пересекаются районы на L2. Юриков связываю по VPN через центр. В чём проблема VLAN на клиента? Проблема лишь в том, что клиент с одного района захочет находится в одном VLAN-e c клиентом другого района, а это уже Метро Ethernet решение, но такая вероятность весьма ничтожна.

 

> Да, про это я думал - это крайне ничтожная вероятность в нашем городе. До этого намана по L3 VPN юриков связывали. Но, вообще-то QinQ все коммутаторы поддерживают, так что.....

 

5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS ? Если локальный трафик даёте как бы бесплатно, т.е. безлимитный доступ. То обязательно скорость надо урезать, иначе в будущем будет полный бардак. Если скорость не ограничиваете по локалке, то обязательно считайте. Ваша задача зарабатывать деньги. Уверяю даже при появлении конкурентов, которые якобы будут давать всё бесплатно. Клиенты все равно выберут качество. Ибо пару пользователей качков при полной халяве всегда рады забить канал.

 

> Да, это абсолютно понятно - я с вами согласен. Я выбираю не считать локальный трафик, брать за него доп. абонку и скорость резать.

 

6. Зачем нужен BRAS ? : ) Ideco который Вы используете фактически и есть BRAS - Сервер Удаленного Контроля Широкопостного Доступа, позволяет контролировать все процессы в центре, так намного удобнее когда сеть большая.

 

> : ) Классно, у меня тоже есть типа BRAS : )

 

9. Какие могут быть препятствия в моей схеме для внедрения IPTV ? (igmp коммутаторы поддерживают) Для нормальной работы MVR в коммутаторах.

 

> MVR поддерживается

I. Что-то я гуглил-гуглил, но внятно так и не понял, что за ip-unnumbered? Это терминология Киски?

У других вендоров есть аналоги? Каковы основные прелести?

 

II. что такое svi ? кому не лень суть написать?

 

 

PS: Технологии, которые обошли меня стороной: ppoe, radius, sFlow/Netflow/ 802.1x , BGP, RIP, OSPF : )))) А так хотелось их попробовать, изучить : ))))

 

Какой, я , блин, админ, если не юзал эти штучки....

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще уточнение: можно и без туннелей добиться расхода в один IP на абонента вместо четырех. Фактически выходит та же точка-точка.

На клиенте:

ip address add x.x.x.y/32 dev eth0 # цепляем на интерфейс адрес с 32 маской

ip route add x.x.x.x dev eth0 src x.x.x.y # указываем маршрут на шлюз непосредственно в интерфейс

ip route add default via x.x.x.x # маршрут по умолчанию через указанный выше шлюз

На сервере:

ip address add x.x.x.x/32 dev eth0

ip route add x.x.x.y dev eth0 src x.x.x.x

либо, при другой схеме, можно на сервере указать более широкую маску. Главное, чтоб клиенты не видели друг друга.

Примеры приведены для линуха. К сожалению, Винда 32 маску указать не позволит :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе.

 

К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время....

 

А какие проблемы у вас возникают с VPN?

1 по поводу ярлыка ... а если у клиента не ПК, а домашний роутер? или на домашнем ПК не Винда, а Mac или Linux?

2 VPN я так понимаю PPTP? Тогда в случае открытого межабонентского трафика, маршруты для других подсетей прийдется отдавать по DHCP.

 

я считаю что лучше определиться - либо PPP, либо IPoE/DHCP, а скрещивать ежа с ужом...

 

II. что такое svi ? кому не лень суть написать?
грубо говоря SVI - это VLAN исполняющий L3 функции (VLAN с назначенным ip-адресом)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм.. а почему не /31 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм.. а почему не /31 ?

а что человеку шлюзом будет? при такой маске только 1 айпишник выдет - клиентский... как бы изолированная единица выходит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а что человеку шлюзом будет? при такой маске только 1 айпишник выдет - клиентский... как бы изолированная единица выходит
Я так понимаю ответ был глупость-на-глупость?

 

А почему бы не выдавать белые адреса через NAT?

И как я понял в вашей сети сейчас все оборудование работает как баласт и все разруливается через ACL?

Может в вашем случае перейти полностью на ETHERNET+NAT (убрать всякие VPN), отделить каждый свич (абонентов) на доступе в свою подсеть. Смаршрутизировать их на L3.

Изменено пользователем 2bit

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хм.. а почему не /31 ?
http://en.wikipedia.org/wiki/Subnetwork
In general the number of available hosts on a subnet can be calculated using the formula 2n - 2, where n is the number of bits used for the host portion of the address.

 

RFC 3021 specifies an exception to this rule when dealing with 31 bit subnet masks (i.e. 1 host bit). According to the above rule a 31 bit mask would allow for 21 − 2 = 0 hosts. The RFC makes allowances in this case for certain types of networks (point-to-point) to disregard the network and broadcast address, allowing two host addresses to be allocated.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а кто пробовал? а хотя только глупыЕ ОКНА не понимают такое.

GW:10.1.1.1 255.255.255.254
CLI:10.1.1.2 255.255.255.254

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а кто пробовал? а хотя только глупыЕ ОКНА не понимают такое.

GW:10.1.1.1 255.255.255.254
CLI:10.1.1.2 255.255.255.254

А сами-то пробовали? :) боюсь, что у Вас не только ОКНА глупыми окажутся...

Во-первых, указанные вами адреса будут находиться в разных зонах /31.

Во-вторых, loopback/broadcast вроде бы пока никто не отменял. Как Вы собираетесь умудриться без них сеть создать?

Изменено пользователем Alexandr Ovcharenko

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

msk3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4>
        ether 00:10:f3:11:cd:f4
        inet 10.1.1.1 netmask 0xfffffffe broadcast 10.1.1.1

 

а зачем клиенту broadcast

Изменено пользователем Telesis

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проверено, винда по dhcp отлично берет /32 ип и адрес шлюза в любой подсети.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.