white_crow Опубликовано 22 марта, 2009 (изменено) · Жалоба 1. Так какого хрена люди режут на юзера сетки /29 или /30 ? Изменено 8 июля, 2009 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 22 марта, 2009 · Жалоба 2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Предложите другой вариант БЕЗ ВПНа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 22 марта, 2009 · Жалоба 5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoSа если на агрегации все ещё L2-железка, а доступ не поддерживает ACL? 6. Зачем нужен BRAS ? : )аккаунтинг, сессии Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 22 марта, 2009 · Жалоба 2. Так какого хрена люди режут на юзера сетки /29 или /30 ?Предложите другой вариант БЕЗ ВПНа. кажется начинаю понимать, но не совсем...То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе? А причём здесь VPN? Мне VPN нужен, если надо пробросимть клиенту белый адрес. Или клиенту нужен шифрованный тунель до центра. А так, если есть возможность зафиксировать IP на клиента с помощью умных железок на доступе - туннели нафиг не нужны. И ещё заметка по поводу 21 века - что пора забить на MAC адреса CPE устройств. Нам не надо устраивать гимор клиенту. И себе тоже. Пусть себе меняет ноут или сетвухи или MAC адрес в реестре Windows - пофиг. Главное - IP на порт прикручен железно. И не надо вести учёт этих маков..... Это и в DOCSIS я сразу же принялся реализовывать - не прошло и года - как получилось : ))))) Зато как хорошо порнушников на фтп , в чате, на форуие банить : ))))) Ещё не могу понять - как люди обходятся без DHCP. Тоже гимор клиенту и сапорту. Если уж так бояться, что вся система уязвима от одного DHCP - так поставьте второй. Сделайте резерв. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 22 марта, 2009 · Жалоба а белый IP через VPN - это не гемор для клиента? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 22 марта, 2009 · Жалоба 2. Так какого хрена люди режут на юзера сетки /29 или /30 ?Предложите другой вариант БЕЗ ВПНа. кажется начинаю понимать, но не совсем...То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе? Нет. Это маршрутизация.А причём здесь VPN? Мне VPN нужен, если надо пробросимть клиенту белый адрес. Вы сами ответили на свой вопрос. Туннель позволяет давать адрес с 32 маской, ибо point-to-point. Иначе адреса клиента и шлюза для него должны быть в одной подсети. Вот и посчитайте, какой должна быть наиболее широкая маска, чтоб в ней поместились: адрес сети, бродкаст, адрес клиента, адрес шлюза. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 22 марта, 2009 · Жалоба Предложите другой вариант БЕЗ ВПНа. L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов. На каждый вилан подсетка реальников. В отдельном порту висит машинка реализующая proxyy-arp внутри подсети (за одним банит сканящих подсеть, отдавая левый мак, чтоб вирусы не мешали) На доступе свитчи с opt82, с разделение портов. DHCP запросы через релей на L3 идут на isg, например 72 циску, где авторизуем абонента по номеру порта. Если ip source guard на свитчах не поддерживается, то ip-mac binding где либо на агрегации и скриптик следящий чтоб маки с порта на порт не скакали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 22 марта, 2009 · Жалоба Предложите другой вариант БЕЗ ВПНа. L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов. На каждый вилан подсетка реальников. Т.е. уже получаем в подсети кого-то, кроме одного клиента и одного провайдера. Это не альтернатива сети в /30 либо туннелю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
4vlad Опубликовано 22 марта, 2009 · Жалоба Предложите другой вариант БЕЗ ВПНа. L3 в центр, каждый порт - свой вилан, L2 свитчи с изоляцией портов. На каждый вилан подсетка реальников. Т.е. уже получаем в подсети кого-то, кроме одного клиента и одного провайдера. Это не альтернатива сети в /30 либо туннелю. попутный вопрос: кто какое оборудование использует для терминации большого количества клиентских SVI ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 22 марта, 2009 (изменено) · Жалоба 1. Что посоветуете в центр из 10G L3 Switch ? Можете взять D-Link, Huawei. Но надежнее конечно Juniper, Сisco 2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Этого я не знаю 3. Какие плюсы и минусы вы видите сейчас и в перспективе в моей схеме работы? (чур только не говорить про расточительность фейковых подсетей, мол /16 на небольшой квартал - это много. Не волнуйтесь - город не большой. Фейковых адресов хватит на всех : ))) А белые адреса - очень дорого на каждого. Так что - по умолчанию: NAT. 4. На уровне агрегации района заканчиваются VLAN юзеров этого района (с доступа идут VLAN trunk///), поэтому проблем не вижу с ограничением в 4K VLAN. В другом районе начинаем нумерацию заново - ведь не пересекаются районы на L2. Юриков связываю по VPN через центр. В чём проблема VLAN на клиента? Проблема лишь в том, что клиент с одного района захочет находится в одном VLAN-e c клиентом другого района, а это уже Метро Ethernet решение, но такая вероятность весьма ничтожна. 5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS ? Если локальный трафик даёте как бы бесплатно, т.е. безлимитный доступ. То обязательно скорость надо урезать, иначе в будущем будет полный бардак. Если скорость не ограничиваете по локалке, то обязательно считайте. Ваша задача зарабатывать деньги. Уверяю даже при появлении конкурентов, которые якобы будут давать всё бесплатно. Клиенты все равно выберут качество. Ибо пару пользователей качков при полной халяве всегда рады забить канал. 6. Зачем нужен BRAS ? : ) Ideco который Вы используете фактически и есть BRAS - Сервер Удаленного Контроля Широкопостного Доступа, позволяет контролировать все процессы в центре, так намного удобнее когда сеть большая. 9. Какие могут быть препятствия в моей схеме для внедрения IPTV ? (igmp коммутаторы поддерживают) Для нормальной работы MVR в коммутаторах. Изменено 22 марта, 2009 пользователем BudushiyISP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 22 марта, 2009 · Жалоба а белый IP через VPN - это не гемор для клиента? Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе. К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время.... А какие проблемы у вас возникают с VPN? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BudushiyISP Опубликовано 22 марта, 2009 · Жалоба а белый IP через VPN - это не гемор для клиента? Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе. К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время.... А какие проблемы у вас возникают с VPN? Никаких граблей. Просто разговоры. Кому как удобно, так и делает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 22 марта, 2009 · Жалоба 2. Так какого хрена люди режут на юзера сетки /29 или /30 ?Предложите другой вариант БЕЗ ВПНа. кажется начинаю понимать, но не совсем...То бишь - это изоляция зверьков (абонов) ? Это когда нет поддержки VLAN на доступе? Нет. Это маршрутизация. Т.е. я так понимаю, если на доступе турые L2 свичи, то, чтобы не было бардака, каждому зверьку выдаём адрес /30. Т.е. загоняем его в свою маленькую подсеть, и связь с другими он должен держать через L3 в ценре или на агрегации, где можно уже рулить этими абонами? В этом маршрутизация? Тогда понятно. Действительно, прикольное решение. Или не так я понял? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 22 марта, 2009 · Жалоба Т.е. я так понимаю, если на доступе турые L2 свичи, то, чтобы не было бардака, каждому зверьку выдаём адрес /30. Т.е. загоняем его в свою маленькую подсеть, и связь с другими он должен держать через L3 в ценре или на агрегации, где можно уже рулить этими абонами? В этом маршрутизация? Тогда понятно. Действительно, прикольное решение. Или не так я понял? Да, всё верно. А лучше выдавать /29 или /28, чтоб все устройства пользователя получили нужные адреса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 22 марта, 2009 · Жалоба Спасибо за ответы, вот пару уточнений: 1. Что посоветуете в центр из 10G L3 Switch ? Можете взять D-Link, Huawei. Но надежнее конечно Juniper, Сisco > что по-поводу HP скажите? 2. Так какого хрена люди режут на юзера сетки /29 или /30 ? Этого я не знаю > вроде я понял, в каrих случаях это применяется, выше я рассуждал... : ) 4. На уровне агрегации района заканчиваются VLAN юзеров этого района (с доступа идут VLAN trunk///), поэтому проблем не вижу с ограничением в 4K VLAN. В другом районе начинаем нумерацию заново - ведь не пересекаются районы на L2. Юриков связываю по VPN через центр. В чём проблема VLAN на клиента? Проблема лишь в том, что клиент с одного района захочет находится в одном VLAN-e c клиентом другого района, а это уже Метро Ethernet решение, но такая вероятность весьма ничтожна. > Да, про это я думал - это крайне ничтожная вероятность в нашем городе. До этого намана по L3 VPN юриков связывали. Но, вообще-то QinQ все коммутаторы поддерживают, так что..... 5. Нахрена некоторые гонят траф в центр, если нужно его по максимому оставить в раонах? Чтобы подсчитать по SFlow/NetFlow на ядрах? Может лучше брать доп. абонку за локальный траф и чутка его подрезать , если уж сильно валит и Юзать разные варианты QoS ? Если локальный трафик даёте как бы бесплатно, т.е. безлимитный доступ. То обязательно скорость надо урезать, иначе в будущем будет полный бардак. Если скорость не ограничиваете по локалке, то обязательно считайте. Ваша задача зарабатывать деньги. Уверяю даже при появлении конкурентов, которые якобы будут давать всё бесплатно. Клиенты все равно выберут качество. Ибо пару пользователей качков при полной халяве всегда рады забить канал. > Да, это абсолютно понятно - я с вами согласен. Я выбираю не считать локальный трафик, брать за него доп. абонку и скорость резать. 6. Зачем нужен BRAS ? : ) Ideco который Вы используете фактически и есть BRAS - Сервер Удаленного Контроля Широкопостного Доступа, позволяет контролировать все процессы в центре, так намного удобнее когда сеть большая. > : ) Классно, у меня тоже есть типа BRAS : ) 9. Какие могут быть препятствия в моей схеме для внедрения IPTV ? (igmp коммутаторы поддерживают) Для нормальной работы MVR в коммутаторах. > MVR поддерживается I. Что-то я гуглил-гуглил, но внятно так и не понял, что за ip-unnumbered? Это терминология Киски? У других вендоров есть аналоги? Каковы основные прелести? II. что такое svi ? кому не лень суть написать? PS: Технологии, которые обошли меня стороной: ppoe, radius, sFlow/Netflow/ 802.1x , BGP, RIP, OSPF : )))) А так хотелось их попробовать, изучить : )))) Какой, я , блин, админ, если не юзал эти штучки.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 22 марта, 2009 · Жалоба Еще уточнение: можно и без туннелей добиться расхода в один IP на абонента вместо четырех. Фактически выходит та же точка-точка. На клиенте: ip address add x.x.x.y/32 dev eth0 # цепляем на интерфейс адрес с 32 маской ip route add x.x.x.x dev eth0 src x.x.x.y # указываем маршрут на шлюз непосредственно в интерфейс ip route add default via x.x.x.x # маршрут по умолчанию через указанный выше шлюз На сервере: ip address add x.x.x.x/32 dev eth0 ip route add x.x.x.y dev eth0 src x.x.x.x либо, при другой схеме, можно на сервере указать более широкую маску. Главное, чтоб клиенты не видели друг друга. Примеры приведены для линуха. К сожалению, Винда 32 маску указать не позволит :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 22 марта, 2009 · Жалоба Не замечал никаого гемора - клиент скачивает с локального сайта скриптик "Автоматическя настройка VPN", запускает - и вуаля - настроенный ярлык на рабочем столе. К тому же, людей, которым нужен белый адрес - очень мало и они более продвинутые. Остальных NAT устраивает. А белых адресов мало и за них надо платить всё время.... А какие проблемы у вас возникают с VPN? 1 по поводу ярлыка ... а если у клиента не ПК, а домашний роутер? или на домашнем ПК не Винда, а Mac или Linux?2 VPN я так понимаю PPTP? Тогда в случае открытого межабонентского трафика, маршруты для других подсетей прийдется отдавать по DHCP. я считаю что лучше определиться - либо PPP, либо IPoE/DHCP, а скрещивать ежа с ужом... II. что такое svi ? кому не лень суть написать?грубо говоря SVI - это VLAN исполняющий L3 функции (VLAN с назначенным ip-адресом) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 23 марта, 2009 · Жалоба хм.. а почему не /31 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nallien Опубликовано 23 марта, 2009 · Жалоба хм.. а почему не /31 ? а что человеку шлюзом будет? при такой маске только 1 айпишник выдет - клиентский... как бы изолированная единица выходит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
2bit Опубликовано 23 марта, 2009 (изменено) · Жалоба а что человеку шлюзом будет? при такой маске только 1 айпишник выдет - клиентский... как бы изолированная единица выходитЯ так понимаю ответ был глупость-на-глупость? А почему бы не выдавать белые адреса через NAT? И как я понял в вашей сети сейчас все оборудование работает как баласт и все разруливается через ACL? Может в вашем случае перейти полностью на ETHERNET+NAT (убрать всякие VPN), отделить каждый свич (абонентов) на доступе в свою подсеть. Смаршрутизировать их на L3. Изменено 23 марта, 2009 пользователем 2bit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 23 марта, 2009 · Жалоба хм.. а почему не /31 ? http://en.wikipedia.org/wiki/SubnetworkIn general the number of available hosts on a subnet can be calculated using the formula 2n - 2, where n is the number of bits used for the host portion of the address. RFC 3021 specifies an exception to this rule when dealing with 31 bit subnet masks (i.e. 1 host bit). According to the above rule a 31 bit mask would allow for 21 − 2 = 0 hosts. The RFC makes allowances in this case for certain types of networks (point-to-point) to disregard the network and broadcast address, allowing two host addresses to be allocated. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 23 марта, 2009 · Жалоба а кто пробовал? а хотя только глупыЕ ОКНА не понимают такое. GW:10.1.1.1 255.255.255.254 CLI:10.1.1.2 255.255.255.254 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 23 марта, 2009 (изменено) · Жалоба а кто пробовал? а хотя только глупыЕ ОКНА не понимают такое. GW:10.1.1.1 255.255.255.254 CLI:10.1.1.2 255.255.255.254 А сами-то пробовали? :) боюсь, что у Вас не только ОКНА глупыми окажутся...Во-первых, указанные вами адреса будут находиться в разных зонах /31. Во-вторых, loopback/broadcast вроде бы пока никто не отменял. Как Вы собираетесь умудриться без них сеть создать? Изменено 23 марта, 2009 пользователем Alexandr Ovcharenko Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Telesis Опубликовано 23 марта, 2009 (изменено) · Жалоба msk3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=11a<TXCSUM,VLAN_MTU,VLAN_HWTAGGING,TSO4> ether 00:10:f3:11:cd:f4 inet 10.1.1.1 netmask 0xfffffffe broadcast 10.1.1.1 а зачем клиенту broadcast Изменено 23 марта, 2009 пользователем Telesis Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 23 марта, 2009 · Жалоба Проверено, винда по dhcp отлично берет /32 ип и адрес шлюза в любой подсети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...