Jump to content

#360. Мозги. Доступ или агрегация?

Nag

By Nag
in У нага

 Share

Recommended Posts

  • Replies 231
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

rapsody

rapsody

Posted
Posted

В коммутаторах доступа понадобится:

 

Поддержка 802.1q VLAN + SSH для удаленного управления. Необходимо ограничить обмен Ethernet трафиком между абонентами, что бы у него был только один путь – в сторону агрегации, где будут решены проблемы сетевых атак (ARP spoofing, IP spoofing и т.д.), приоритезации, классификации и фильтрации трафика на аппаратном уровне.

 

На агрегации:

 

Поддержка функций IP Source Guard, Dynamic ARP Inspection, DHCP snooping, DHCP option 82 insertion, QoS, VLAN ACL или аналогов на оборудовании агрегации.

 

А на доступе DHCP option 82 не нужен будет получается ? А как тогда выдавать ip ? И как защититься от подмены ip ?

D^2

D^2

Posted
Posted

ip по номеру vlan.

ip source guard от ip spoofing.

+ с использованием ip unnumbered на агрегации не будет маршрута на абонента, если он не получил IP по DHCP

rapsody

rapsody

Posted
Posted
ip по номеру vlan.

Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ?

 

Skylord

Skylord

Posted
Posted
В коммутаторах доступа понадобится:

 

Поддержка 802.1q VLAN + SSH для удаленного управления. Необходимо ограничить обмен Ethernet трафиком между абонентами, что бы у него был только один путь – в сторону агрегации, где будут решены проблемы сетевых атак (ARP spoofing, IP spoofing и т.д.), приоритезации, классификации и фильтрации трафика на аппаратном уровне.

 

На агрегации:

 

Поддержка функций IP Source Guard, Dynamic ARP Inspection, DHCP snooping, DHCP option 82 insertion, QoS, VLAN ACL или аналогов на оборудовании агрегации.

 

А на доступе DHCP option 82 не нужен будет получается ? А как тогда выдавать ip ? И как защититься от подмены ip ?

А option 82 на доступен сейчас не проблема - есть в любой китайской "мыльнице".

На самом деле, симптоматично, что подобная тема поднята на Наге. Я нечто в подобном ключе (только более простым и бытовым языком написанное и с упором в немного другие моменты) постил около месяца назад на другом форуме. Если в тезисах, то при работе по обсуждаемой схеме как ни крути но "серьезная" фильтрация все равно уйдет на агрегацию, а значит по сравнению с "интеллектуальным доступом" уровень защищенности будет ниже. С другой стороны, если мы строим новую сеть и сеть эта - полная "звезда" (что, как уже было убедительно продемонстрировано, ни фига не дороже, но зато проще и радостнее), то уровень этой самой защищенности падает не так значительно - с порта до коммутатора. А вот тут уже каждый сам принимает решение и расставляет приоритеты. :-) На мой личный взгляд - овчинка выделки вполне стоит.

rapsody

rapsody

Posted
Posted
А option 82 на доступен сейчас не проблема - есть в любой китайской "мыльнице".

Так не проблема конечно ... но уже есть сотня коммутаторов без него.

Sonne

Sonne

Posted
Posted
ip по номеру vlan.

Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ?

 

Порт - VLAN - IP однозначное соответствие возникающее в момент подключения абонента, opt 82 не требуется.

 

DHCP сервер выдает IP в соответсвии с интерфейсом.

D^2

D^2

Posted
Posted
ip по номеру vlan.

Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ?

завести каждый порт в отдельный vlan. засунуть все vlan в trunk порт.

на 3550 засовывать opt.82 в прилетающие запросы. на dhcp сервере с поддержкой opt.82 прописать соответствие vlan (из agent.circuitid) к пулу.

Cr_net

Cr_net

Posted
Posted

Для услуги шпд, разница в влан на пользователя или влан на коммутатор или влан на группу коммутаторов

наличии qinq и selective qinq на агрегации для влан на пользователя,

рабочий dhcp opt-82, traffic segmentation и прочее security для влан на коммутатор

Аналог uni-vlan для влан на группу коммутаторов

И общая сервисная модель всё равно влан пер сервис.

Skylord

Skylord

Posted
Posted
А option 82 на доступе сейчас не проблема - есть в любой китайской "мыльнице".

Так не проблема конечно ... но уже есть сотня коммутаторов без него.

Ну, это уже се ля ви, так сказать... Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-) А вот если уже есть тяжкий груз из оборудования предыдущего поколения, да еще и n тысяч пользователей на нем висящих, то читать статьи по построение сетей лучше даже не начинать - тоскливо и грустно становится. :-)

 

Вроде для DES-3526 есть ACL для привязки IPv6 связки IP+MAC Binding.
Да дело не в IPv6 и не в биндинге, а в Packet Content Filtering, которым хоть IPv6, хоть еще чего фильтруй... И есть в этом большая заслуга ДЛинка, ибо гибкость - рулит! :-)

 

 

Для услуги шпд, разница в влан на пользователя или влан на коммутатор или влан на группу коммутаторов

наличии qinq и selective qinq на агрегации для влан на пользователя,

рабочий dhcp opt-82, traffic segmentation и прочее security для влан на коммутатор

Аналог uni-vlan для влан на группу коммутаторов

И общая сервисная модель всё равно влан пер сервис.

Оно-то все понятно... Речь как раз о том, можно ли сэкономить разложив изначально яйца по корзинам и выбирая корзины, которые выполняют четко определенные, пусть и ограниченные, функции, вместо универсальных корзин, в которых можно хранить разнообразные яйца, разной формы, цветов и в разных местах. :-)

 

 

Nag

Nag

Posted
  • Author
Posted
. Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-)

Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...

Nafanya

Nafanya

Posted
Posted
. Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-)
Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...

зато представлено вполне вменяемыми брендами
dk_spb

dk_spb

Posted
Posted

Вот всегда мне нравились люди, которые вместо игры ценой и криков "кризис пришёл, распродажа б/у Cisco" умеют статеечку тиснуть.

тока вот передёргивать по еще, увы, не разучились, несмотря на кризис.

Конечно это наглядно, для "дорого решения" посчитать DES-3550 по $670, а для "дешевого" ES3526XA по #230.

Только вот в большинстве случаев получается что два DES-3526 не только дешевле одного DES-3550, но и удобнее (учитывая длину линков до абонентов и кол-во абонентов в подъезде).

Да и цена на DES-3526 уже давно никак не выше ES3526XA.

Поэтому при одном свиче на дом (в большинстве случаев, так как в большой доме не хватает 100 метров и все-равно два по 24 порта ставят) речь идёт об экономии в $80 при кЕтайском нонаме в дешевом случае, который дешевый во всех смыслах (не только в цене).

 

Да и вообще подход к теме очень понравился. Я почему-то по наивности полагал что танцевать надо от, условно, биллинга и администрирования (оба термина не совсем к месту, но дальше разъясню). Вот например где мы будем клиенту скорость резать (ну анлимов все хотят, что тут поделаешь; да и про подсчёт трафика всё похоже)? На абонентском порту? Сразу забыли про VoIP, iptv и замануху с внутрисетевыми файлопомойками. Ан нет, резать будем даже не на агрегации. Тут же вопрос, как нам клиента в резалке опознать? По IP? Сразу возникает вопрос привязки клиента и ip к абонентскому порту. А мы ведь захотим чтобы клиент с адресом не парился, а свой постоянный адрес автоматом получал. Значит сразу DHCP и сразу opt82 на коммутаторе доступа, а никак не на агрегации. Плюс куча функционала по защите от клиетского баловства с dhcp. Цену резалки лучше умолчим.

Да, мы можем клиенту персональный влан дать (любители трафик сегментатион и иже с ними идут рассказывать абоненту почему он соседу не может кино отдать, они ведь на агрегацию с одного порта приходят, а мы публичные адреса на /30 не разбазариваем, да и число L3 интерфейсов на свичах агрегации нас давно подкосило). Делаем агрегацию L2. Только вот вланы у нас быстро кончатся, а значит от второго тега на агрегации до отдельного линка в BRAS или кучи мелких брасов по сети (а порты в брасах ох недешёвые, как и сами брасы). Да мы еще ведь захотим чтобы BRAS у нас влан динамически под клиента поднимал, да еще умел клиента по влану распознать и из базки ему правило порезки навешать. И по производительно весь внутрисетевой трафик рутил. Сэкономли..... Хотя какой там внутрисетевой трафик, у нас же на агрегации б/у 3550 - 100Mb на 50 юзеров. Двое фильм друг другу льют, остальные перерыв в игрухе делают

Начинаем экономить адреса, смотрим в сторону PPPoE. Опаньки, а клиента-то как распознать? А клиент пароль забыл..... Тут PPPoE agent insertion (аналог opt82) нам на доступе нужен. А мы деньги на доступе сэкономили.

Ну и тут песня, выпили мы на сэкономленные деньги, а тут - отток клиентов. Типа у всех цены такие же, но у них iptv есть. Не важно что 10 бесплатных каналов с просмотром только на компе, но для галочки (для конкуренции) есть, причем пара каналов за копейку, но HDTV. А у нас digital china MVR. Как будем рулить кому давать пакет премиум, а кому нет? Ну хотя бы multicast acl нужны на доступе, хотя igmp radius авторизация получшее будет. А может и не такой функционал от доступа нам нужен будет. Что дальше - резкое региональное падение цен на б/у Cisco 3550, идеально подходящие для агрегации и потери на утилизацию китайского нонаме.

В общем мне казалось что давно уже все поняли что нормальный провайдер свою сеть на неуправляемых офисных 8-ми портовых свичах не строит. Все похожие варианты (ну не 8 портов, да и на 802.1q мы уже согласны) плюс L2 агрегация приводит к тому, что для нормального сервиса придется поставить очень хитрую железку в качестве BRASа, причем для сплошного L2 это всё будет настолько проприетарно, что реализация Ваших будущих хотелок будет зависить только от степени жадности вендора этой железки (перефразируя Жванецкого: ну обычно за продление лицензий, поддержку и вообще чтобы что-то работало обычно ежегодно что-то платят, но Вы можете этого и не делать, если Вас не интересует результат).

 

Извините что накидал всё в кучу, никоим образом не претендую на полноту и даже не претендую на слово обзор.

Прежде чем экономить копейки на доступе и агрегации поймите чего Вы хотите от сетки сейчаc и через год.

Ну и самое главное, по спектру упоминаемых железок- будте внимательны, там некоторые железки уже давно выпали из числа "рекомендуемых производителем", да и по цене.....

 

Заранее пиношу свои извинения автору обзора, если про распродажу б/у цисок я был не прав, а автор занимался очень нужной просветительной работой

Cr_net

Cr_net

Posted
Posted

Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...

зато представлено вполне вменяемыми брендами

Далеко не дешёвыми

 

jab

jab

Posted
Posted

Ну дык статьи-то пишут реальные пацаны для лохов. Сами-то пацаны статьи не читают. :-)

 

Может кто подскажет хоть одну реальную альтернативу связке DES-3526->DGS-3100-24TG->DGS-3627G для топологии "снежинка" по деньгам и сервису с учетом оптовой скидки на всё скопом вместе с SFP ?

IvanI

IvanI

Posted
Posted

Много уже над этим думал и прихожу каждый раз к тому что нет альтернативы 3526 на доступе, без его фильтров и кошака в центре положить можно и соседский кабель поюзать.

jab

jab

Posted
Posted
Много уже над этим думал и прихожу каждый раз к тому что нет альтернативы 3526 на доступе, без его фильтров и кошака в центре положить можно и соседский кабель поюзать.

Если рассматривать голый доступ - то альтернативы-то найти можно. Меня больше интересует все решение "на круг".

ingress

ingress

Posted
Posted

48 портовые модели на доступ вообще смысла не имеет рассматривать, кроме может быть б/у цисок

они экономически не выгодны, любые.

ingress

ingress

Posted
Posted
Если рассматривать голый доступ - то альтернативы-то найти можно. Меня больше интересует все решение "на круг".

вот в 3528-3028 блинк обещает EPSR сделать, кольцо по RFC.

но это так обещания ;)

ingress

ingress

Posted
Posted
Все ищите идеальное устройство ? :-) Бесконечное количество функций нахаляву ? :-)

я не ищу :)

просто под снежинку лучше хSTP не использовать.

 

(в связи в провальным ходом внедрения этой услуги, потребность в данном функционале неочевидна).

вот лучше пусть автор расскажет где у него там IPTV провалилось?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.