Jump to content
Калькуляторы

#360. Мозги. Доступ или агрегация?

#360. Мозги. Доступ или агрегация?

Share this post


Link to post
Share on other sites

В коммутаторах доступа понадобится:

 

Поддержка 802.1q VLAN + SSH для удаленного управления. Необходимо ограничить обмен Ethernet трафиком между абонентами, что бы у него был только один путь – в сторону агрегации, где будут решены проблемы сетевых атак (ARP spoofing, IP spoofing и т.д.), приоритезации, классификации и фильтрации трафика на аппаратном уровне.

 

На агрегации:

 

Поддержка функций IP Source Guard, Dynamic ARP Inspection, DHCP snooping, DHCP option 82 insertion, QoS, VLAN ACL или аналогов на оборудовании агрегации.

 

А на доступе DHCP option 82 не нужен будет получается ? А как тогда выдавать ip ? И как защититься от подмены ip ?

Share this post


Link to post
Share on other sites

ip по номеру vlan.

ip source guard от ip spoofing.

+ с использованием ip unnumbered на агрегации не будет маршрута на абонента, если он не получил IP по DHCP

Share this post


Link to post
Share on other sites
ip по номеру vlan.

Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ?

 

Share this post


Link to post
Share on other sites
В коммутаторах доступа понадобится:

 

Поддержка 802.1q VLAN + SSH для удаленного управления. Необходимо ограничить обмен Ethernet трафиком между абонентами, что бы у него был только один путь – в сторону агрегации, где будут решены проблемы сетевых атак (ARP spoofing, IP spoofing и т.д.), приоритезации, классификации и фильтрации трафика на аппаратном уровне.

 

На агрегации:

 

Поддержка функций IP Source Guard, Dynamic ARP Inspection, DHCP snooping, DHCP option 82 insertion, QoS, VLAN ACL или аналогов на оборудовании агрегации.

 

А на доступе DHCP option 82 не нужен будет получается ? А как тогда выдавать ip ? И как защититься от подмены ip ?

А option 82 на доступен сейчас не проблема - есть в любой китайской "мыльнице".

На самом деле, симптоматично, что подобная тема поднята на Наге. Я нечто в подобном ключе (только более простым и бытовым языком написанное и с упором в немного другие моменты) постил около месяца назад на другом форуме. Если в тезисах, то при работе по обсуждаемой схеме как ни крути но "серьезная" фильтрация все равно уйдет на агрегацию, а значит по сравнению с "интеллектуальным доступом" уровень защищенности будет ниже. С другой стороны, если мы строим новую сеть и сеть эта - полная "звезда" (что, как уже было убедительно продемонстрировано, ни фига не дороже, но зато проще и радостнее), то уровень этой самой защищенности падает не так значительно - с порта до коммутатора. А вот тут уже каждый сам принимает решение и расставляет приоритеты. :-) На мой личный взгляд - овчинка выделки вполне стоит.

Share this post


Link to post
Share on other sites
А option 82 на доступен сейчас не проблема - есть в любой китайской "мыльнице".

Так не проблема конечно ... но уже есть сотня коммутаторов без него.

Share this post


Link to post
Share on other sites
ip по номеру vlan.

Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ?

 

Порт - VLAN - IP однозначное соответствие возникающее в момент подключения абонента, opt 82 не требуется.

 

DHCP сервер выдает IP в соответсвии с интерфейсом.

Share this post


Link to post
Share on other sites

Вроде для DES-3526 есть ACL для привязки IPv6 связки IP+MAC Binding.

 

Share this post


Link to post
Share on other sites
ip по номеру vlan.

Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ?

завести каждый порт в отдельный vlan. засунуть все vlan в trunk порт.

на 3550 засовывать opt.82 в прилетающие запросы. на dhcp сервере с поддержкой opt.82 прописать соответствие vlan (из agent.circuitid) к пулу.

Share this post


Link to post
Share on other sites

Для услуги шпд, разница в влан на пользователя или влан на коммутатор или влан на группу коммутаторов

наличии qinq и selective qinq на агрегации для влан на пользователя,

рабочий dhcp opt-82, traffic segmentation и прочее security для влан на коммутатор

Аналог uni-vlan для влан на группу коммутаторов

И общая сервисная модель всё равно влан пер сервис.

Share this post


Link to post
Share on other sites

Диджитал Чайны уже нету :-(

а что с нею случилось?

Share this post


Link to post
Share on other sites
А option 82 на доступе сейчас не проблема - есть в любой китайской "мыльнице".

Так не проблема конечно ... но уже есть сотня коммутаторов без него.

Ну, это уже се ля ви, так сказать... Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-) А вот если уже есть тяжкий груз из оборудования предыдущего поколения, да еще и n тысяч пользователей на нем висящих, то читать статьи по построение сетей лучше даже не начинать - тоскливо и грустно становится. :-)

 

Вроде для DES-3526 есть ACL для привязки IPv6 связки IP+MAC Binding.
Да дело не в IPv6 и не в биндинге, а в Packet Content Filtering, которым хоть IPv6, хоть еще чего фильтруй... И есть в этом большая заслуга ДЛинка, ибо гибкость - рулит! :-)

 

 

Для услуги шпд, разница в влан на пользователя или влан на коммутатор или влан на группу коммутаторов

наличии qinq и selective qinq на агрегации для влан на пользователя,

рабочий dhcp opt-82, traffic segmentation и прочее security для влан на коммутатор

Аналог uni-vlan для влан на группу коммутаторов

И общая сервисная модель всё равно влан пер сервис.

Оно-то все понятно... Речь как раз о том, можно ли сэкономить разложив изначально яйца по корзинам и выбирая корзины, которые выполняют четко определенные, пусть и ограниченные, функции, вместо универсальных корзин, в которых можно хранить разнообразные яйца, разной формы, цветов и в разных местах. :-)

 

 

Share this post


Link to post
Share on other sites
. Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-)

Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...

Share this post


Link to post
Share on other sites
. Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-)
Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...

зато представлено вполне вменяемыми брендами

Share this post


Link to post
Share on other sites

Вот всегда мне нравились люди, которые вместо игры ценой и криков "кризис пришёл, распродажа б/у Cisco" умеют статеечку тиснуть.

тока вот передёргивать по еще, увы, не разучились, несмотря на кризис.

Конечно это наглядно, для "дорого решения" посчитать DES-3550 по $670, а для "дешевого" ES3526XA по #230.

Только вот в большинстве случаев получается что два DES-3526 не только дешевле одного DES-3550, но и удобнее (учитывая длину линков до абонентов и кол-во абонентов в подъезде).

Да и цена на DES-3526 уже давно никак не выше ES3526XA.

Поэтому при одном свиче на дом (в большинстве случаев, так как в большой доме не хватает 100 метров и все-равно два по 24 порта ставят) речь идёт об экономии в $80 при кЕтайском нонаме в дешевом случае, который дешевый во всех смыслах (не только в цене).

 

Да и вообще подход к теме очень понравился. Я почему-то по наивности полагал что танцевать надо от, условно, биллинга и администрирования (оба термина не совсем к месту, но дальше разъясню). Вот например где мы будем клиенту скорость резать (ну анлимов все хотят, что тут поделаешь; да и про подсчёт трафика всё похоже)? На абонентском порту? Сразу забыли про VoIP, iptv и замануху с внутрисетевыми файлопомойками. Ан нет, резать будем даже не на агрегации. Тут же вопрос, как нам клиента в резалке опознать? По IP? Сразу возникает вопрос привязки клиента и ip к абонентскому порту. А мы ведь захотим чтобы клиент с адресом не парился, а свой постоянный адрес автоматом получал. Значит сразу DHCP и сразу opt82 на коммутаторе доступа, а никак не на агрегации. Плюс куча функционала по защите от клиетского баловства с dhcp. Цену резалки лучше умолчим.

Да, мы можем клиенту персональный влан дать (любители трафик сегментатион и иже с ними идут рассказывать абоненту почему он соседу не может кино отдать, они ведь на агрегацию с одного порта приходят, а мы публичные адреса на /30 не разбазариваем, да и число L3 интерфейсов на свичах агрегации нас давно подкосило). Делаем агрегацию L2. Только вот вланы у нас быстро кончатся, а значит от второго тега на агрегации до отдельного линка в BRAS или кучи мелких брасов по сети (а порты в брасах ох недешёвые, как и сами брасы). Да мы еще ведь захотим чтобы BRAS у нас влан динамически под клиента поднимал, да еще умел клиента по влану распознать и из базки ему правило порезки навешать. И по производительно весь внутрисетевой трафик рутил. Сэкономли..... Хотя какой там внутрисетевой трафик, у нас же на агрегации б/у 3550 - 100Mb на 50 юзеров. Двое фильм друг другу льют, остальные перерыв в игрухе делают

Начинаем экономить адреса, смотрим в сторону PPPoE. Опаньки, а клиента-то как распознать? А клиент пароль забыл..... Тут PPPoE agent insertion (аналог opt82) нам на доступе нужен. А мы деньги на доступе сэкономили.

Ну и тут песня, выпили мы на сэкономленные деньги, а тут - отток клиентов. Типа у всех цены такие же, но у них iptv есть. Не важно что 10 бесплатных каналов с просмотром только на компе, но для галочки (для конкуренции) есть, причем пара каналов за копейку, но HDTV. А у нас digital china MVR. Как будем рулить кому давать пакет премиум, а кому нет? Ну хотя бы multicast acl нужны на доступе, хотя igmp radius авторизация получшее будет. А может и не такой функционал от доступа нам нужен будет. Что дальше - резкое региональное падение цен на б/у Cisco 3550, идеально подходящие для агрегации и потери на утилизацию китайского нонаме.

В общем мне казалось что давно уже все поняли что нормальный провайдер свою сеть на неуправляемых офисных 8-ми портовых свичах не строит. Все похожие варианты (ну не 8 портов, да и на 802.1q мы уже согласны) плюс L2 агрегация приводит к тому, что для нормального сервиса придется поставить очень хитрую железку в качестве BRASа, причем для сплошного L2 это всё будет настолько проприетарно, что реализация Ваших будущих хотелок будет зависить только от степени жадности вендора этой железки (перефразируя Жванецкого: ну обычно за продление лицензий, поддержку и вообще чтобы что-то работало обычно ежегодно что-то платят, но Вы можете этого и не делать, если Вас не интересует результат).

 

Извините что накидал всё в кучу, никоим образом не претендую на полноту и даже не претендую на слово обзор.

Прежде чем экономить копейки на доступе и агрегации поймите чего Вы хотите от сетки сейчаc и через год.

Ну и самое главное, по спектру упоминаемых железок- будте внимательны, там некоторые железки уже давно выпали из числа "рекомендуемых производителем", да и по цене.....

 

Заранее пиношу свои извинения автору обзора, если про распродажу б/у цисок я был не прав, а автор занимался очень нужной просветительной работой

Share this post


Link to post
Share on other sites

Да подумал что и так сейчас накинутся, решил хоть PPPoE не трогать. ;-)

Share this post


Link to post
Share on other sites

Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...

зато представлено вполне вменяемыми брендами

Далеко не дешёвыми

 

Share this post


Link to post
Share on other sites

Ну дык статьи-то пишут реальные пацаны для лохов. Сами-то пацаны статьи не читают. :-)

 

Может кто подскажет хоть одну реальную альтернативу связке DES-3526->DGS-3100-24TG->DGS-3627G для топологии "снежинка" по деньгам и сервису с учетом оптовой скидки на всё скопом вместе с SFP ?

Share this post


Link to post
Share on other sites

Много уже над этим думал и прихожу каждый раз к тому что нет альтернативы 3526 на доступе, без его фильтров и кошака в центре положить можно и соседский кабель поюзать.

Share this post


Link to post
Share on other sites
Много уже над этим думал и прихожу каждый раз к тому что нет альтернативы 3526 на доступе, без его фильтров и кошака в центре положить можно и соседский кабель поюзать.

Если рассматривать голый доступ - то альтернативы-то найти можно. Меня больше интересует все решение "на круг".

Share this post


Link to post
Share on other sites

48 портовые модели на доступ вообще смысла не имеет рассматривать, кроме может быть б/у цисок

они экономически не выгодны, любые.

Share this post


Link to post
Share on other sites
Если рассматривать голый доступ - то альтернативы-то найти можно. Меня больше интересует все решение "на круг".

вот в 3528-3028 блинк обещает EPSR сделать, кольцо по RFC.

но это так обещания ;)

Share this post


Link to post
Share on other sites

 

Все ищите идеальное устройство ? :-) Бесконечное количество функций нахаляву ? :-)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this