Перейти к содержимому
Калькуляторы

#360. Мозги. Доступ или агрегация?

#360. Мозги. Доступ или агрегация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В коммутаторах доступа понадобится:

 

Поддержка 802.1q VLAN + SSH для удаленного управления. Необходимо ограничить обмен Ethernet трафиком между абонентами, что бы у него был только один путь – в сторону агрегации, где будут решены проблемы сетевых атак (ARP spoofing, IP spoofing и т.д.), приоритезации, классификации и фильтрации трафика на аппаратном уровне.

 

На агрегации:

 

Поддержка функций IP Source Guard, Dynamic ARP Inspection, DHCP snooping, DHCP option 82 insertion, QoS, VLAN ACL или аналогов на оборудовании агрегации.

 

А на доступе DHCP option 82 не нужен будет получается ? А как тогда выдавать ip ? И как защититься от подмены ip ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip по номеру vlan.

ip source guard от ip spoofing.

+ с использованием ip unnumbered на агрегации не будет маршрута на абонента, если он не получил IP по DHCP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip по номеру vlan.

Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В коммутаторах доступа понадобится:

 

Поддержка 802.1q VLAN + SSH для удаленного управления. Необходимо ограничить обмен Ethernet трафиком между абонентами, что бы у него был только один путь – в сторону агрегации, где будут решены проблемы сетевых атак (ARP spoofing, IP spoofing и т.д.), приоритезации, классификации и фильтрации трафика на аппаратном уровне.

 

На агрегации:

 

Поддержка функций IP Source Guard, Dynamic ARP Inspection, DHCP snooping, DHCP option 82 insertion, QoS, VLAN ACL или аналогов на оборудовании агрегации.

 

А на доступе DHCP option 82 не нужен будет получается ? А как тогда выдавать ip ? И как защититься от подмены ip ?

А option 82 на доступен сейчас не проблема - есть в любой китайской "мыльнице".

На самом деле, симптоматично, что подобная тема поднята на Наге. Я нечто в подобном ключе (только более простым и бытовым языком написанное и с упором в немного другие моменты) постил около месяца назад на другом форуме. Если в тезисах, то при работе по обсуждаемой схеме как ни крути но "серьезная" фильтрация все равно уйдет на агрегацию, а значит по сравнению с "интеллектуальным доступом" уровень защищенности будет ниже. С другой стороны, если мы строим новую сеть и сеть эта - полная "звезда" (что, как уже было убедительно продемонстрировано, ни фига не дороже, но зато проще и радостнее), то уровень этой самой защищенности падает не так значительно - с порта до коммутатора. А вот тут уже каждый сам принимает решение и расставляет приоритеты. :-) На мой личный взгляд - овчинка выделки вполне стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А option 82 на доступен сейчас не проблема - есть в любой китайской "мыльнице".

Так не проблема конечно ... но уже есть сотня коммутаторов без него.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip по номеру vlan.

Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ?

 

Порт - VLAN - IP однозначное соответствие возникающее в момент подключения абонента, opt 82 не требуется.

 

DHCP сервер выдает IP в соответсвии с интерфейсом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Диджитал Чайны уже нету :-(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip по номеру vlan.

Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ?

завести каждый порт в отдельный vlan. засунуть все vlan в trunk порт.

на 3550 засовывать opt.82 в прилетающие запросы. на dhcp сервере с поддержкой opt.82 прописать соответствие vlan (из agent.circuitid) к пулу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для услуги шпд, разница в влан на пользователя или влан на коммутатор или влан на группу коммутаторов

наличии qinq и selective qinq на агрегации для влан на пользователя,

рабочий dhcp opt-82, traffic segmentation и прочее security для влан на коммутатор

Аналог uni-vlan для влан на группу коммутаторов

И общая сервисная модель всё равно влан пер сервис.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Диджитал Чайны уже нету :-(

а что с нею случилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А option 82 на доступе сейчас не проблема - есть в любой китайской "мыльнице".

Так не проблема конечно ... но уже есть сотня коммутаторов без него.

Ну, это уже се ля ви, так сказать... Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-) А вот если уже есть тяжкий груз из оборудования предыдущего поколения, да еще и n тысяч пользователей на нем висящих, то читать статьи по построение сетей лучше даже не начинать - тоскливо и грустно становится. :-)

 

Вроде для DES-3526 есть ACL для привязки IPv6 связки IP+MAC Binding.
Да дело не в IPv6 и не в биндинге, а в Packet Content Filtering, которым хоть IPv6, хоть еще чего фильтруй... И есть в этом большая заслуга ДЛинка, ибо гибкость - рулит! :-)

 

 

Для услуги шпд, разница в влан на пользователя или влан на коммутатор или влан на группу коммутаторов

наличии qinq и selective qinq на агрегации для влан на пользователя,

рабочий dhcp opt-82, traffic segmentation и прочее security для влан на коммутатор

Аналог uni-vlan для влан на группу коммутаторов

И общая сервисная модель всё равно влан пер сервис.

Оно-то все понятно... Речь как раз о том, можно ли сэкономить разложив изначально яйца по корзинам и выбирая корзины, которые выполняют четко определенные, пусть и ограниченные, функции, вместо универсальных корзин, в которых можно хранить разнообразные яйца, разной формы, цветов и в разных местах. :-)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

. Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-)

Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

. Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-)
Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...

зато представлено вполне вменяемыми брендами

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот всегда мне нравились люди, которые вместо игры ценой и криков "кризис пришёл, распродажа б/у Cisco" умеют статеечку тиснуть.

тока вот передёргивать по еще, увы, не разучились, несмотря на кризис.

Конечно это наглядно, для "дорого решения" посчитать DES-3550 по $670, а для "дешевого" ES3526XA по #230.

Только вот в большинстве случаев получается что два DES-3526 не только дешевле одного DES-3550, но и удобнее (учитывая длину линков до абонентов и кол-во абонентов в подъезде).

Да и цена на DES-3526 уже давно никак не выше ES3526XA.

Поэтому при одном свиче на дом (в большинстве случаев, так как в большой доме не хватает 100 метров и все-равно два по 24 порта ставят) речь идёт об экономии в $80 при кЕтайском нонаме в дешевом случае, который дешевый во всех смыслах (не только в цене).

 

Да и вообще подход к теме очень понравился. Я почему-то по наивности полагал что танцевать надо от, условно, биллинга и администрирования (оба термина не совсем к месту, но дальше разъясню). Вот например где мы будем клиенту скорость резать (ну анлимов все хотят, что тут поделаешь; да и про подсчёт трафика всё похоже)? На абонентском порту? Сразу забыли про VoIP, iptv и замануху с внутрисетевыми файлопомойками. Ан нет, резать будем даже не на агрегации. Тут же вопрос, как нам клиента в резалке опознать? По IP? Сразу возникает вопрос привязки клиента и ip к абонентскому порту. А мы ведь захотим чтобы клиент с адресом не парился, а свой постоянный адрес автоматом получал. Значит сразу DHCP и сразу opt82 на коммутаторе доступа, а никак не на агрегации. Плюс куча функционала по защите от клиетского баловства с dhcp. Цену резалки лучше умолчим.

Да, мы можем клиенту персональный влан дать (любители трафик сегментатион и иже с ними идут рассказывать абоненту почему он соседу не может кино отдать, они ведь на агрегацию с одного порта приходят, а мы публичные адреса на /30 не разбазариваем, да и число L3 интерфейсов на свичах агрегации нас давно подкосило). Делаем агрегацию L2. Только вот вланы у нас быстро кончатся, а значит от второго тега на агрегации до отдельного линка в BRAS или кучи мелких брасов по сети (а порты в брасах ох недешёвые, как и сами брасы). Да мы еще ведь захотим чтобы BRAS у нас влан динамически под клиента поднимал, да еще умел клиента по влану распознать и из базки ему правило порезки навешать. И по производительно весь внутрисетевой трафик рутил. Сэкономли..... Хотя какой там внутрисетевой трафик, у нас же на агрегации б/у 3550 - 100Mb на 50 юзеров. Двое фильм друг другу льют, остальные перерыв в игрухе делают

Начинаем экономить адреса, смотрим в сторону PPPoE. Опаньки, а клиента-то как распознать? А клиент пароль забыл..... Тут PPPoE agent insertion (аналог opt82) нам на доступе нужен. А мы деньги на доступе сэкономили.

Ну и тут песня, выпили мы на сэкономленные деньги, а тут - отток клиентов. Типа у всех цены такие же, но у них iptv есть. Не важно что 10 бесплатных каналов с просмотром только на компе, но для галочки (для конкуренции) есть, причем пара каналов за копейку, но HDTV. А у нас digital china MVR. Как будем рулить кому давать пакет премиум, а кому нет? Ну хотя бы multicast acl нужны на доступе, хотя igmp radius авторизация получшее будет. А может и не такой функционал от доступа нам нужен будет. Что дальше - резкое региональное падение цен на б/у Cisco 3550, идеально подходящие для агрегации и потери на утилизацию китайского нонаме.

В общем мне казалось что давно уже все поняли что нормальный провайдер свою сеть на неуправляемых офисных 8-ми портовых свичах не строит. Все похожие варианты (ну не 8 портов, да и на 802.1q мы уже согласны) плюс L2 агрегация приводит к тому, что для нормального сервиса придется поставить очень хитрую железку в качестве BRASа, причем для сплошного L2 это всё будет настолько проприетарно, что реализация Ваших будущих хотелок будет зависить только от степени жадности вендора этой железки (перефразируя Жванецкого: ну обычно за продление лицензий, поддержку и вообще чтобы что-то работало обычно ежегодно что-то платят, но Вы можете этого и не делать, если Вас не интересует результат).

 

Извините что накидал всё в кучу, никоим образом не претендую на полноту и даже не претендую на слово обзор.

Прежде чем экономить копейки на доступе и агрегации поймите чего Вы хотите от сетки сейчаc и через год.

Ну и самое главное, по спектру упоминаемых железок- будте внимательны, там некоторые железки уже давно выпали из числа "рекомендуемых производителем", да и по цене.....

 

Заранее пиношу свои извинения автору обзора, если про распродажу б/у цисок я был не прав, а автор занимался очень нужной просветительной работой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pppOe мало поругал :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да подумал что и так сейчас накинутся, решил хоть PPPoE не трогать. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...

зато представлено вполне вменяемыми брендами

Далеко не дешёвыми

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну дык статьи-то пишут реальные пацаны для лохов. Сами-то пацаны статьи не читают. :-)

 

Может кто подскажет хоть одну реальную альтернативу связке DES-3526->DGS-3100-24TG->DGS-3627G для топологии "снежинка" по деньгам и сервису с учетом оптовой скидки на всё скопом вместе с SFP ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Много уже над этим думал и прихожу каждый раз к тому что нет альтернативы 3526 на доступе, без его фильтров и кошака в центре положить можно и соседский кабель поюзать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Много уже над этим думал и прихожу каждый раз к тому что нет альтернативы 3526 на доступе, без его фильтров и кошака в центре положить можно и соседский кабель поюзать.

Если рассматривать голый доступ - то альтернативы-то найти можно. Меня больше интересует все решение "на круг".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

48 портовые модели на доступ вообще смысла не имеет рассматривать, кроме может быть б/у цисок

они экономически не выгодны, любые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если рассматривать голый доступ - то альтернативы-то найти можно. Меня больше интересует все решение "на круг".

вот в 3528-3028 блинк обещает EPSR сделать, кольцо по RFC.

но это так обещания ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Все ищите идеальное устройство ? :-) Бесконечное количество функций нахаляву ? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все ищите идеальное устройство ? :-) Бесконечное количество функций нахаляву ? :-)

я не ищу :)

просто под снежинку лучше хSTP не использовать.

 

(в связи в провальным ходом внедрения этой услуги, потребность в данном функционале неочевидна).

вот лучше пусть автор расскажет где у него там IPTV провалилось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.