Nag Опубликовано 12 апреля, 2009 · Жалоба #360. Мозги. Доступ или агрегация? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rapsody Опубликовано 13 апреля, 2009 · Жалоба В коммутаторах доступа понадобится: Поддержка 802.1q VLAN + SSH для удаленного управления. Необходимо ограничить обмен Ethernet трафиком между абонентами, что бы у него был только один путь – в сторону агрегации, где будут решены проблемы сетевых атак (ARP spoofing, IP spoofing и т.д.), приоритезации, классификации и фильтрации трафика на аппаратном уровне. На агрегации: Поддержка функций IP Source Guard, Dynamic ARP Inspection, DHCP snooping, DHCP option 82 insertion, QoS, VLAN ACL или аналогов на оборудовании агрегации. А на доступе DHCP option 82 не нужен будет получается ? А как тогда выдавать ip ? И как защититься от подмены ip ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 13 апреля, 2009 · Жалоба ip по номеру vlan. ip source guard от ip spoofing. + с использованием ip unnumbered на агрегации не будет маршрута на абонента, если он не получил IP по DHCP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rapsody Опубликовано 13 апреля, 2009 · Жалоба ip по номеру vlan. Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylord Опубликовано 13 апреля, 2009 · Жалоба В коммутаторах доступа понадобится: Поддержка 802.1q VLAN + SSH для удаленного управления. Необходимо ограничить обмен Ethernet трафиком между абонентами, что бы у него был только один путь – в сторону агрегации, где будут решены проблемы сетевых атак (ARP spoofing, IP spoofing и т.д.), приоритезации, классификации и фильтрации трафика на аппаратном уровне. На агрегации: Поддержка функций IP Source Guard, Dynamic ARP Inspection, DHCP snooping, DHCP option 82 insertion, QoS, VLAN ACL или аналогов на оборудовании агрегации. А на доступе DHCP option 82 не нужен будет получается ? А как тогда выдавать ip ? И как защититься от подмены ip ? А option 82 на доступен сейчас не проблема - есть в любой китайской "мыльнице". На самом деле, симптоматично, что подобная тема поднята на Наге. Я нечто в подобном ключе (только более простым и бытовым языком написанное и с упором в немного другие моменты) постил около месяца назад на другом форуме. Если в тезисах, то при работе по обсуждаемой схеме как ни крути но "серьезная" фильтрация все равно уйдет на агрегацию, а значит по сравнению с "интеллектуальным доступом" уровень защищенности будет ниже. С другой стороны, если мы строим новую сеть и сеть эта - полная "звезда" (что, как уже было убедительно продемонстрировано, ни фига не дороже, но зато проще и радостнее), то уровень этой самой защищенности падает не так значительно - с порта до коммутатора. А вот тут уже каждый сам принимает решение и расставляет приоритеты. :-) На мой личный взгляд - овчинка выделки вполне стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rapsody Опубликовано 13 апреля, 2009 · Жалоба А option 82 на доступен сейчас не проблема - есть в любой китайской "мыльнице". Так не проблема конечно ... но уже есть сотня коммутаторов без него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 13 апреля, 2009 · Жалоба ip по номеру vlan. Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ? Порт - VLAN - IP однозначное соответствие возникающее в момент подключения абонента, opt 82 не требуется. DHCP сервер выдает IP в соответсвии с интерфейсом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Попов Сергей Опубликовано 13 апреля, 2009 · Жалоба Диджитал Чайны уже нету :-( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 13 апреля, 2009 · Жалоба ip по номеру vlan. Хоть убей не могу понять каким образом будет выдаваться ip ... На агрегации cisco 3550, на доступе стоит что-нибудь простое, но умеющее tagged vlan. Как настроить коммутатор доступа ? И как dhcp сервер будет определять какой ip выдавать ? завести каждый порт в отдельный vlan. засунуть все vlan в trunk порт. на 3550 засовывать opt.82 в прилетающие запросы. на dhcp сервере с поддержкой opt.82 прописать соответствие vlan (из agent.circuitid) к пулу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 13 апреля, 2009 · Жалоба Для услуги шпд, разница в влан на пользователя или влан на коммутатор или влан на группу коммутаторов наличии qinq и selective qinq на агрегации для влан на пользователя, рабочий dhcp opt-82, traffic segmentation и прочее security для влан на коммутатор Аналог uni-vlan для влан на группу коммутаторов И общая сервисная модель всё равно влан пер сервис. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 13 апреля, 2009 · Жалоба Диджитал Чайны уже нету :-( а что с нею случилось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylord Опубликовано 13 апреля, 2009 · Жалоба А option 82 на доступе сейчас не проблема - есть в любой китайской "мыльнице". Так не проблема конечно ... но уже есть сотня коммутаторов без него. Ну, это уже се ля ви, так сказать... Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-) А вот если уже есть тяжкий груз из оборудования предыдущего поколения, да еще и n тысяч пользователей на нем висящих, то читать статьи по построение сетей лучше даже не начинать - тоскливо и грустно становится. :-) Вроде для DES-3526 есть ACL для привязки IPv6 связки IP+MAC Binding.Да дело не в IPv6 и не в биндинге, а в Packet Content Filtering, которым хоть IPv6, хоть еще чего фильтруй... И есть в этом большая заслуга ДЛинка, ибо гибкость - рулит! :-) Для услуги шпд, разница в влан на пользователя или влан на коммутатор или влан на группу коммутаторовналичии qinq и selective qinq на агрегации для влан на пользователя, рабочий dhcp opt-82, traffic segmentation и прочее security для влан на коммутатор Аналог uni-vlan для влан на группу коммутаторов И общая сервисная модель всё равно влан пер сервис. Оно-то все понятно... Речь как раз о том, можно ли сэкономить разложив изначально яйца по корзинам и выбирая корзины, которые выполняют четко определенные, пусть и ограниченные, функции, вместо универсальных корзин, в которых можно хранить разнообразные яйца, разной формы, цветов и в разных местах. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 13 апреля, 2009 · Жалоба . Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-) Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 13 апреля, 2009 · Жалоба . Все обсуждения вариантов построения сетей имеют в виду либо новое строительство, либо такую переделку старого, что по сути тоже самое, что заново строить. :-)Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало... зато представлено вполне вменяемыми брендами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dk_spb Опубликовано 13 апреля, 2009 · Жалоба Вот всегда мне нравились люди, которые вместо игры ценой и криков "кризис пришёл, распродажа б/у Cisco" умеют статеечку тиснуть. тока вот передёргивать по еще, увы, не разучились, несмотря на кризис. Конечно это наглядно, для "дорого решения" посчитать DES-3550 по $670, а для "дешевого" ES3526XA по #230. Только вот в большинстве случаев получается что два DES-3526 не только дешевле одного DES-3550, но и удобнее (учитывая длину линков до абонентов и кол-во абонентов в подъезде). Да и цена на DES-3526 уже давно никак не выше ES3526XA. Поэтому при одном свиче на дом (в большинстве случаев, так как в большой доме не хватает 100 метров и все-равно два по 24 порта ставят) речь идёт об экономии в $80 при кЕтайском нонаме в дешевом случае, который дешевый во всех смыслах (не только в цене). Да и вообще подход к теме очень понравился. Я почему-то по наивности полагал что танцевать надо от, условно, биллинга и администрирования (оба термина не совсем к месту, но дальше разъясню). Вот например где мы будем клиенту скорость резать (ну анлимов все хотят, что тут поделаешь; да и про подсчёт трафика всё похоже)? На абонентском порту? Сразу забыли про VoIP, iptv и замануху с внутрисетевыми файлопомойками. Ан нет, резать будем даже не на агрегации. Тут же вопрос, как нам клиента в резалке опознать? По IP? Сразу возникает вопрос привязки клиента и ip к абонентскому порту. А мы ведь захотим чтобы клиент с адресом не парился, а свой постоянный адрес автоматом получал. Значит сразу DHCP и сразу opt82 на коммутаторе доступа, а никак не на агрегации. Плюс куча функционала по защите от клиетского баловства с dhcp. Цену резалки лучше умолчим. Да, мы можем клиенту персональный влан дать (любители трафик сегментатион и иже с ними идут рассказывать абоненту почему он соседу не может кино отдать, они ведь на агрегацию с одного порта приходят, а мы публичные адреса на /30 не разбазариваем, да и число L3 интерфейсов на свичах агрегации нас давно подкосило). Делаем агрегацию L2. Только вот вланы у нас быстро кончатся, а значит от второго тега на агрегации до отдельного линка в BRAS или кучи мелких брасов по сети (а порты в брасах ох недешёвые, как и сами брасы). Да мы еще ведь захотим чтобы BRAS у нас влан динамически под клиента поднимал, да еще умел клиента по влану распознать и из базки ему правило порезки навешать. И по производительно весь внутрисетевой трафик рутил. Сэкономли..... Хотя какой там внутрисетевой трафик, у нас же на агрегации б/у 3550 - 100Mb на 50 юзеров. Двое фильм друг другу льют, остальные перерыв в игрухе делают Начинаем экономить адреса, смотрим в сторону PPPoE. Опаньки, а клиента-то как распознать? А клиент пароль забыл..... Тут PPPoE agent insertion (аналог opt82) нам на доступе нужен. А мы деньги на доступе сэкономили. Ну и тут песня, выпили мы на сэкономленные деньги, а тут - отток клиентов. Типа у всех цены такие же, но у них iptv есть. Не важно что 10 бесплатных каналов с просмотром только на компе, но для галочки (для конкуренции) есть, причем пара каналов за копейку, но HDTV. А у нас digital china MVR. Как будем рулить кому давать пакет премиум, а кому нет? Ну хотя бы multicast acl нужны на доступе, хотя igmp radius авторизация получшее будет. А может и не такой функционал от доступа нам нужен будет. Что дальше - резкое региональное падение цен на б/у Cisco 3550, идеально подходящие для агрегации и потери на утилизацию китайского нонаме. В общем мне казалось что давно уже все поняли что нормальный провайдер свою сеть на неуправляемых офисных 8-ми портовых свичах не строит. Все похожие варианты (ну не 8 портов, да и на 802.1q мы уже согласны) плюс L2 агрегация приводит к тому, что для нормального сервиса придется поставить очень хитрую железку в качестве BRASа, причем для сплошного L2 это всё будет настолько проприетарно, что реализация Ваших будущих хотелок будет зависить только от степени жадности вендора этой железки (перефразируя Жванецкого: ну обычно за продление лицензий, поддержку и вообще чтобы что-то работало обычно ежегодно что-то платят, но Вы можете этого и не делать, если Вас не интересует результат). Извините что накидал всё в кучу, никоим образом не претендую на полноту и даже не претендую на слово обзор. Прежде чем экономить копейки на доступе и агрегации поймите чего Вы хотите от сетки сейчаc и через год. Ну и самое главное, по спектру упоминаемых железок- будте внимательны, там некоторые железки уже давно выпали из числа "рекомендуемых производителем", да и по цене..... Заранее пиношу свои извинения автору обзора, если про распродажу б/у цисок я был не прав, а автор занимался очень нужной просветительной работой Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SmokerMan Опубликовано 13 апреля, 2009 · Жалоба pppOe мало поругал :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dk_spb Опубликовано 13 апреля, 2009 · Жалоба Да подумал что и так сейчас накинутся, решил хоть PPPoE не трогать. ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 13 апреля, 2009 · Жалоба Вроде специально отмечалось - в схеме вилан-на-пользователя важно только оборудование агрегации. А его относительно мало...зато представлено вполне вменяемыми брендами Далеко не дешёвыми Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 13 апреля, 2009 · Жалоба Ну дык статьи-то пишут реальные пацаны для лохов. Сами-то пацаны статьи не читают. :-) Может кто подскажет хоть одну реальную альтернативу связке DES-3526->DGS-3100-24TG->DGS-3627G для топологии "снежинка" по деньгам и сервису с учетом оптовой скидки на всё скопом вместе с SFP ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IvanI Опубликовано 13 апреля, 2009 · Жалоба Много уже над этим думал и прихожу каждый раз к тому что нет альтернативы 3526 на доступе, без его фильтров и кошака в центре положить можно и соседский кабель поюзать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 13 апреля, 2009 · Жалоба Много уже над этим думал и прихожу каждый раз к тому что нет альтернативы 3526 на доступе, без его фильтров и кошака в центре положить можно и соседский кабель поюзать. Если рассматривать голый доступ - то альтернативы-то найти можно. Меня больше интересует все решение "на круг". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 13 апреля, 2009 · Жалоба 48 портовые модели на доступ вообще смысла не имеет рассматривать, кроме может быть б/у цисок они экономически не выгодны, любые. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 13 апреля, 2009 · Жалоба Если рассматривать голый доступ - то альтернативы-то найти можно. Меня больше интересует все решение "на круг". вот в 3528-3028 блинк обещает EPSR сделать, кольцо по RFC. но это так обещания ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 13 апреля, 2009 · Жалоба Все ищите идеальное устройство ? :-) Бесконечное количество функций нахаляву ? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 13 апреля, 2009 · Жалоба Все ищите идеальное устройство ? :-) Бесконечное количество функций нахаляву ? :-) я не ищу :) просто под снежинку лучше хSTP не использовать. (в связи в провальным ходом внедрения этой услуги, потребность в данном функционале неочевидна). вот лучше пусть автор расскажет где у него там IPTV провалилось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...