Jump to content
Калькуляторы

снова "VLAN на пользователя" строительство новой сети

Здравствуйте, господа

 

Взялась наша организация строить сеть масштаба города (~200 000 население).

К сожалению, как это не редко бывает в крупных организациях, "дом начинают строить с крыши"... Т.е. часть оборудования уже закуплена, часть - смонтирована, но проекта и даже определенной концепции/модели сети до сих пор нет. У тех, кто принимает решения, - довольно неопределенное представление о том, "что же все таки строим и что хотим получить". А тем временем планируются дальнейшие закупки оборудования.

 

Понятно, что путь архи-неправильный, более того - ситуация близкая к кошмарной. Но, к сожалению, это уже данность...

 

Хотелось бы все таки по возможности направить процесс в нужном направлении, чтобы не строить сегодня "сеть вчерашнего дня", и чтобы по возможности хотя бы свести к минимуму последующие перестройки и проблемы эксплуатации. К сожалению, сам я пока не достаточно компетентен в вопросе, чтобы эффективно влиять на руководство.

 

По итогам изучения этого форума сложилось представление, что надо двигаться в сторону модели предоставления доступа по схеме "VLAN-на пользователя". Но, в отличие от схемы pppoe/pptp для меня в этой теме все еще больше вопросов, чем ответов. Та часть оборудования, которая уже закуплена, вроде бы удовлетворяет нужным требованиям (D-Link 3526 -доступ, WS-C3560G - агрегация, С7606+WS-C3560E (10G) - "ядро").

 

Чего, собственно, хотелось бы...

 

1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез".

2) Возможно, подписался на полноценную разработку проекта сети.

Edited by Wolf-psk

Share this post


Link to post
Share on other sites

Вариант: обратиться к независимым людям. Например приехать в гости к LanBilling и поговорить с их саппортёрами. Когда определитесь, что вам нравится или не нравится, - уже можно идти к интегратору с конкретными требованиями.

 

Можно ещё попытаться набиться в гости к QWERTY.ru

Share this post


Link to post
Share on other sites

VLAN на пользователя - незачот.

Отказался от такой идеи.

VLANы надо "терминировать" где-то. Такие молотилки дорого стоят.

Судьба сложилась так, что юзаю Zyxel коммутаторы.

Там всего 64 Ip интрефейса VLAN routing (здесь в принципе, легко реализовать схему vlan на дом и терминировать их на агрегации).

__________________________

В итоге - схема такая: ядро - агрегация - доступ. (10G - 1G - 100Mb) Везде оптика, только у клиента - медь.

На доступе умные свичи - IP адрес привязывается к порту и получается тока по DHCP (используется Option 82).

Рулиться трафик правилами ACL - кому нужна локалка за деньги, а кому тока Инет.

Трафик локальный не считается и остаётся тока в районе. (через центр не гонится).

Его можно подрезать, если надо, на порту клиента.

Инет считается биллинговой системой (не NetFlow, а через себя пропускает траф сервер 2 Xeon по 4 ядра (на базе Linux: ideco-software.ru)).

Т.к. IP юзеры сменить не могут - то отпадает разная фигня, типа PPPoE, PPTP -можно считать по IP. Хотя никто не мешает смешанно использовать и VPN - мы так и делаем - биллинг позволяет использовать любые схемы авторизации)

 

 

_________

т.е. схема VLAN на юзера нужна, я так думаю - если считать нужно локальный траф, или если максимально удешевить коммутаторы доступа и вложить деньги в центральную молотилку.

А вы уж выбирайте - что вам по душе - это вечный спор - вложить больше денег в центр или в доступ, считать локальный траф или нет.......: )))))

 

Share this post


Link to post
Share on other sites

>> Судьба сложилась так, что юзаю Zyxel коммутаторы.

 

>> VLAN на пользователя - незачот.

 

 

:-)

Edited by chainick

Share this post


Link to post
Share on other sites

с тем набором того что вы купили можно построить VLAN на пользователя для ~ 1000 пользователей на район, т.к. 3560 умеет только 1000 вланов, если делать на них Q-in-Q и гнать к ядру двойной тэг, то 7600 его стерминировать не сможет(ну или сможет но это будут космические деньги за SIP + 10Ge SPA)

 

так что можно сделать vlan на свич терминируемые на районных 3560 а дальше маршрутизация.

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

Share this post


Link to post
Share on other sites

с тем набором того что вы купили можно построить VLAN на пользователя для ~ 1000 пользователей на район, т.к. 3560 умеет только 1000 вланов, если делать на них Q-in-Q и гнать к ядру двойной тэг, то 7600 его стерминировать не сможет(ну или сможет но это будут космические деньги за SIP + 10Ge SPA)

 

так что можно сделать vlan на свич терминируемые на районных 3560 а дальше маршрутизация.

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

В таком примерно направлении мысль и движется... про лимит в 1000 SVI-unnumbered для 3560 я в курсе... эту 1000 еще набрать надо, а наберется - ну заменится железка на 65xx... не о том сейчас голова болит..."генеральную линию Партии" определить надо....

 

Сеть видится не только для того, чтоб "интернет народу раздавать"... "Коммерсанты" уже сейчас хотят там VoD давать ("источник" уже есть и как-то работает), в ближайшей перспективе - IPTV и VoIP... вопрос "коммерческой эффективности" этих начинаний тут тоже не обсуждается... это - тоже "исходные данные". В том числе и поэтому от PPPoE мысль и отвернулась....

Edited by Wolf-psk

Share this post


Link to post
Share on other sites

В таком примерно направлении мысль и движется... про лимит в 1000 SVI-unnumbered для 3560 я в курсе... эту 1000 еще набрать надо, а наберется - ну заменится железка на 65xx... не о том сейчас голова болит..."генеральную линию Партии" определить надо....
Есть один такой способ обойти эти ограничения. Только требут топологии "звезда" от агрегации до доступа. И агрегацию на цисках начиная с 35хх...

Хотя конечно агрегацию лучше на 65хх, с cwdm и узлами портов так по 300. Дешевле потому что :) Ну и другие плюсы есть :) Вроде мплс и microflow-policing...

см. тут: http://forum.nag.ru/forum/index.php?s=&amp...st&p=386273

 

космические деньги за SIP + 10Ge SPA
а это вовсе не обязательно)

 

Share this post


Link to post
Share on other sites

для VLAN на пользователя вы уже переплатили? DES-3526 там излишен.

Так что подумайте на тему опции82 на нем, для отдельно жаждущих авторизации - он умеет авторизовывать порт через Web- страницу при первом обращении к любому сайту. Это вместо 802.1х который не все клиентские маршрутизаторы понимают.

Share this post


Link to post
Share on other sites

космические деньги за SIP + 10Ge SPA
а это вовсе не обязательно)

 

и как он без указаного развернёт q-in-q?

или вы про цену?

Share this post


Link to post
Share on other sites

я про необязательность массового q-in-q. Для терминирования вланов вполне можно использовать свичи на агрегации. Причём есть способ обойти ограничения по числу SVI, не в лоб естественно. А сессии наружу - обработать на брасе на выбор.

Цена же на SIP + 10Ge SPA наверное никого не радует :)

Share this post


Link to post
Share on other sites

Здравствуйте, господа

[...]

 

Чего, собственно, хотелось бы...

 

1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез".

2) Возможно, подписался на полноценную разработку проекта сети.

У вас 3 пути:

 

- сделать умным access/aggregation, закольцевать последнее и max разгрузить core

- сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core

- разварить GPON и поставить серьезную BRAS молотилку

 

+ разные миксы из xDSL/E1/Wi-Fi для "хотящих странного"

 

 

Судя по закупкам есть тяготение с варианту #1.

 

IMHO, разумеется.

 

P.S.

C-VLAN выглядит весьма неплохо в вашем случае. Не переживайте так ;-)

 

.

 

[...]

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

В сад.

 

"Дом абонента полнценен, самодостаточен, уважаем" - (с) /me

 

.

Share this post


Link to post
Share on other sites

[...]

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

В сад.

 

"Дом абонента полнценен, самодостаточен, уважаем" - (с) /me

 

.

меня мало волнует ваш комплекс полноценности :D

 

 

Share this post


Link to post
Share on other sites

У вас 3 пути:

 

- сделать умным access/aggregation, закольцевать последнее и max разгрузить core

- сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core

- разварить GPON и поставить серьезную BRAS молотилку

Есть и 4й путь:

- сделать тупым access, сделать умным aggregation, закольцевать последнее и поставить НЕсерьезную BRAS молотилку с isg или чемто аналогичным для учёта и применения политик на ВНЕШНИЙ трафик.

Share this post


Link to post
Share on other sites

Здравствуйте, господа

[...]

 

Чего, собственно, хотелось бы...

 

1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез".

2) Возможно, подписался на полноценную разработку проекта сети.

У вас 3 пути:

 

- сделать умным access/aggregation, закольцевать последнее и max разгрузить core

- сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core

- разварить GPON и поставить серьезную BRAS молотилку

 

+ разные миксы из xDSL/E1/Wi-Fi для "хотящих странного"

 

 

Судя по закупкам есть тяготение с варианту #1.

 

IMHO, разумеется.

 

P.S.

C-VLAN выглядит весьма неплохо в вашем случае. Не переживайте так ;-)

 

.

 

[...]

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

В сад.

 

"Дом абонента полнценен, самодостаточен, уважаем" - (с) /me

 

.

Да, именно "1-й вариант" лично мне и кажется наиболее приемлемым с учетом того, во что уже вложились и с надеждой на будущее...

Ядро в данной комплектации видимо не достаточно "умное"... связываться GPON пока желания нет, хотя в определенных кругах такие идеи время от времени и звучат.

Поэтому кажется разумным "распределить мозги по всей сети".

 

А вот с аутентификацией/авторизацией пользователей в такой схеме для меня самое большое "белое пятно"...

 

Share this post


Link to post
Share on other sites

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

Share this post


Link to post
Share on other sites

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

 

Таки слушайте vlv ;-)

 

* ROTFL !

 

.

Share this post


Link to post
Share on other sites

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :)

 

аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК.

НЕ ВОЛНУЕТ

 

.

Share this post


Link to post
Share on other sites

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :)

 

аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК.

НЕ ВОЛНУЕТ

 

.

А можно прямые ссылки на эти самые "соседние темы"? Как-то они ускользнули от моего внимания.

А именно с аутентификацией для меня больше всего непонятного.

Share this post


Link to post
Share on other sites

вот хотя бы здесь.

 

http://forum.nag.ru/forum/index.php?showtopic=49611

 

товарищи полагают что "Simple Internet" © ® ™ есть продакшн промышленных масштабов.

Share this post


Link to post
Share on other sites

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :)

 

аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК.

НЕ ВОЛНУЕТ

 

 

 

Эта.. Порт пойдет ? ;-)

 

 

.......

 

 

 

Share this post


Link to post
Share on other sites

Эта.. Порт пойдет ? ;-)

скажите мне как наиболее приближенный к дсл технологиям, почему они(злобные дсл монстры) используют ненавистный вИву PPPoE?

у них вроде изначально всё управляемое и проблем с финансированием нет, и порт у них как нигде закреплён за абонентом.

я подсказывать не буду :)

Share this post


Link to post
Share on other sites

Отвечу.

Потому-что они телефонисты. Они выросли из диалапа и биллинги у них умеют только РРР. И, кстати, DSLAM в детстве, когда телефонисты учились ADSL-ю, был тупым мультиплексором, поэтому у них в ADSL и живёт АТМ, - чтобы тупо пробросить всех абонентов по SDH куда-то далеко, где стоит огромный терминатор, один на много-много АТС-ок. А аналога Q-in-Q тогда ещё не было.

 

Я, кстати, видел современную инкарнацию этого же самого - IP over Ethernet over .1Q over .1Q over MPLS - и тоже по причине "Биллинг ничего, кроме Netflow от цискового РРР не умеет, а менять биллинг нам никто не даст"

 

Кстати, РРР в виде РРРоЕ для них уже прогресс, почти революция. В самом детстве они вообще траффик считать не умели, умели только "включение на такой-то скорости", когда на DSLAM-е конфигурировалась полоса и на этом всё обслуживание абонента заканчивалось. Канал дали - и ладно, теперь будем месячную абонентку считать. А когда захотелось что-то сложнее, чем "тупо дать канал", - ooops!! - в технологии-то ничего и не предусмотрено! - пришлось городить второй слой, в итоге имеем IP over Ethernet over ATM over DSL, всем привет!

 

Кстати, PPP over ATM так, вроде, и не прижился...

Share this post


Link to post
Share on other sites

Пароль на доступ к телефону, пароль на доступ к радиоточке, пароль на электричество...маразм.

Заплатил, воткнул и всё само работает.

Share this post


Link to post
Share on other sites

А накой тут вообще нужен влан на клиента если на доступе 3526?

Делайте влан на дом, режьте весь мусор и неплательщиков прямо на аксессе.

Влан на клиента по моему актуален при более тупом аксессе, не поддерживающем дхцп релей с опцией 82, ацл-и и т.п. (например рубитеки).

Edited by dsk

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.