_Wolf_ Posted July 8, 2009 Posted July 8, 2009 (edited) Здравствуйте, господа Взялась наша организация строить сеть масштаба города (~200 000 население). К сожалению, как это не редко бывает в крупных организациях, "дом начинают строить с крыши"... Т.е. часть оборудования уже закуплена, часть - смонтирована, но проекта и даже определенной концепции/модели сети до сих пор нет. У тех, кто принимает решения, - довольно неопределенное представление о том, "что же все таки строим и что хотим получить". А тем временем планируются дальнейшие закупки оборудования. Понятно, что путь архи-неправильный, более того - ситуация близкая к кошмарной. Но, к сожалению, это уже данность... Хотелось бы все таки по возможности направить процесс в нужном направлении, чтобы не строить сегодня "сеть вчерашнего дня", и чтобы по возможности хотя бы свести к минимуму последующие перестройки и проблемы эксплуатации. К сожалению, сам я пока не достаточно компетентен в вопросе, чтобы эффективно влиять на руководство. По итогам изучения этого форума сложилось представление, что надо двигаться в сторону модели предоставления доступа по схеме "VLAN-на пользователя". Но, в отличие от схемы pppoe/pptp для меня в этой теме все еще больше вопросов, чем ответов. Та часть оборудования, которая уже закуплена, вроде бы удовлетворяет нужным требованиям (D-Link 3526 -доступ, WS-C3560G - агрегация, С7606+WS-C3560E (10G) - "ядро"). Чего, собственно, хотелось бы... 1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез". 2) Возможно, подписался на полноценную разработку проекта сети. Edited July 8, 2009 by Wolf-psk Вставить ник Quote
vIv Posted July 8, 2009 Posted July 8, 2009 Вариант: обратиться к независимым людям. Например приехать в гости к LanBilling и поговорить с их саппортёрами. Когда определитесь, что вам нравится или не нравится, - уже можно идти к интегратору с конкретными требованиями. Можно ещё попытаться набиться в гости к QWERTY.ru Вставить ник Quote
white_crow Posted July 8, 2009 Posted July 8, 2009 VLAN на пользователя - незачот. Отказался от такой идеи. VLANы надо "терминировать" где-то. Такие молотилки дорого стоят. Судьба сложилась так, что юзаю Zyxel коммутаторы. Там всего 64 Ip интрефейса VLAN routing (здесь в принципе, легко реализовать схему vlan на дом и терминировать их на агрегации). __________________________ В итоге - схема такая: ядро - агрегация - доступ. (10G - 1G - 100Mb) Везде оптика, только у клиента - медь. На доступе умные свичи - IP адрес привязывается к порту и получается тока по DHCP (используется Option 82). Рулиться трафик правилами ACL - кому нужна локалка за деньги, а кому тока Инет. Трафик локальный не считается и остаётся тока в районе. (через центр не гонится). Его можно подрезать, если надо, на порту клиента. Инет считается биллинговой системой (не NetFlow, а через себя пропускает траф сервер 2 Xeon по 4 ядра (на базе Linux: ideco-software.ru)). Т.к. IP юзеры сменить не могут - то отпадает разная фигня, типа PPPoE, PPTP -можно считать по IP. Хотя никто не мешает смешанно использовать и VPN - мы так и делаем - биллинг позволяет использовать любые схемы авторизации) _________ т.е. схема VLAN на юзера нужна, я так думаю - если считать нужно локальный траф, или если максимально удешевить коммутаторы доступа и вложить деньги в центральную молотилку. А вы уж выбирайте - что вам по душе - это вечный спор - вложить больше денег в центр или в доступ, считать локальный траф или нет.......: ))))) Вставить ник Quote
chainick Posted July 8, 2009 Posted July 8, 2009 (edited) >> Судьба сложилась так, что юзаю Zyxel коммутаторы. >> VLAN на пользователя - незачот. :-) Edited July 8, 2009 by chainick Вставить ник Quote
ingress Posted July 8, 2009 Posted July 8, 2009 с тем набором того что вы купили можно построить VLAN на пользователя для ~ 1000 пользователей на район, т.к. 3560 умеет только 1000 вланов, если делать на них Q-in-Q и гнать к ядру двойной тэг, то 7600 его стерминировать не сможет(ну или сможет но это будут космические деньги за SIP + 10Ge SPA) так что можно сделать vlan на свич терминируемые на районных 3560 а дальше маршрутизация. карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p Вставить ник Quote
_Wolf_ Posted July 8, 2009 Author Posted July 8, 2009 (edited) с тем набором того что вы купили можно построить VLAN на пользователя для ~ 1000 пользователей на район, т.к. 3560 умеет только 1000 вланов, если делать на них Q-in-Q и гнать к ядру двойной тэг, то 7600 его стерминировать не сможет(ну или сможет но это будут космические деньги за SIP + 10Ge SPA) так что можно сделать vlan на свич терминируемые на районных 3560 а дальше маршрутизация. карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p В таком примерно направлении мысль и движется... про лимит в 1000 SVI-unnumbered для 3560 я в курсе... эту 1000 еще набрать надо, а наберется - ну заменится железка на 65xx... не о том сейчас голова болит..."генеральную линию Партии" определить надо.... Сеть видится не только для того, чтоб "интернет народу раздавать"... "Коммерсанты" уже сейчас хотят там VoD давать ("источник" уже есть и как-то работает), в ближайшей перспективе - IPTV и VoIP... вопрос "коммерческой эффективности" этих начинаний тут тоже не обсуждается... это - тоже "исходные данные". В том числе и поэтому от PPPoE мысль и отвернулась.... Edited July 8, 2009 by Wolf-psk Вставить ник Quote
Stak Posted July 8, 2009 Posted July 8, 2009 В таком примерно направлении мысль и движется... про лимит в 1000 SVI-unnumbered для 3560 я в курсе... эту 1000 еще набрать надо, а наберется - ну заменится железка на 65xx... не о том сейчас голова болит..."генеральную линию Партии" определить надо....Есть один такой способ обойти эти ограничения. Только требут топологии "звезда" от агрегации до доступа. И агрегацию на цисках начиная с 35хх... Хотя конечно агрегацию лучше на 65хх, с cwdm и узлами портов так по 300. Дешевле потому что :) Ну и другие плюсы есть :) Вроде мплс и microflow-policing... см. тут: http://forum.nag.ru/forum/index.php?s=&...st&p=386273 космические деньги за SIP + 10Ge SPA а это вовсе не обязательно) Вставить ник Quote
mikevlz Posted July 8, 2009 Posted July 8, 2009 для VLAN на пользователя вы уже переплатили? DES-3526 там излишен. Так что подумайте на тему опции82 на нем, для отдельно жаждущих авторизации - он умеет авторизовывать порт через Web- страницу при первом обращении к любому сайту. Это вместо 802.1х который не все клиентские маршрутизаторы понимают. Вставить ник Quote
ingress Posted July 8, 2009 Posted July 8, 2009 космические деньги за SIP + 10Ge SPA а это вовсе не обязательно) и как он без указаного развернёт q-in-q? или вы про цену? Вставить ник Quote
Stak Posted July 8, 2009 Posted July 8, 2009 я про необязательность массового q-in-q. Для терминирования вланов вполне можно использовать свичи на агрегации. Причём есть способ обойти ограничения по числу SVI, не в лоб естественно. А сессии наружу - обработать на брасе на выбор. Цена же на SIP + 10Ge SPA наверное никого не радует :) Вставить ник Quote
Voicemaster Posted July 8, 2009 Posted July 8, 2009 Здравствуйте, господа[...] Чего, собственно, хотелось бы... 1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез". 2) Возможно, подписался на полноценную разработку проекта сети. У вас 3 пути: - сделать умным access/aggregation, закольцевать последнее и max разгрузить core - сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core - разварить GPON и поставить серьезную BRAS молотилку + разные миксы из xDSL/E1/Wi-Fi для "хотящих странного" Судя по закупкам есть тяготение с варианту #1. IMHO, разумеется. P.S. C-VLAN выглядит весьма неплохо в вашем случае. Не переживайте так ;-) . [...] карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p В сад. "Дом абонента полнценен, самодостаточен, уважаем" - (с) /me . Вставить ник Quote
ingress Posted July 8, 2009 Posted July 8, 2009 [...] карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p В сад. "Дом абонента полнценен, самодостаточен, уважаем" - (с) /me . меня мало волнует ваш комплекс полноценности :D Вставить ник Quote
Stak Posted July 8, 2009 Posted July 8, 2009 У вас 3 пути: - сделать умным access/aggregation, закольцевать последнее и max разгрузить core - сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core - разварить GPON и поставить серьезную BRAS молотилку Есть и 4й путь: - сделать тупым access, сделать умным aggregation, закольцевать последнее и поставить НЕсерьезную BRAS молотилку с isg или чемто аналогичным для учёта и применения политик на ВНЕШНИЙ трафик. Вставить ник Quote
_Wolf_ Posted July 8, 2009 Author Posted July 8, 2009 Здравствуйте, господа[...] Чего, собственно, хотелось бы... 1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез". 2) Возможно, подписался на полноценную разработку проекта сети. У вас 3 пути: - сделать умным access/aggregation, закольцевать последнее и max разгрузить core - сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core - разварить GPON и поставить серьезную BRAS молотилку + разные миксы из xDSL/E1/Wi-Fi для "хотящих странного" Судя по закупкам есть тяготение с варианту #1. IMHO, разумеется. P.S. C-VLAN выглядит весьма неплохо в вашем случае. Не переживайте так ;-) . [...] карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p В сад. "Дом абонента полнценен, самодостаточен, уважаем" - (с) /me . Да, именно "1-й вариант" лично мне и кажется наиболее приемлемым с учетом того, во что уже вложились и с надеждой на будущее... Ядро в данной комплектации видимо не достаточно "умное"... связываться GPON пока желания нет, хотя в определенных кругах такие идеи время от времени и звучат. Поэтому кажется разумным "распределить мозги по всей сети". А вот с аутентификацией/авторизацией пользователей в такой схеме для меня самое большое "белое пятно"... Вставить ник Quote
vIv Posted July 8, 2009 Posted July 8, 2009 аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer Вставить ник Quote
Voicemaster Posted July 8, 2009 Posted July 8, 2009 аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer Таки слушайте vlv ;-) * ROTFL ! . Вставить ник Quote
ingress Posted July 8, 2009 Posted July 8, 2009 аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :) аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК. НЕ ВОЛНУЕТ . Вставить ник Quote
_Wolf_ Posted July 8, 2009 Author Posted July 8, 2009 аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :) аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК. НЕ ВОЛНУЕТ . А можно прямые ссылки на эти самые "соседние темы"? Как-то они ускользнули от моего внимания. А именно с аутентификацией для меня больше всего непонятного. Вставить ник Quote
ingress Posted July 8, 2009 Posted July 8, 2009 вот хотя бы здесь. http://forum.nag.ru/forum/index.php?showtopic=49611 товарищи полагают что "Simple Internet" © ® есть продакшн промышленных масштабов. Вставить ник Quote
Voicemaster Posted July 8, 2009 Posted July 8, 2009 аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :) аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК. НЕ ВОЛНУЕТ Эта.. Порт пойдет ? ;-) ....... Вставить ник Quote
ingress Posted July 8, 2009 Posted July 8, 2009 Эта.. Порт пойдет ? ;-) скажите мне как наиболее приближенный к дсл технологиям, почему они(злобные дсл монстры) используют ненавистный вИву PPPoE? у них вроде изначально всё управляемое и проблем с финансированием нет, и порт у них как нигде закреплён за абонентом. я подсказывать не буду :) Вставить ник Quote
vIv Posted July 8, 2009 Posted July 8, 2009 Отвечу. Потому-что они телефонисты. Они выросли из диалапа и биллинги у них умеют только РРР. И, кстати, DSLAM в детстве, когда телефонисты учились ADSL-ю, был тупым мультиплексором, поэтому у них в ADSL и живёт АТМ, - чтобы тупо пробросить всех абонентов по SDH куда-то далеко, где стоит огромный терминатор, один на много-много АТС-ок. А аналога Q-in-Q тогда ещё не было. Я, кстати, видел современную инкарнацию этого же самого - IP over Ethernet over .1Q over .1Q over MPLS - и тоже по причине "Биллинг ничего, кроме Netflow от цискового РРР не умеет, а менять биллинг нам никто не даст" Кстати, РРР в виде РРРоЕ для них уже прогресс, почти революция. В самом детстве они вообще траффик считать не умели, умели только "включение на такой-то скорости", когда на DSLAM-е конфигурировалась полоса и на этом всё обслуживание абонента заканчивалось. Канал дали - и ладно, теперь будем месячную абонентку считать. А когда захотелось что-то сложнее, чем "тупо дать канал", - ooops!! - в технологии-то ничего и не предусмотрено! - пришлось городить второй слой, в итоге имеем IP over Ethernet over ATM over DSL, всем привет! Кстати, PPP over ATM так, вроде, и не прижился... Вставить ник Quote
Ivan_83 Posted July 8, 2009 Posted July 8, 2009 Пароль на доступ к телефону, пароль на доступ к радиоточке, пароль на электричество...маразм. Заплатил, воткнул и всё само работает. Вставить ник Quote
_Wolf_ Posted July 8, 2009 Author Posted July 8, 2009 Как в эту тему вписывается/не вписывается Cisco SCE ? Вставить ник Quote
dsk Posted July 8, 2009 Posted July 8, 2009 (edited) А накой тут вообще нужен влан на клиента если на доступе 3526? Делайте влан на дом, режьте весь мусор и неплательщиков прямо на аксессе. Влан на клиента по моему актуален при более тупом аксессе, не поддерживающем дхцп релей с опцией 82, ацл-и и т.п. (например рубитеки). Edited July 8, 2009 by dsk Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.