_Wolf_ Опубликовано 8 июля, 2009 (изменено) · Жалоба Здравствуйте, господа Взялась наша организация строить сеть масштаба города (~200 000 население). К сожалению, как это не редко бывает в крупных организациях, "дом начинают строить с крыши"... Т.е. часть оборудования уже закуплена, часть - смонтирована, но проекта и даже определенной концепции/модели сети до сих пор нет. У тех, кто принимает решения, - довольно неопределенное представление о том, "что же все таки строим и что хотим получить". А тем временем планируются дальнейшие закупки оборудования. Понятно, что путь архи-неправильный, более того - ситуация близкая к кошмарной. Но, к сожалению, это уже данность... Хотелось бы все таки по возможности направить процесс в нужном направлении, чтобы не строить сегодня "сеть вчерашнего дня", и чтобы по возможности хотя бы свести к минимуму последующие перестройки и проблемы эксплуатации. К сожалению, сам я пока не достаточно компетентен в вопросе, чтобы эффективно влиять на руководство. По итогам изучения этого форума сложилось представление, что надо двигаться в сторону модели предоставления доступа по схеме "VLAN-на пользователя". Но, в отличие от схемы pppoe/pptp для меня в этой теме все еще больше вопросов, чем ответов. Та часть оборудования, которая уже закуплена, вроде бы удовлетворяет нужным требованиям (D-Link 3526 -доступ, WS-C3560G - агрегация, С7606+WS-C3560E (10G) - "ядро"). Чего, собственно, хотелось бы... 1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез". 2) Возможно, подписался на полноценную разработку проекта сети. Изменено 8 июля, 2009 пользователем Wolf-psk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 8 июля, 2009 · Жалоба Вариант: обратиться к независимым людям. Например приехать в гости к LanBilling и поговорить с их саппортёрами. Когда определитесь, что вам нравится или не нравится, - уже можно идти к интегратору с конкретными требованиями. Можно ещё попытаться набиться в гости к QWERTY.ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 8 июля, 2009 · Жалоба VLAN на пользователя - незачот. Отказался от такой идеи. VLANы надо "терминировать" где-то. Такие молотилки дорого стоят. Судьба сложилась так, что юзаю Zyxel коммутаторы. Там всего 64 Ip интрефейса VLAN routing (здесь в принципе, легко реализовать схему vlan на дом и терминировать их на агрегации). __________________________ В итоге - схема такая: ядро - агрегация - доступ. (10G - 1G - 100Mb) Везде оптика, только у клиента - медь. На доступе умные свичи - IP адрес привязывается к порту и получается тока по DHCP (используется Option 82). Рулиться трафик правилами ACL - кому нужна локалка за деньги, а кому тока Инет. Трафик локальный не считается и остаётся тока в районе. (через центр не гонится). Его можно подрезать, если надо, на порту клиента. Инет считается биллинговой системой (не NetFlow, а через себя пропускает траф сервер 2 Xeon по 4 ядра (на базе Linux: ideco-software.ru)). Т.к. IP юзеры сменить не могут - то отпадает разная фигня, типа PPPoE, PPTP -можно считать по IP. Хотя никто не мешает смешанно использовать и VPN - мы так и делаем - биллинг позволяет использовать любые схемы авторизации) _________ т.е. схема VLAN на юзера нужна, я так думаю - если считать нужно локальный траф, или если максимально удешевить коммутаторы доступа и вложить деньги в центральную молотилку. А вы уж выбирайте - что вам по душе - это вечный спор - вложить больше денег в центр или в доступ, считать локальный траф или нет.......: ))))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 8 июля, 2009 (изменено) · Жалоба >> Судьба сложилась так, что юзаю Zyxel коммутаторы. >> VLAN на пользователя - незачот. :-) Изменено 8 июля, 2009 пользователем chainick Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 8 июля, 2009 · Жалоба с тем набором того что вы купили можно построить VLAN на пользователя для ~ 1000 пользователей на район, т.к. 3560 умеет только 1000 вланов, если делать на них Q-in-Q и гнать к ядру двойной тэг, то 7600 его стерминировать не сможет(ну или сможет но это будут космические деньги за SIP + 10Ge SPA) так что можно сделать vlan на свич терминируемые на районных 3560 а дальше маршрутизация. карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_Wolf_ Опубликовано 8 июля, 2009 (изменено) · Жалоба с тем набором того что вы купили можно построить VLAN на пользователя для ~ 1000 пользователей на район, т.к. 3560 умеет только 1000 вланов, если делать на них Q-in-Q и гнать к ядру двойной тэг, то 7600 его стерминировать не сможет(ну или сможет но это будут космические деньги за SIP + 10Ge SPA) так что можно сделать vlan на свич терминируемые на районных 3560 а дальше маршрутизация. карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p В таком примерно направлении мысль и движется... про лимит в 1000 SVI-unnumbered для 3560 я в курсе... эту 1000 еще набрать надо, а наберется - ну заменится железка на 65xx... не о том сейчас голова болит..."генеральную линию Партии" определить надо.... Сеть видится не только для того, чтоб "интернет народу раздавать"... "Коммерсанты" уже сейчас хотят там VoD давать ("источник" уже есть и как-то работает), в ближайшей перспективе - IPTV и VoIP... вопрос "коммерческой эффективности" этих начинаний тут тоже не обсуждается... это - тоже "исходные данные". В том числе и поэтому от PPPoE мысль и отвернулась.... Изменено 8 июля, 2009 пользователем Wolf-psk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 июля, 2009 · Жалоба В таком примерно направлении мысль и движется... про лимит в 1000 SVI-unnumbered для 3560 я в курсе... эту 1000 еще набрать надо, а наберется - ну заменится железка на 65xx... не о том сейчас голова болит..."генеральную линию Партии" определить надо....Есть один такой способ обойти эти ограничения. Только требут топологии "звезда" от агрегации до доступа. И агрегацию на цисках начиная с 35хх... Хотя конечно агрегацию лучше на 65хх, с cwdm и узлами портов так по 300. Дешевле потому что :) Ну и другие плюсы есть :) Вроде мплс и microflow-policing... см. тут: http://forum.nag.ru/forum/index.php?s=&...st&p=386273 космические деньги за SIP + 10Ge SPA а это вовсе не обязательно) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 8 июля, 2009 · Жалоба для VLAN на пользователя вы уже переплатили? DES-3526 там излишен. Так что подумайте на тему опции82 на нем, для отдельно жаждущих авторизации - он умеет авторизовывать порт через Web- страницу при первом обращении к любому сайту. Это вместо 802.1х который не все клиентские маршрутизаторы понимают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 8 июля, 2009 · Жалоба космические деньги за SIP + 10Ge SPA а это вовсе не обязательно) и как он без указаного развернёт q-in-q? или вы про цену? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 июля, 2009 · Жалоба я про необязательность массового q-in-q. Для терминирования вланов вполне можно использовать свичи на агрегации. Причём есть способ обойти ограничения по числу SVI, не в лоб естественно. А сессии наружу - обработать на брасе на выбор. Цена же на SIP + 10Ge SPA наверное никого не радует :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voicemaster Опубликовано 8 июля, 2009 · Жалоба Здравствуйте, господа[...] Чего, собственно, хотелось бы... 1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез". 2) Возможно, подписался на полноценную разработку проекта сети. У вас 3 пути: - сделать умным access/aggregation, закольцевать последнее и max разгрузить core - сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core - разварить GPON и поставить серьезную BRAS молотилку + разные миксы из xDSL/E1/Wi-Fi для "хотящих странного" Судя по закупкам есть тяготение с варианту #1. IMHO, разумеется. P.S. C-VLAN выглядит весьма неплохо в вашем случае. Не переживайте так ;-) . [...] карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p В сад. "Дом абонента полнценен, самодостаточен, уважаем" - (с) /me . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 8 июля, 2009 · Жалоба [...] карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p В сад. "Дом абонента полнценен, самодостаточен, уважаем" - (с) /me . меня мало волнует ваш комплекс полноценности :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 8 июля, 2009 · Жалоба У вас 3 пути: - сделать умным access/aggregation, закольцевать последнее и max разгрузить core - сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core - разварить GPON и поставить серьезную BRAS молотилку Есть и 4й путь: - сделать тупым access, сделать умным aggregation, закольцевать последнее и поставить НЕсерьезную BRAS молотилку с isg или чемто аналогичным для учёта и применения политик на ВНЕШНИЙ трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_Wolf_ Опубликовано 8 июля, 2009 · Жалоба Здравствуйте, господа[...] Чего, собственно, хотелось бы... 1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез". 2) Возможно, подписался на полноценную разработку проекта сети. У вас 3 пути: - сделать умным access/aggregation, закольцевать последнее и max разгрузить core - сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core - разварить GPON и поставить серьезную BRAS молотилку + разные миксы из xDSL/E1/Wi-Fi для "хотящих странного" Судя по закупкам есть тяготение с варианту #1. IMHO, разумеется. P.S. C-VLAN выглядит весьма неплохо в вашем случае. Не переживайте так ;-) . [...] карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p В сад. "Дом абонента полнценен, самодостаточен, уважаем" - (с) /me . Да, именно "1-й вариант" лично мне и кажется наиболее приемлемым с учетом того, во что уже вложились и с надеждой на будущее... Ядро в данной комплектации видимо не достаточно "умное"... связываться GPON пока желания нет, хотя в определенных кругах такие идеи время от времени и звучат. Поэтому кажется разумным "распределить мозги по всей сети". А вот с аутентификацией/авторизацией пользователей в такой схеме для меня самое большое "белое пятно"... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 8 июля, 2009 · Жалоба аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voicemaster Опубликовано 8 июля, 2009 · Жалоба аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer Таки слушайте vlv ;-) * ROTFL ! . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 8 июля, 2009 · Жалоба аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :) аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК. НЕ ВОЛНУЕТ . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_Wolf_ Опубликовано 8 июля, 2009 · Жалоба аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :) аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК. НЕ ВОЛНУЕТ . А можно прямые ссылки на эти самые "соседние темы"? Как-то они ускользнули от моего внимания. А именно с аутентификацией для меня больше всего непонятного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 8 июля, 2009 · Жалоба вот хотя бы здесь. http://forum.nag.ru/forum/index.php?showtopic=49611 товарищи полагают что "Simple Internet" © ® есть продакшн промышленных масштабов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voicemaster Опубликовано 8 июля, 2009 · Жалоба аутентификация должна быть. не слушайте vIv :p аутентификация или авторизация? кстати, обе присутствуют при VLAN-per-customer давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :) аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК. НЕ ВОЛНУЕТ Эта.. Порт пойдет ? ;-) ....... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 8 июля, 2009 · Жалоба Эта.. Порт пойдет ? ;-) скажите мне как наиболее приближенный к дсл технологиям, почему они(злобные дсл монстры) используют ненавистный вИву PPPoE? у них вроде изначально всё управляемое и проблем с финансированием нет, и порт у них как нигде закреплён за абонентом. я подсказывать не буду :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 8 июля, 2009 · Жалоба Отвечу. Потому-что они телефонисты. Они выросли из диалапа и биллинги у них умеют только РРР. И, кстати, DSLAM в детстве, когда телефонисты учились ADSL-ю, был тупым мультиплексором, поэтому у них в ADSL и живёт АТМ, - чтобы тупо пробросить всех абонентов по SDH куда-то далеко, где стоит огромный терминатор, один на много-много АТС-ок. А аналога Q-in-Q тогда ещё не было. Я, кстати, видел современную инкарнацию этого же самого - IP over Ethernet over .1Q over .1Q over MPLS - и тоже по причине "Биллинг ничего, кроме Netflow от цискового РРР не умеет, а менять биллинг нам никто не даст" Кстати, РРР в виде РРРоЕ для них уже прогресс, почти революция. В самом детстве они вообще траффик считать не умели, умели только "включение на такой-то скорости", когда на DSLAM-е конфигурировалась полоса и на этом всё обслуживание абонента заканчивалось. Канал дали - и ладно, теперь будем месячную абонентку считать. А когда захотелось что-то сложнее, чем "тупо дать канал", - ooops!! - в технологии-то ничего и не предусмотрено! - пришлось городить второй слой, в итоге имеем IP over Ethernet over ATM over DSL, всем привет! Кстати, PPP over ATM так, вроде, и не прижился... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 июля, 2009 · Жалоба Пароль на доступ к телефону, пароль на доступ к радиоточке, пароль на электричество...маразм. Заплатил, воткнул и всё само работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_Wolf_ Опубликовано 8 июля, 2009 · Жалоба Как в эту тему вписывается/не вписывается Cisco SCE ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 8 июля, 2009 (изменено) · Жалоба А накой тут вообще нужен влан на клиента если на доступе 3526? Делайте влан на дом, режьте весь мусор и неплательщиков прямо на аксессе. Влан на клиента по моему актуален при более тупом аксессе, не поддерживающем дхцп релей с опцией 82, ацл-и и т.п. (например рубитеки). Изменено 8 июля, 2009 пользователем dsk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...