[_Wolf_]

Здравствуйте, господа

 

Взялась наша организация строить сеть масштаба города (~200 000 население).

К сожалению, как это не редко бывает в крупных организациях, "дом начинают строить с крыши"... Т.е. часть оборудования уже закуплена, часть - смонтирована, но проекта и даже определенной концепции/модели сети до сих пор нет. У тех, кто принимает решения, - довольно неопределенное представление о том, "что же все таки строим и что хотим получить". А тем временем планируются дальнейшие закупки оборудования.

 

Понятно, что путь архи-неправильный, более того - ситуация близкая к кошмарной. Но, к сожалению, это уже данность...

 

Хотелось бы все таки по возможности направить процесс в нужном направлении, чтобы не строить сегодня "сеть вчерашнего дня", и чтобы по возможности хотя бы свести к минимуму последующие перестройки и проблемы эксплуатации. К сожалению, сам я пока не достаточно компетентен в вопросе, чтобы эффективно влиять на руководство.

 

По итогам изучения этого форума сложилось представление, что надо двигаться в сторону модели предоставления доступа по схеме "VLAN-на пользователя". Но, в отличие от схемы pppoe/pptp для меня в этой теме все еще больше вопросов, чем ответов. Та часть оборудования, которая уже закуплена, вроде бы удовлетворяет нужным требованиям (D-Link 3526 -доступ, WS-C3560G - агрегация, С7606+WS-C3560E (10G) - "ядро").

 

Чего, собственно, хотелось бы...

 

1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез".

2) Возможно, подписался на полноценную разработку проекта сети.

Изменено 8 июля, 2009 пользователем Wolf-psk

[vIv]

Вариант: обратиться к независимым людям. Например приехать в гости к LanBilling и поговорить с их саппортёрами. Когда определитесь, что вам нравится или не нравится, - уже можно идти к интегратору с конкретными требованиями.

 

Можно ещё попытаться набиться в гости к QWERTY.ru

[white_crow]

VLAN на пользователя - незачот.

Отказался от такой идеи.

VLANы надо "терминировать" где-то. Такие молотилки дорого стоят.

Судьба сложилась так, что юзаю Zyxel коммутаторы.

Там всего 64 Ip интрефейса VLAN routing (здесь в принципе, легко реализовать схему vlan на дом и терминировать их на агрегации).

__________________________

В итоге - схема такая: ядро - агрегация - доступ. (10G - 1G - 100Mb) Везде оптика, только у клиента - медь.

На доступе умные свичи - IP адрес привязывается к порту и получается тока по DHCP (используется Option 82).

Рулиться трафик правилами ACL - кому нужна локалка за деньги, а кому тока Инет.

Трафик локальный не считается и остаётся тока в районе. (через центр не гонится).

Его можно подрезать, если надо, на порту клиента.

Инет считается биллинговой системой (не NetFlow, а через себя пропускает траф сервер 2 Xeon по 4 ядра (на базе Linux: ideco-software.ru)).

Т.к. IP юзеры сменить не могут - то отпадает разная фигня, типа PPPoE, PPTP -можно считать по IP. Хотя никто не мешает смешанно использовать и VPN - мы так и делаем - биллинг позволяет использовать любые схемы авторизации)

 

 

_________

т.е. схема VLAN на юзера нужна, я так думаю - если считать нужно локальный траф, или если максимально удешевить коммутаторы доступа и вложить деньги в центральную молотилку.

А вы уж выбирайте - что вам по душе - это вечный спор - вложить больше денег в центр или в доступ, считать локальный траф или нет.......: )))))

 

[chainick]

>> Судьба сложилась так, что юзаю Zyxel коммутаторы.

 

>> VLAN на пользователя - незачот.

 

 

:-)

Изменено 8 июля, 2009 пользователем chainick

[ingress]

с тем набором того что вы купили можно построить VLAN на пользователя для ~ 1000 пользователей на район, т.к. 3560 умеет только 1000 вланов, если делать на них Q-in-Q и гнать к ядру двойной тэг, то 7600 его стерминировать не сможет(ну или сможет но это будут космические деньги за SIP + 10Ge SPA)

 

так что можно сделать vlan на свич терминируемые на районных 3560 а дальше маршрутизация.

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

[_Wolf_]

с тем набором того что вы купили можно построить VLAN на пользователя для ~ 1000 пользователей на район, т.к. 3560 умеет только 1000 вланов, если делать на них Q-in-Q и гнать к ядру двойной тэг, то 7600 его стерминировать не сможет(ну или сможет но это будут космические деньги за SIP + 10Ge SPA)

 

так что можно сделать vlan на свич терминируемые на районных 3560 а дальше маршрутизация.

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

В таком примерно направлении мысль и движется... про лимит в 1000 SVI-unnumbered для 3560 я в курсе... эту 1000 еще набрать надо, а наберется - ну заменится железка на 65xx... не о том сейчас голова болит..."генеральную линию Партии" определить надо....

 

Сеть видится не только для того, чтоб "интернет народу раздавать"... "Коммерсанты" уже сейчас хотят там VoD давать ("источник" уже есть и как-то работает), в ближайшей перспективе - IPTV и VoIP... вопрос "коммерческой эффективности" этих начинаний тут тоже не обсуждается... это - тоже "исходные данные". В том числе и поэтому от PPPoE мысль и отвернулась....

Изменено 8 июля, 2009 пользователем Wolf-psk

[Stak]

В таком примерно направлении мысль и движется... про лимит в 1000 SVI-unnumbered для 3560 я в курсе... эту 1000 еще набрать надо, а наберется - ну заменится железка на 65xx... не о том сейчас голова болит..."генеральную линию Партии" определить надо....

Есть один такой способ обойти эти ограничения. Только требут топологии "звезда" от агрегации до доступа. И агрегацию на цисках начиная с 35хх...

Хотя конечно агрегацию лучше на 65хх, с cwdm и узлами портов так по 300. Дешевле потому что :) Ну и другие плюсы есть :) Вроде мплс и microflow-policing...

см. тут: http://forum.nag.ru/forum/index.php?s=&amp...st&p=386273

 

космические деньги за SIP + 10Ge SPA

а это вовсе не обязательно)

 

[mikevlz]

для VLAN на пользователя вы уже переплатили? DES-3526 там излишен.

Так что подумайте на тему опции82 на нем, для отдельно жаждущих авторизации - он умеет авторизовывать порт через Web- страницу при первом обращении к любому сайту. Это вместо 802.1х который не все клиентские маршрутизаторы понимают.

[ingress]

космические деньги за SIP + 10Ge SPA

а это вовсе не обязательно)

 

и как он без указаного развернёт q-in-q?

или вы про цену?

[Stak]

я про необязательность массового q-in-q. Для терминирования вланов вполне можно использовать свичи на агрегации. Причём есть способ обойти ограничения по числу SVI, не в лоб естественно. А сессии наружу - обработать на брасе на выбор.

Цена же на SIP + 10Ge SPA наверное никого не радует :)

[Voicemaster]

Здравствуйте, господа

[...]

 

Чего, собственно, хотелось бы...

 

1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез".

2) Возможно, подписался на полноценную разработку проекта сети.

У вас 3 пути:

 

- сделать умным access/aggregation, закольцевать последнее и max разгрузить core

- сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core

- разварить GPON и поставить серьезную BRAS молотилку

 

+ разные миксы из xDSL/E1/Wi-Fi для "хотящих странного"

 

 

Судя по закупкам есть тяготение с варианту #1.

 

IMHO, разумеется.

 

P.S.

C-VLAN выглядит весьма неплохо в вашем случае. Не переживайте так ;-)

 

.

 

[...]

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

В сад.

 

"Дом абонента полнценен, самодостаточен, уважаем" - (с) /me

 

.

[ingress]

[...]

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

В сад.

 

"Дом абонента полнценен, самодостаточен, уважаем" - (с) /me

 

.

меня мало волнует ваш комплекс полноценности :D

 

 

[Stak]

У вас 3 пути:

 

- сделать умным access/aggregation, закольцевать последнее и max разгрузить core

- сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core

- разварить GPON и поставить серьезную BRAS молотилку

Есть и 4й путь:

- сделать тупым access, сделать умным aggregation, закольцевать последнее и поставить НЕсерьезную BRAS молотилку с isg или чемто аналогичным для учёта и применения политик на ВНЕШНИЙ трафик.

[_Wolf_]

Здравствуйте, господа

[...]

 

Чего, собственно, хотелось бы...

 

1) Чтобы кто-то, кто уже реально использует такую модель в своей сети, пригласил нас на уровне организации к себе "в гости", и провел "ликбез".

2) Возможно, подписался на полноценную разработку проекта сети.

У вас 3 пути:

 

- сделать умным access/aggregation, закольцевать последнее и max разгрузить core

- сделать тупым access/aggregation, заташив всю логику в дорогое MetroEthernet core

- разварить GPON и поставить серьезную BRAS молотилку

 

+ разные миксы из xDSL/E1/Wi-Fi для "хотящих странного"

 

 

Судя по закупкам есть тяготение с варианту #1.

 

IMHO, разумеется.

 

P.S.

C-VLAN выглядит весьма неплохо в вашем случае. Не переживайте так ;-)

 

.

 

[...]

 

карфаген должен быть ...аутентификация должна быть. не слушайте vIv :p

В сад.

 

"Дом абонента полнценен, самодостаточен, уважаем" - (с) /me

 

.

Да, именно "1-й вариант" лично мне и кажется наиболее приемлемым с учетом того, во что уже вложились и с надеждой на будущее...

Ядро в данной комплектации видимо не достаточно "умное"... связываться GPON пока желания нет, хотя в определенных кругах такие идеи время от времени и звучат.

Поэтому кажется разумным "распределить мозги по всей сети".

 

А вот с аутентификацией/авторизацией пользователей в такой схеме для меня самое большое "белое пятно"...

 

[vIv]

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

[Voicemaster]

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

 

Таки слушайте vlv ;-)

 

* ROTFL !

 

.

[ingress]

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :)

 

аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК.

НЕ ВОЛНУЕТ

 

.

[_Wolf_]

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :)

 

аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК.

НЕ ВОЛНУЕТ

 

.

А можно прямые ссылки на эти самые "соседние темы"? Как-то они ускользнули от моего внимания.

А именно с аутентификацией для меня больше всего непонятного.

[ingress]

вот хотя бы здесь.

 

http://forum.nag.ru/forum/index.php?showtopic=49611

 

товарищи полагают что "Simple Internet" © ® ™ есть продакшн промышленных масштабов.

[Voicemaster]

аутентификация должна быть. не слушайте vIv :p

аутентификация или авторизация?

кстати, обе присутствуют при VLAN-per-customer

давайте не будем повторять наши споры в соседних темах, здесь вот Войсмастер умеет ставить самодостаточные точки :)

 

аутентификация должна быть, на базе логина/пароля, сертификата, отпечатка пальца, сканирования сетчатки глаза, анализа ДНК.

НЕ ВОЛНУЕТ

 

 

 

Эта.. Порт пойдет ? ;-)

 

 

.......

 

 

 

[ingress]

Эта.. Порт пойдет ? ;-)

скажите мне как наиболее приближенный к дсл технологиям, почему они(злобные дсл монстры) используют ненавистный вИву PPPoE?

у них вроде изначально всё управляемое и проблем с финансированием нет, и порт у них как нигде закреплён за абонентом.

я подсказывать не буду :)

[vIv]

Отвечу.

Потому-что они телефонисты. Они выросли из диалапа и биллинги у них умеют только РРР. И, кстати, DSLAM в детстве, когда телефонисты учились ADSL-ю, был тупым мультиплексором, поэтому у них в ADSL и живёт АТМ, - чтобы тупо пробросить всех абонентов по SDH куда-то далеко, где стоит огромный терминатор, один на много-много АТС-ок. А аналога Q-in-Q тогда ещё не было.

 

Я, кстати, видел современную инкарнацию этого же самого - IP over Ethernet over .1Q over .1Q over MPLS - и тоже по причине "Биллинг ничего, кроме Netflow от цискового РРР не умеет, а менять биллинг нам никто не даст"

 

Кстати, РРР в виде РРРоЕ для них уже прогресс, почти революция. В самом детстве они вообще траффик считать не умели, умели только "включение на такой-то скорости", когда на DSLAM-е конфигурировалась полоса и на этом всё обслуживание абонента заканчивалось. Канал дали - и ладно, теперь будем месячную абонентку считать. А когда захотелось что-то сложнее, чем "тупо дать канал", - ooops!! - в технологии-то ничего и не предусмотрено! - пришлось городить второй слой, в итоге имеем IP over Ethernet over ATM over DSL, всем привет!

 

Кстати, PPP over ATM так, вроде, и не прижился...

[Ivan_83]

Пароль на доступ к телефону, пароль на доступ к радиоточке, пароль на электричество...маразм.

Заплатил, воткнул и всё само работает.

[_Wolf_]

Как в эту тему вписывается/не вписывается Cisco SCE ?

[dsk]

А накой тут вообще нужен влан на клиента если на доступе 3526?

Делайте влан на дом, режьте весь мусор и неплательщиков прямо на аксессе.

Влан на клиента по моему актуален при более тупом аксессе, не поддерживающем дхцп релей с опцией 82, ацл-и и т.п. (например рубитеки).

Изменено 8 июля, 2009 пользователем dsk