Jump to content

Снова строим сеть

pchol
 Share

Recommended Posts

pchol

pchol

Posted
Posted (edited)

День добрый. Есть несколько вопросов о том как лучше организовать сеть.

Досталась сеть примерно на 400 точек подключения, дома совершенно разные. от 2х этажек с 2мя абонентами до нормальных 9 этажек.

Топология "практически звезда", на конце каждого луча увы встречаются сосиски по 2-3 свитча (оптический линк между домами + медики).

Загвоздка в том что практичски вся сеть на "полууправляемом" обррудовании (rrcp-свитчи). На данный момент всё даже в одном broadcast домене.

Задача всё это модернизировать и наращивать абонетскую базу не сталкиваясь с проблемами безопасности абонетов и влиянием абонентов друг на друга.

Лично я предпологаю следующую схему:

vlan на дом, на доме на свитче port-isolation, каждому пользователю PPPoE.

Из плюсов, более проста в администрировании в сранении vlan на пользователя, тунель не зависит от сетевых настроек клиента.

Возникает первый вопрос, на сетевом интерфейсе терминатора pppoe вешать все vlan'ы (предпологается писюк с BSD) ?

Далее вопрос с локальными ресурсами.

Как их сделать при учёте использования PPPoE? Загонять её так же в тонель помоему не вариант ибо будет велика нагрузка на терминатор PPPoE.

Делать роутинг на уровне агрегации, на каждый vlan свою подсеть ? Как с этим будет работать PPPoE не будет ли проблем (поидее не должно быть ведь у нас терминатор уже болтается во всех vlan'ах)?

Никакого triple-play'а не планируется, только качественный инет, и в дальнейшем может быть аренда каналов для организаций, но это в будущем.

На агрегации стоят procurve 3550yl-48g, предпологаю заменить на cisco 6500 sup32. Толпу медиков менять пока не планирую. Нагрузка на портах с каждого лучика не больше 20-30 мбит.

Подскажите пожалуйста, что совсем не стоит делать, что лучше исправить, и что добавить.

Edited by pchol
pchol

pchol

Posted
  • Author
Posted

По форуму говорят что проблемы относительные будут с масштабированием такой сети с pppoe. Из вариантов авторизации "управляемых пользователем" остаётся только ppptp. С ним исчезает проблема с локалкой. Всё становится более логично.

Может кто нибудь всё таки укажет на недостатки и проблемы этой схемы ?

terrible

terrible

Posted
Posted (edited)

Ну VLAN на дом - однозначно, желательно конечно VLAN-per-user, но на это потом можно будет перейти.

по поводу PPPoE или PPTP - дело вкуса

если хотите локалку без большой нагрузки на PPPoE сервер - поднимайте между вланами L3 роутинг

 

в случае PPPoE все вланы надо будет полюбому загонять на писюк

 

изоляция портов - хотите делайте, хотите нет, но ACL на клиентских портах должен быть в любом случае

 

по поводу масштабирования - не вижу проблемы, никакой, его даже проще масштабировать, нежели PPTP: будет умирать PPPoE сервер - установите второй, на него пачку вланов перекинете

Edited by terrible
pchol

pchol

Posted
  • Author
Posted
но ACL на клиентских портах должен быть в любом случае
И что на клиентском порту резать ?
в случае PPPoE все вланы надо будет полюбому загонять на писюк
Не очень улыбает ситуация с 500 вланами на pc.
по поводу масштабирования - не вижу проблемы
Проблема как раз таки с роутингом, каждый раз таскать вланы до pc.
его даже проще масштабировать, нежели PPTP: будет умирать PPPoE сервер - установите второй
Интересный аргумент, а что с ppptp так не сделать ? )
jab

jab

Posted
Posted

C PPTP чуть сложнее, придется делать балансировку на два сервера ( типа dns round-robin ), и больше серверов понадобится, так как PPTP больше проца жрет.

jab

jab

Posted
Posted
Чем вешать в каждый влан по рррое, ИМХО проще поставить 1-2 рртр-наса. Тогда и локальные ресурсы можно будет отдать клиенту статическим роутингом помимо тунеля.

Абсолютно без разницы. pppoe спокойно развешивается по vlan'ам, а локальные ресурсы отдаются мимо тунеля по тому же vlan напрямую.

pchol

pchol

Posted
  • Author
Posted

jab:

Обращусь к вам как к человеку опытному, сервер авторизации pppoe на базе freebsd, без проблем будет жить с 500 а может в дальнейшем и большим количеством вланов на интерфейсе ?

 

PPPTP привлекательнее тем что теоретически проблем с ним меньше во время настройки. Но больше проблем с конечной клиентской точкой, имею ввиду что должен быть обязательно в рабочем состоянии транспорт ip и получен адрес, плюс у некоторых роутеров иногда возникают проблемы с шифрованием.

Да, ещё бы хотел уточнить что авторизация по pppoe / ppptp будет использоваться только примерно для 40% пользователей (помегабайтники).

 

jab

jab

Posted
Posted
jab:

Обращусь к вам как к человеку опытному, сервер авторизации pppoe на базе freebsd, без проблем будет жить с 500 а может в дальнейшем и большим количеством вланов на интерфейсе ?

От прокладки зависит. Но вообще - не жирно ли сразу по vlan'у на каждую двухэтажку ? Я бы все-таки отталкивался от количества потенциальных юзеров ( квартир ). Подсеть на дом - это обязательно,

а vlan'ы можно и потом поразвесить.

 

Вы кстати не описали, для чего вообще вам там vlan'ы.

 

PPPTP привлекательнее тем что теоретически проблем с ним меньше во время настройки. Но больше проблем с конечной клиентской точкой, имею ввиду что должен быть обязательно в рабочем состоянии транспорт ip и получен адрес, плюс у некоторых роутеров иногда возникают проблемы с шифрованием.

Да, ещё бы хотел уточнить что авторизация по pppoe / ppptp будет использоваться только примерно для 40% пользователей (помегабайтники).

А остальные куда ?

pchol

pchol

Posted
  • Author
Posted

А у остальных прямой доступ без дополнительной авторизации.

На порту привязка port-security, адреса разадавать через dhcp, а на агрегации arp-protect + dhcp-snooping.

pchol

pchol

Posted
  • Author
Posted
Если есть возможность прибить IP-Port
порт-секурити предполагается использовать лишь для мониторинга смены мак адресов.

С протектом и снупингом как то протупил. Ведь получается что каждый пользователь дабы увидеть "соседа" должен дойти до агрегации.

Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д.

При этом не хочется сразу делать vlan per user потом что немного сложновато с точки зрения контроля. А нужно в кратчайшие сроки получить более менее контролируемую сеть, и довольно просто администрируемую.

 

terrible

terrible

Posted
Posted
но ACL на клиентских портах должен быть в любом случае
И что на клиентском порту резать ?

ну вот это например:
Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д.
vIv

vIv

Posted
Posted
в случае PPPoE все вланы надо будет полюбому загонять на писюк
Не очень улыбает ситуация с 500 вланами на pc.

Где вы нашли писюк с 270-ю мегабайтами ОЗУ??? И как вы ЭТО смогли туды набить? Какие модули памяти у вас?

 

А серьёзно если, то ОЗУ в писюках имеют такие скорости доступа, причём с произвольной адресацией, что количество виланов вас ну вот совершенно не должно волновать! ;-)

 

pchol

pchol

Posted
  • Author
Posted (edited)

Ну можно в вланах их довести до агрегации и там всё сделать а на свитчиках на достуе сэкономить, уже же вроде сказали это.

 

А серьёзно если, то ОЗУ в писюках имеют такие скорости доступа, причём с произвольной адресацией, что количество виланов вас ну вот совершенно не должно волновать! ;-)
Спасибо, просто никогда не вещал столько вланов на интерфейс... Edited by pchol
Alexandr Ovcharenko

Alexandr Ovcharenko

Posted
Posted

Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д.

Ну можно в вланах их довести до агрегации и там всё сделать а на свитчиках на достуе сэкономить, уже же вроде сказали это.

Какая разница - в какой точке сосед "увидел" соседа? Зарежете им Л2, они начнут ставить pptp-серверы или другие тунельные заморочки и раздавать халяву через вашу сеть уже на Л3. Эти проблемы надо решать не резалками, а тарифной политикой. А резать "вирусные арп штормы и т д." можно и на свичах доступа, они ведь у вас все равно уже есть.

pchol

pchol

Posted
  • Author
Posted
Какая разница - в какой точке сосед "увидел" соседа?
Разница в том какое оборудование ставить на доступ для тех или иных целей.
А резать "вирусные арп штормы и т д." можно и на свичах доступа, они ведь у вас все равно уже есть.
А зачем зачём всё это если со схемой влан на пользователя, или в предложенном мной варианте, пользователь будет сидеть в одиночестве со своим штормом и своим dhcp флудящим никому не будет мешать, и для этого нам не нужно покупать L2 свитчей с acl и много чем ещё, на каждый дом.
Alexandr Ovcharenko

Alexandr Ovcharenko

Posted
Posted (edited)

Я чего-то не догоняю...

Сначала вы говорите, что уже есть готовая сеть на 400 абонов. Потом начинаете перебирать варианты планирования сети с нуля.

У вас же УЖЕ есть железо на доступе/агрегации/ядре, наверняка и биллинг есть действующий с конкретной схемой ААА. Вы готовы все это сменить на корню?

Потом. Сеть на 400 абонов. Это сколько домов? 10-100, не больше? Вы по деньгам прикиньте что для такого количества домов дешевле - сменить свичи доступа, или установить супер-ядро для vlan-per-user.

Или цена вопроса вам совсем не интересна?

Edited by Alexandr Ovcharenko
jab

jab

Posted
Posted

 

Сначала вы говорите, что уже есть готовая сеть на 400 абонов.

Читать научитесь сначала, у него 400 домов.

 

pchol

pchol

Posted
  • Author
Posted

Точек подключения 400, а не абонентов, имелось ввиду домов. Оборудование как я написал уже полнейшее УГ в виде rrcp-свитчей, и с агрегацией в виде нескольких l3 свитчей, НО все пользователи в одном бродкаст домене.... перечитайте мои первые посты и попытайтесь понять что сеть в текущем её виде неуправляемая практически.

kf72

kf72

Posted
Posted

jab написал "Подсеть на дом - это обязательно, а vlan'ы можно и потом поразвесить."

если правильно понял на дом можно хх.хх.дом.юзер / 24 ??? и решит много проблем?

(от ппое вернулись к статической раздаче адресов. не потянула cisco28xx 600 абонентов .)

 

 

pchol

pchol

Posted
  • Author
Posted

Я бы не стал раздавать на дома сразу /24, заморочился бы и раздавал хотя бы по /26.

Хотя конечно всё зависит от плотности подключений в доме у вас.

kf72

kf72

Posted
Posted

недели 2 назад стал абонентам рекомендовать изменить маску на /28 .. трудно отследить кто последовал советам, но пользы пока нет.. или из-за того что в разных сегментах? на каком оборудовании можно запретить "несвои" ип адреса?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.