Jump to content
Калькуляторы

Снова строим сеть

День добрый. Есть несколько вопросов о том как лучше организовать сеть.

Досталась сеть примерно на 400 точек подключения, дома совершенно разные. от 2х этажек с 2мя абонентами до нормальных 9 этажек.

Топология "практически звезда", на конце каждого луча увы встречаются сосиски по 2-3 свитча (оптический линк между домами + медики).

Загвоздка в том что практичски вся сеть на "полууправляемом" обррудовании (rrcp-свитчи). На данный момент всё даже в одном broadcast домене.

Задача всё это модернизировать и наращивать абонетскую базу не сталкиваясь с проблемами безопасности абонетов и влиянием абонентов друг на друга.

Лично я предпологаю следующую схему:

vlan на дом, на доме на свитче port-isolation, каждому пользователю PPPoE.

Из плюсов, более проста в администрировании в сранении vlan на пользователя, тунель не зависит от сетевых настроек клиента.

Возникает первый вопрос, на сетевом интерфейсе терминатора pppoe вешать все vlan'ы (предпологается писюк с BSD) ?

Далее вопрос с локальными ресурсами.

Как их сделать при учёте использования PPPoE? Загонять её так же в тонель помоему не вариант ибо будет велика нагрузка на терминатор PPPoE.

Делать роутинг на уровне агрегации, на каждый vlan свою подсеть ? Как с этим будет работать PPPoE не будет ли проблем (поидее не должно быть ведь у нас терминатор уже болтается во всех vlan'ах)?

Никакого triple-play'а не планируется, только качественный инет, и в дальнейшем может быть аренда каналов для организаций, но это в будущем.

На агрегации стоят procurve 3550yl-48g, предпологаю заменить на cisco 6500 sup32. Толпу медиков менять пока не планирую. Нагрузка на портах с каждого лучика не больше 20-30 мбит.

Подскажите пожалуйста, что совсем не стоит делать, что лучше исправить, и что добавить.

Edited by pchol

Share this post


Link to post
Share on other sites

По форуму говорят что проблемы относительные будут с масштабированием такой сети с pppoe. Из вариантов авторизации "управляемых пользователем" остаётся только ppptp. С ним исчезает проблема с локалкой. Всё становится более логично.

Может кто нибудь всё таки укажет на недостатки и проблемы этой схемы ?

Share this post


Link to post
Share on other sites

Ну VLAN на дом - однозначно, желательно конечно VLAN-per-user, но на это потом можно будет перейти.

по поводу PPPoE или PPTP - дело вкуса

если хотите локалку без большой нагрузки на PPPoE сервер - поднимайте между вланами L3 роутинг

 

в случае PPPoE все вланы надо будет полюбому загонять на писюк

 

изоляция портов - хотите делайте, хотите нет, но ACL на клиентских портах должен быть в любом случае

 

по поводу масштабирования - не вижу проблемы, никакой, его даже проще масштабировать, нежели PPTP: будет умирать PPPoE сервер - установите второй, на него пачку вланов перекинете

Edited by terrible

Share this post


Link to post
Share on other sites
но ACL на клиентских портах должен быть в любом случае
И что на клиентском порту резать ?
в случае PPPoE все вланы надо будет полюбому загонять на писюк
Не очень улыбает ситуация с 500 вланами на pc.
по поводу масштабирования - не вижу проблемы
Проблема как раз таки с роутингом, каждый раз таскать вланы до pc.
его даже проще масштабировать, нежели PPTP: будет умирать PPPoE сервер - установите второй
Интересный аргумент, а что с ppptp так не сделать ? )

Share this post


Link to post
Share on other sites

C PPTP чуть сложнее, придется делать балансировку на два сервера ( типа dns round-robin ), и больше серверов понадобится, так как PPTP больше проца жрет.

Share this post


Link to post
Share on other sites

Чем вешать в каждый влан по рррое, ИМХО проще поставить 1-2 рртр-наса. Тогда и локальные ресурсы можно будет отдать клиенту статическим роутингом помимо тунеля.

Share this post


Link to post
Share on other sites
Чем вешать в каждый влан по рррое, ИМХО проще поставить 1-2 рртр-наса. Тогда и локальные ресурсы можно будет отдать клиенту статическим роутингом помимо тунеля.

Абсолютно без разницы. pppoe спокойно развешивается по vlan'ам, а локальные ресурсы отдаются мимо тунеля по тому же vlan напрямую.

Share this post


Link to post
Share on other sites

jab:

Обращусь к вам как к человеку опытному, сервер авторизации pppoe на базе freebsd, без проблем будет жить с 500 а может в дальнейшем и большим количеством вланов на интерфейсе ?

 

PPPTP привлекательнее тем что теоретически проблем с ним меньше во время настройки. Но больше проблем с конечной клиентской точкой, имею ввиду что должен быть обязательно в рабочем состоянии транспорт ip и получен адрес, плюс у некоторых роутеров иногда возникают проблемы с шифрованием.

Да, ещё бы хотел уточнить что авторизация по pppoe / ppptp будет использоваться только примерно для 40% пользователей (помегабайтники).

 

Share this post


Link to post
Share on other sites
jab:

Обращусь к вам как к человеку опытному, сервер авторизации pppoe на базе freebsd, без проблем будет жить с 500 а может в дальнейшем и большим количеством вланов на интерфейсе ?

От прокладки зависит. Но вообще - не жирно ли сразу по vlan'у на каждую двухэтажку ? Я бы все-таки отталкивался от количества потенциальных юзеров ( квартир ). Подсеть на дом - это обязательно,

а vlan'ы можно и потом поразвесить.

 

Вы кстати не описали, для чего вообще вам там vlan'ы.

 

PPPTP привлекательнее тем что теоретически проблем с ним меньше во время настройки. Но больше проблем с конечной клиентской точкой, имею ввиду что должен быть обязательно в рабочем состоянии транспорт ip и получен адрес, плюс у некоторых роутеров иногда возникают проблемы с шифрованием.

Да, ещё бы хотел уточнить что авторизация по pppoe / ppptp будет использоваться только примерно для 40% пользователей (помегабайтники).

А остальные куда ?

Share this post


Link to post
Share on other sites

А у остальных прямой доступ без дополнительной авторизации.

На порту привязка port-security, адреса разадавать через dhcp, а на агрегации arp-protect + dhcp-snooping.

Share this post


Link to post
Share on other sites

Что-то у Вас каша какая-то получается. Если есть возможность прибить IP-Port, то на кой всё остальное ?

Share this post


Link to post
Share on other sites
Если есть возможность прибить IP-Port
порт-секурити предполагается использовать лишь для мониторинга смены мак адресов.

С протектом и снупингом как то протупил. Ведь получается что каждый пользователь дабы увидеть "соседа" должен дойти до агрегации.

Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д.

При этом не хочется сразу делать vlan per user потом что немного сложновато с точки зрения контроля. А нужно в кратчайшие сроки получить более менее контролируемую сеть, и довольно просто администрируемую.

 

Share this post


Link to post
Share on other sites

 

Ну будет сосед вместо dhcp ставить pppoe на том же adsl роутере...

Share this post


Link to post
Share on other sites
но ACL на клиентских портах должен быть в любом случае
И что на клиентском порту резать ?

ну вот это например:
Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д.

Share this post


Link to post
Share on other sites
в случае PPPoE все вланы надо будет полюбому загонять на писюк
Не очень улыбает ситуация с 500 вланами на pc.

Где вы нашли писюк с 270-ю мегабайтами ОЗУ??? И как вы ЭТО смогли туды набить? Какие модули памяти у вас?

 

А серьёзно если, то ОЗУ в писюках имеют такие скорости доступа, причём с произвольной адресацией, что количество виланов вас ну вот совершенно не должно волновать! ;-)

 

Share this post


Link to post
Share on other sites

Ну можно в вланах их довести до агрегации и там всё сделать а на свитчиках на достуе сэкономить, уже же вроде сказали это.

 

А серьёзно если, то ОЗУ в писюках имеют такие скорости доступа, причём с произвольной адресацией, что количество виланов вас ну вот совершенно не должно волновать! ;-)
Спасибо, просто никогда не вещал столько вланов на интерфейс...
Edited by pchol

Share this post


Link to post
Share on other sites

Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д.

Ну можно в вланах их довести до агрегации и там всё сделать а на свитчиках на достуе сэкономить, уже же вроде сказали это.

Какая разница - в какой точке сосед "увидел" соседа? Зарежете им Л2, они начнут ставить pptp-серверы или другие тунельные заморочки и раздавать халяву через вашу сеть уже на Л3. Эти проблемы надо решать не резалками, а тарифной политикой. А резать "вирусные арп штормы и т д." можно и на свичах доступа, они ведь у вас все равно уже есть.

Share this post


Link to post
Share on other sites
Какая разница - в какой точке сосед "увидел" соседа?
Разница в том какое оборудование ставить на доступ для тех или иных целей.
А резать "вирусные арп штормы и т д." можно и на свичах доступа, они ведь у вас все равно уже есть.
А зачем зачём всё это если со схемой влан на пользователя, или в предложенном мной варианте, пользователь будет сидеть в одиночестве со своим штормом и своим dhcp флудящим никому не будет мешать, и для этого нам не нужно покупать L2 свитчей с acl и много чем ещё, на каждый дом.

Share this post


Link to post
Share on other sites

Я чего-то не догоняю...

Сначала вы говорите, что уже есть готовая сеть на 400 абонов. Потом начинаете перебирать варианты планирования сети с нуля.

У вас же УЖЕ есть железо на доступе/агрегации/ядре, наверняка и биллинг есть действующий с конкретной схемой ААА. Вы готовы все это сменить на корню?

Потом. Сеть на 400 абонов. Это сколько домов? 10-100, не больше? Вы по деньгам прикиньте что для такого количества домов дешевле - сменить свичи доступа, или установить супер-ядро для vlan-per-user.

Или цена вопроса вам совсем не интересна?

Edited by Alexandr Ovcharenko

Share this post


Link to post
Share on other sites

 

Сначала вы говорите, что уже есть готовая сеть на 400 абонов.

Читать научитесь сначала, у него 400 домов.

 

Share this post


Link to post
Share on other sites

Точек подключения 400, а не абонентов, имелось ввиду домов. Оборудование как я написал уже полнейшее УГ в виде rrcp-свитчей, и с агрегацией в виде нескольких l3 свитчей, НО все пользователи в одном бродкаст домене.... перечитайте мои первые посты и попытайтесь понять что сеть в текущем её виде неуправляемая практически.

Share this post


Link to post
Share on other sites

jab написал "Подсеть на дом - это обязательно, а vlan'ы можно и потом поразвесить."

если правильно понял на дом можно хх.хх.дом.юзер / 24 ??? и решит много проблем?

(от ппое вернулись к статической раздаче адресов. не потянула cisco28xx 600 абонентов .)

 

 

Share this post


Link to post
Share on other sites

Я бы не стал раздавать на дома сразу /24, заморочился бы и раздавал хотя бы по /26.

Хотя конечно всё зависит от плотности подключений в доме у вас.

Share this post


Link to post
Share on other sites

недели 2 назад стал абонентам рекомендовать изменить маску на /28 .. трудно отследить кто последовал советам, но пользы пока нет.. или из-за того что в разных сегментах? на каком оборудовании можно запретить "несвои" ип адреса?

Share this post


Link to post
Share on other sites
на каком оборудовании можно запретить "несвои" ип адреса?

acl ? или вы имеете ввиду выдачу адресов левыми dhcp ?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this