pchol Опубликовано 28 сентября, 2009 (изменено) · Жалоба День добрый. Есть несколько вопросов о том как лучше организовать сеть. Досталась сеть примерно на 400 точек подключения, дома совершенно разные. от 2х этажек с 2мя абонентами до нормальных 9 этажек. Топология "практически звезда", на конце каждого луча увы встречаются сосиски по 2-3 свитча (оптический линк между домами + медики). Загвоздка в том что практичски вся сеть на "полууправляемом" обррудовании (rrcp-свитчи). На данный момент всё даже в одном broadcast домене. Задача всё это модернизировать и наращивать абонетскую базу не сталкиваясь с проблемами безопасности абонетов и влиянием абонентов друг на друга. Лично я предпологаю следующую схему: vlan на дом, на доме на свитче port-isolation, каждому пользователю PPPoE. Из плюсов, более проста в администрировании в сранении vlan на пользователя, тунель не зависит от сетевых настроек клиента. Возникает первый вопрос, на сетевом интерфейсе терминатора pppoe вешать все vlan'ы (предпологается писюк с BSD) ? Далее вопрос с локальными ресурсами. Как их сделать при учёте использования PPPoE? Загонять её так же в тонель помоему не вариант ибо будет велика нагрузка на терминатор PPPoE. Делать роутинг на уровне агрегации, на каждый vlan свою подсеть ? Как с этим будет работать PPPoE не будет ли проблем (поидее не должно быть ведь у нас терминатор уже болтается во всех vlan'ах)? Никакого triple-play'а не планируется, только качественный инет, и в дальнейшем может быть аренда каналов для организаций, но это в будущем. На агрегации стоят procurve 3550yl-48g, предпологаю заменить на cisco 6500 sup32. Толпу медиков менять пока не планирую. Нагрузка на портах с каждого лучика не больше 20-30 мбит. Подскажите пожалуйста, что совсем не стоит делать, что лучше исправить, и что добавить. Изменено 30 сентября, 2009 пользователем pchol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 30 сентября, 2009 · Жалоба По форуму говорят что проблемы относительные будут с масштабированием такой сети с pppoe. Из вариантов авторизации "управляемых пользователем" остаётся только ppptp. С ним исчезает проблема с локалкой. Всё становится более логично. Может кто нибудь всё таки укажет на недостатки и проблемы этой схемы ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 30 сентября, 2009 (изменено) · Жалоба Ну VLAN на дом - однозначно, желательно конечно VLAN-per-user, но на это потом можно будет перейти. по поводу PPPoE или PPTP - дело вкуса если хотите локалку без большой нагрузки на PPPoE сервер - поднимайте между вланами L3 роутинг в случае PPPoE все вланы надо будет полюбому загонять на писюк изоляция портов - хотите делайте, хотите нет, но ACL на клиентских портах должен быть в любом случае по поводу масштабирования - не вижу проблемы, никакой, его даже проще масштабировать, нежели PPTP: будет умирать PPPoE сервер - установите второй, на него пачку вланов перекинете Изменено 30 сентября, 2009 пользователем terrible Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 30 сентября, 2009 · Жалоба но ACL на клиентских портах должен быть в любом случаеИ что на клиентском порту резать ?в случае PPPoE все вланы надо будет полюбому загонять на писюкНе очень улыбает ситуация с 500 вланами на pc.по поводу масштабирования - не вижу проблемыПроблема как раз таки с роутингом, каждый раз таскать вланы до pc.его даже проще масштабировать, нежели PPTP: будет умирать PPPoE сервер - установите второйИнтересный аргумент, а что с ppptp так не сделать ? ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 30 сентября, 2009 · Жалоба C PPTP чуть сложнее, придется делать балансировку на два сервера ( типа dns round-robin ), и больше серверов понадобится, так как PPTP больше проца жрет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 30 сентября, 2009 · Жалоба Чем вешать в каждый влан по рррое, ИМХО проще поставить 1-2 рртр-наса. Тогда и локальные ресурсы можно будет отдать клиенту статическим роутингом помимо тунеля. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 30 сентября, 2009 · Жалоба Чем вешать в каждый влан по рррое, ИМХО проще поставить 1-2 рртр-наса. Тогда и локальные ресурсы можно будет отдать клиенту статическим роутингом помимо тунеля. Абсолютно без разницы. pppoe спокойно развешивается по vlan'ам, а локальные ресурсы отдаются мимо тунеля по тому же vlan напрямую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 30 сентября, 2009 · Жалоба jab: Обращусь к вам как к человеку опытному, сервер авторизации pppoe на базе freebsd, без проблем будет жить с 500 а может в дальнейшем и большим количеством вланов на интерфейсе ? PPPTP привлекательнее тем что теоретически проблем с ним меньше во время настройки. Но больше проблем с конечной клиентской точкой, имею ввиду что должен быть обязательно в рабочем состоянии транспорт ip и получен адрес, плюс у некоторых роутеров иногда возникают проблемы с шифрованием. Да, ещё бы хотел уточнить что авторизация по pppoe / ppptp будет использоваться только примерно для 40% пользователей (помегабайтники). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 30 сентября, 2009 · Жалоба jab: Обращусь к вам как к человеку опытному, сервер авторизации pppoe на базе freebsd, без проблем будет жить с 500 а может в дальнейшем и большим количеством вланов на интерфейсе ? От прокладки зависит. Но вообще - не жирно ли сразу по vlan'у на каждую двухэтажку ? Я бы все-таки отталкивался от количества потенциальных юзеров ( квартир ). Подсеть на дом - это обязательно, а vlan'ы можно и потом поразвесить. Вы кстати не описали, для чего вообще вам там vlan'ы. PPPTP привлекательнее тем что теоретически проблем с ним меньше во время настройки. Но больше проблем с конечной клиентской точкой, имею ввиду что должен быть обязательно в рабочем состоянии транспорт ip и получен адрес, плюс у некоторых роутеров иногда возникают проблемы с шифрованием.Да, ещё бы хотел уточнить что авторизация по pppoe / ppptp будет использоваться только примерно для 40% пользователей (помегабайтники). А остальные куда ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 30 сентября, 2009 · Жалоба А у остальных прямой доступ без дополнительной авторизации. На порту привязка port-security, адреса разадавать через dhcp, а на агрегации arp-protect + dhcp-snooping. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 30 сентября, 2009 · Жалоба Что-то у Вас каша какая-то получается. Если есть возможность прибить IP-Port, то на кой всё остальное ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 30 сентября, 2009 · Жалоба Если есть возможность прибить IP-Portпорт-секурити предполагается использовать лишь для мониторинга смены мак адресов.С протектом и снупингом как то протупил. Ведь получается что каждый пользователь дабы увидеть "соседа" должен дойти до агрегации. Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д. При этом не хочется сразу делать vlan per user потом что немного сложновато с точки зрения контроля. А нужно в кратчайшие сроки получить более менее контролируемую сеть, и довольно просто администрируемую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 30 сентября, 2009 · Жалоба Ну будет сосед вместо dhcp ставить pppoe на том же adsl роутере... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 30 сентября, 2009 · Жалоба но ACL на клиентских портах должен быть в любом случаеИ что на клиентском порту резать ? ну вот это например:Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 30 сентября, 2009 · Жалоба в случае PPPoE все вланы надо будет полюбому загонять на писюкНе очень улыбает ситуация с 500 вланами на pc. Где вы нашли писюк с 270-ю мегабайтами ОЗУ??? И как вы ЭТО смогли туды набить? Какие модули памяти у вас? А серьёзно если, то ОЗУ в писюках имеют такие скорости доступа, причём с произвольной адресацией, что количество виланов вас ну вот совершенно не должно волновать! ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 30 сентября, 2009 (изменено) · Жалоба Ну можно в вланах их довести до агрегации и там всё сделать а на свитчиках на достуе сэкономить, уже же вроде сказали это. А серьёзно если, то ОЗУ в писюках имеют такие скорости доступа, причём с произвольной адресацией, что количество виланов вас ну вот совершенно не должно волновать! ;-)Спасибо, просто никогда не вещал столько вланов на интерфейс... Изменено 30 сентября, 2009 пользователем pchol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 1 октября, 2009 · Жалоба Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д. Ну можно в вланах их довести до агрегации и там всё сделать а на свитчиках на достуе сэкономить, уже же вроде сказали это. Какая разница - в какой точке сосед "увидел" соседа? Зарежете им Л2, они начнут ставить pptp-серверы или другие тунельные заморочки и раздавать халяву через вашу сеть уже на Л3. Эти проблемы надо решать не резалками, а тарифной политикой. А резать "вирусные арп штормы и т д." можно и на свичах доступа, они ведь у вас все равно уже есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 1 октября, 2009 · Жалоба Какая разница - в какой точке сосед "увидел" соседа?Разница в том какое оборудование ставить на доступ для тех или иных целей.А резать "вирусные арп штормы и т д." можно и на свичах доступа, они ведь у вас все равно уже есть.А зачем зачём всё это если со схемой влан на пользователя, или в предложенном мной варианте, пользователь будет сидеть в одиночестве со своим штормом и своим dhcp флудящим никому не будет мешать, и для этого нам не нужно покупать L2 свитчей с acl и много чем ещё, на каждый дом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 1 октября, 2009 (изменено) · Жалоба Я чего-то не догоняю... Сначала вы говорите, что уже есть готовая сеть на 400 абонов. Потом начинаете перебирать варианты планирования сети с нуля. У вас же УЖЕ есть железо на доступе/агрегации/ядре, наверняка и биллинг есть действующий с конкретной схемой ААА. Вы готовы все это сменить на корню? Потом. Сеть на 400 абонов. Это сколько домов? 10-100, не больше? Вы по деньгам прикиньте что для такого количества домов дешевле - сменить свичи доступа, или установить супер-ядро для vlan-per-user. Или цена вопроса вам совсем не интересна? Изменено 1 октября, 2009 пользователем Alexandr Ovcharenko Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 1 октября, 2009 · Жалоба Сначала вы говорите, что уже есть готовая сеть на 400 абонов. Читать научитесь сначала, у него 400 домов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 1 октября, 2009 · Жалоба Точек подключения 400, а не абонентов, имелось ввиду домов. Оборудование как я написал уже полнейшее УГ в виде rrcp-свитчей, и с агрегацией в виде нескольких l3 свитчей, НО все пользователи в одном бродкаст домене.... перечитайте мои первые посты и попытайтесь понять что сеть в текущем её виде неуправляемая практически. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 2 октября, 2009 · Жалоба jab написал "Подсеть на дом - это обязательно, а vlan'ы можно и потом поразвесить." если правильно понял на дом можно хх.хх.дом.юзер / 24 ??? и решит много проблем? (от ппое вернулись к статической раздаче адресов. не потянула cisco28xx 600 абонентов .) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 2 октября, 2009 · Жалоба Я бы не стал раздавать на дома сразу /24, заморочился бы и раздавал хотя бы по /26. Хотя конечно всё зависит от плотности подключений в доме у вас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 3 октября, 2009 · Жалоба недели 2 назад стал абонентам рекомендовать изменить маску на /28 .. трудно отследить кто последовал советам, но пользы пока нет.. или из-за того что в разных сегментах? на каком оборудовании можно запретить "несвои" ип адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pchol Опубликовано 3 октября, 2009 · Жалоба на каком оборудовании можно запретить "несвои" ип адреса? acl ? или вы имеете ввиду выдачу адресов левыми dhcp ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...