[pchol]

День добрый. Есть несколько вопросов о том как лучше организовать сеть.

Досталась сеть примерно на 400 точек подключения, дома совершенно разные. от 2х этажек с 2мя абонентами до нормальных 9 этажек.

Топология "практически звезда", на конце каждого луча увы встречаются сосиски по 2-3 свитча (оптический линк между домами + медики).

Загвоздка в том что практичски вся сеть на "полууправляемом" обррудовании (rrcp-свитчи). На данный момент всё даже в одном broadcast домене.

Задача всё это модернизировать и наращивать абонетскую базу не сталкиваясь с проблемами безопасности абонетов и влиянием абонентов друг на друга.

Лично я предпологаю следующую схему:

vlan на дом, на доме на свитче port-isolation, каждому пользователю PPPoE.

Из плюсов, более проста в администрировании в сранении vlan на пользователя, тунель не зависит от сетевых настроек клиента.

Возникает первый вопрос, на сетевом интерфейсе терминатора pppoe вешать все vlan'ы (предпологается писюк с BSD) ?

Далее вопрос с локальными ресурсами.

Как их сделать при учёте использования PPPoE? Загонять её так же в тонель помоему не вариант ибо будет велика нагрузка на терминатор PPPoE.

Делать роутинг на уровне агрегации, на каждый vlan свою подсеть ? Как с этим будет работать PPPoE не будет ли проблем (поидее не должно быть ведь у нас терминатор уже болтается во всех vlan'ах)?

Никакого triple-play'а не планируется, только качественный инет, и в дальнейшем может быть аренда каналов для организаций, но это в будущем.

На агрегации стоят procurve 3550yl-48g, предпологаю заменить на cisco 6500 sup32. Толпу медиков менять пока не планирую. Нагрузка на портах с каждого лучика не больше 20-30 мбит.

Подскажите пожалуйста, что совсем не стоит делать, что лучше исправить, и что добавить.

Изменено 30 сентября, 2009 пользователем pchol

[pchol]

По форуму говорят что проблемы относительные будут с масштабированием такой сети с pppoe. Из вариантов авторизации "управляемых пользователем" остаётся только ppptp. С ним исчезает проблема с локалкой. Всё становится более логично.

Может кто нибудь всё таки укажет на недостатки и проблемы этой схемы ?

[terrible]

Ну VLAN на дом - однозначно, желательно конечно VLAN-per-user, но на это потом можно будет перейти.

по поводу PPPoE или PPTP - дело вкуса

если хотите локалку без большой нагрузки на PPPoE сервер - поднимайте между вланами L3 роутинг

 

в случае PPPoE все вланы надо будет полюбому загонять на писюк

 

изоляция портов - хотите делайте, хотите нет, но ACL на клиентских портах должен быть в любом случае

 

по поводу масштабирования - не вижу проблемы, никакой, его даже проще масштабировать, нежели PPTP: будет умирать PPPoE сервер - установите второй, на него пачку вланов перекинете

Изменено 30 сентября, 2009 пользователем terrible

[pchol]

но ACL на клиентских портах должен быть в любом случае

И что на клиентском порту резать ?

в случае PPPoE все вланы надо будет полюбому загонять на писюк

Не очень улыбает ситуация с 500 вланами на pc.

по поводу масштабирования - не вижу проблемы

Проблема как раз таки с роутингом, каждый раз таскать вланы до pc.

его даже проще масштабировать, нежели PPTP: будет умирать PPPoE сервер - установите второй

Интересный аргумент, а что с ppptp так не сделать ? )

[jab]

C PPTP чуть сложнее, придется делать балансировку на два сервера ( типа dns round-robin ), и больше серверов понадобится, так как PPTP больше проца жрет.

[Alexandr Ovcharenko]

Чем вешать в каждый влан по рррое, ИМХО проще поставить 1-2 рртр-наса. Тогда и локальные ресурсы можно будет отдать клиенту статическим роутингом помимо тунеля.

[jab]

Чем вешать в каждый влан по рррое, ИМХО проще поставить 1-2 рртр-наса. Тогда и локальные ресурсы можно будет отдать клиенту статическим роутингом помимо тунеля.

Абсолютно без разницы. pppoe спокойно развешивается по vlan'ам, а локальные ресурсы отдаются мимо тунеля по тому же vlan напрямую.

[pchol]

jab:

Обращусь к вам как к человеку опытному, сервер авторизации pppoe на базе freebsd, без проблем будет жить с 500 а может в дальнейшем и большим количеством вланов на интерфейсе ?

 

PPPTP привлекательнее тем что теоретически проблем с ним меньше во время настройки. Но больше проблем с конечной клиентской точкой, имею ввиду что должен быть обязательно в рабочем состоянии транспорт ip и получен адрес, плюс у некоторых роутеров иногда возникают проблемы с шифрованием.

Да, ещё бы хотел уточнить что авторизация по pppoe / ppptp будет использоваться только примерно для 40% пользователей (помегабайтники).

 

[jab]

jab:

Обращусь к вам как к человеку опытному, сервер авторизации pppoe на базе freebsd, без проблем будет жить с 500 а может в дальнейшем и большим количеством вланов на интерфейсе ?

От прокладки зависит. Но вообще - не жирно ли сразу по vlan'у на каждую двухэтажку ? Я бы все-таки отталкивался от количества потенциальных юзеров ( квартир ). Подсеть на дом - это обязательно,

а vlan'ы можно и потом поразвесить.

 

Вы кстати не описали, для чего вообще вам там vlan'ы.

 

PPPTP привлекательнее тем что теоретически проблем с ним меньше во время настройки. Но больше проблем с конечной клиентской точкой, имею ввиду что должен быть обязательно в рабочем состоянии транспорт ip и получен адрес, плюс у некоторых роутеров иногда возникают проблемы с шифрованием.

Да, ещё бы хотел уточнить что авторизация по pppoe / ppptp будет использоваться только примерно для 40% пользователей (помегабайтники).

А остальные куда ?

[pchol]

А у остальных прямой доступ без дополнительной авторизации.

На порту привязка port-security, адреса разадавать через dhcp, а на агрегации arp-protect + dhcp-snooping.

[jab]

Что-то у Вас каша какая-то получается. Если есть возможность прибить IP-Port, то на кой всё остальное ?

[pchol]

Если есть возможность прибить IP-Port

порт-секурити предполагается использовать лишь для мониторинга смены мак адресов.

С протектом и снупингом как то протупил. Ведь получается что каждый пользователь дабы увидеть "соседа" должен дойти до агрегации.

Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д.

При этом не хочется сразу делать vlan per user потом что немного сложновато с точки зрения контроля. А нужно в кратчайшие сроки получить более менее контролируемую сеть, и довольно просто администрируемую.

 

[jab]

 

Ну будет сосед вместо dhcp ставить pppoe на том же adsl роутере...

[terrible]

но ACL на клиентских портах должен быть в любом случае

И что на клиентском порту резать ?

ну вот это например:

Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д.

[vIv]

в случае PPPoE все вланы надо будет полюбому загонять на писюк

Не очень улыбает ситуация с 500 вланами на pc.

Где вы нашли писюк с 270-ю мегабайтами ОЗУ??? И как вы ЭТО смогли туды набить? Какие модули памяти у вас?

 

А серьёзно если, то ОЗУ в писюках имеют такие скорости доступа, причём с произвольной адресацией, что количество виланов вас ну вот совершенно не должно волновать! ;-)

 

[pchol]

Ну можно в вланах их довести до агрегации и там всё сделать а на свитчиках на достуе сэкономить, уже же вроде сказали это.

 

А серьёзно если, то ОЗУ в писюках имеют такие скорости доступа, причём с произвольной адресацией, что количество виланов вас ну вот совершенно не должно волновать! ;-)

Спасибо, просто никогда не вещал столько вланов на интерфейс...

Изменено 30 сентября, 2009 пользователем pchol

[Alexandr Ovcharenko]

Всё это задумывается для того чтобы снизить "влияние пользователей друг на друга", избавится от случаев из разряда - сосед использует адсл роутер в качестве свитча а весь дом получает адреса от его дхцп, вирусные арп штормы и т д.

Ну можно в вланах их довести до агрегации и там всё сделать а на свитчиках на достуе сэкономить, уже же вроде сказали это.

Какая разница - в какой точке сосед "увидел" соседа? Зарежете им Л2, они начнут ставить pptp-серверы или другие тунельные заморочки и раздавать халяву через вашу сеть уже на Л3. Эти проблемы надо решать не резалками, а тарифной политикой. А резать "вирусные арп штормы и т д." можно и на свичах доступа, они ведь у вас все равно уже есть.

[pchol]

Какая разница - в какой точке сосед "увидел" соседа?

Разница в том какое оборудование ставить на доступ для тех или иных целей.

А резать "вирусные арп штормы и т д." можно и на свичах доступа, они ведь у вас все равно уже есть.

А зачем зачём всё это если со схемой влан на пользователя, или в предложенном мной варианте, пользователь будет сидеть в одиночестве со своим штормом и своим dhcp флудящим никому не будет мешать, и для этого нам не нужно покупать L2 свитчей с acl и много чем ещё, на каждый дом.

[Alexandr Ovcharenko]

Я чего-то не догоняю...

Сначала вы говорите, что уже есть готовая сеть на 400 абонов. Потом начинаете перебирать варианты планирования сети с нуля.

У вас же УЖЕ есть железо на доступе/агрегации/ядре, наверняка и биллинг есть действующий с конкретной схемой ААА. Вы готовы все это сменить на корню?

Потом. Сеть на 400 абонов. Это сколько домов? 10-100, не больше? Вы по деньгам прикиньте что для такого количества домов дешевле - сменить свичи доступа, или установить супер-ядро для vlan-per-user.

Или цена вопроса вам совсем не интересна?

Изменено 1 октября, 2009 пользователем Alexandr Ovcharenko

[jab]

 

Сначала вы говорите, что уже есть готовая сеть на 400 абонов.

Читать научитесь сначала, у него 400 домов.

 

[pchol]

Точек подключения 400, а не абонентов, имелось ввиду домов. Оборудование как я написал уже полнейшее УГ в виде rrcp-свитчей, и с агрегацией в виде нескольких l3 свитчей, НО все пользователи в одном бродкаст домене.... перечитайте мои первые посты и попытайтесь понять что сеть в текущем её виде неуправляемая практически.

[kf72]

jab написал "Подсеть на дом - это обязательно, а vlan'ы можно и потом поразвесить."

если правильно понял на дом можно хх.хх.дом.юзер / 24 ??? и решит много проблем?

(от ппое вернулись к статической раздаче адресов. не потянула cisco28xx 600 абонентов .)

 

 

[pchol]

Я бы не стал раздавать на дома сразу /24, заморочился бы и раздавал хотя бы по /26.

Хотя конечно всё зависит от плотности подключений в доме у вас.

[kf72]

недели 2 назад стал абонентам рекомендовать изменить маску на /28 .. трудно отследить кто последовал советам, но пользы пока нет.. или из-за того что в разных сегментах? на каком оборудовании можно запретить "несвои" ип адреса?

[pchol]

на каком оборудовании можно запретить "несвои" ип адреса?

acl ? или вы имеете ввиду выдачу адресов левыми dhcp ?