flash.one Опубликовано 2 декабря, 2009 (изменено) · Жалоба Исходные данные: Кол-во пользователей - ~4000 в день подключается ~ 10 чел.(Суммарный рост абонентов — это стабильная + 1000 в год) Текущая схема построения сети: - на доступе 60% неуправляемое железо (которое постепенно заменяется на управляемое, а именно Zyxel ES2108G и ES2024A) - агрегация: GS3012F или GS4012F все это сходится в центральный узел в котором стоят Zyxel GS4012F и XGS4728F. Роль маршрутизаторов выполняют linux-сервера включенные в эти zyxel'я, они же выполняют функцию аутентификации пользователей (прявязка ip+mac, крутится arpwatch и блочит в случае чего). Ядром сети можно назвать 3Com5500G-EI. Назвать чисто условно, потому как он настроен как обычный свитч без вланов, но с большой производительностью. В него включены vpn-сервера, proxy-сервер, циска. Циска 7206, являетя граничным устройством Юзерам выдаются серые айпишки из расчета /24 на район(на несколько домов). Юзера у которых тарифы по трафику ходят через squid, дабы в случае чего можно было показать логи(суммарный поток ~30-40 Мбит). Остальные ходят через VPN(pptp)+NAT (пиковый поток ~500-550 Mbit,). Имеется городская сетка которую юзера получают бесплатно. В наличии автономная система из 1024 адресов + около 512 адресов даваемых выщестоящим провайдером. Стоит задача привести все это дело в какой-то порядок. Изучая все что писалось на этом форуме, хотелось бы услышать совета для конкретной ситуации. Как видится это мне: Абонента переводим на DHCP+Option82. Хочу что-бы клиент меньше настраивал, но ещё хотелось бы что-бы он получал динамический ip, а не привязка статика+порт. Задолбалось заморачиваться с выделением подсетей. На свичах доступа абонентов изолируем друг от друга и видят они только аплинк. На уровне агрегации режем весь мусор ACLями. Используем DHCP с трансляцией запросов на RADIUS сервер где и определяем все права пользователя. После перевода абонента на такую схему работы отпадает необходимость в linux-роутерах. Вместо них ставим циски, которые маршрутизируют отделяют локальный трафик от интернет-трафика и...? И тут не могу определится с ядром сети... Какое железо будет оптимальным, какую схему доступа пользователя в интернет выбрать с учетом переходного варианта с pptp+nat, или оставить как есть? да и вообще какие могут быть варианты. С цисками знаком очень поверхностно, поэтому немного тяжело понять, подойдут варианты ip-unnambered или vlan-per-customer или ещё что?. Тяжело понять, если отказаться от vpn-а, то как считать трафик, или если оставить vpn, то при динамически выделяемом юзеру ip, как исключить возможность передачи логинов, паролей и возможности пользоваться не своим тарифом другим юзерам.(В этом случае насколько я понимаю radius должен постоянно обращаться к биллингу и писать ip полученный пользователем) Вопрос получился немного сумбурным, за что заранее извиняюсь. PS: В будущем возможно расширение AS. Изменено 18 декабря, 2009 пользователем flash.one Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiFFolk Опубликовано 2 декабря, 2009 · Жалоба $? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flash.one Опубликовано 2 декабря, 2009 · Жалоба бюджет в рамках разумного. Приблизительно из расчета 6000$ в месяц на модернизацию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voicemaster Опубликовано 2 декабря, 2009 · Жалоба Соотношение локальный трафик / мир можете ~ описать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vadimus Опубликовано 2 декабря, 2009 (изменено) · Жалоба Да ip unnumbered можно реализовать и на linux-роутерах, хотя на Cisco 76хх наверное проще, делить трафик на локальный/мир я думаю там же. А вообще на Zyxel ES2108G и ES2024A есть функция opt. 82 ? Ну и еще нужно конечно 100% управляемого оборудования, и не уверен, что Zyxel лучший выбор. Кроме того, насколько я помню, была проблема с динамической раздачей адресов, хотя если используется связка DHCP+RADIUS, то эта проблема, может, и отпадает. А вообще почитайте еще эту тему, может поможет вам http://forum.nag.ru/forum/index.php?showtopic=45488&st=0 Изменено 2 декабря, 2009 пользователем vadimus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flash.one Опубликовано 4 декабря, 2009 (изменено) · Жалоба Соотношение локальный трафик / мир можете ~ описать ?Локального трафика приблизительно 700 - 800 Mbit. + со 100% вероятностью при дальнейшей модернизации локальный трафик превысит гигабит.На мир в общем - это 500 - 550 Mbit Забыл, ещё сказать что ещё вещаем IPTV 32 канала А вообще на Zyxel ES2108G и ES2024A есть функция opt. 82 Есть Ну и еще нужно конечно 100% управляемого оборудования, и не уверен, что Zyxel лучший выборВот и как раз вопрос стоит с переходным вариантом как это все дело можно реализовать... Изменено 4 декабря, 2009 пользователем flash.one Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
