[vadimus]

Если делать с NetUp'ом, то удобнее всего использовать PPPoE авторизацию, как концентратор можно использовать 7301, как бордер 7206-G2 (подтверждаю слова Konstantin Klimchev), на 1500-2000 человек эту связку можно с успехом заменить одним (практический опыт) но мощным PC. На агрегацию DGS-3100-24TG (в таком случае с одной стороны можно втыкать SFP, а со стороны коммутаторов доступа конвертер, притом 3100-24TG поддерживает и 100 мбитные и гигабитные SFP), на доступ если сразу по хорошему 3526 (он НЕ поддерживает 100 мбитные SFP) или 3200-28, если подешевле, можно обойтись коммутаторами с port-based vlan (это к вопросу про доступ на мыльницах - все нормально в таком варианте будет работать! разве что про iptv можно забыть с таким доступом). По поводу коммутатора ядра также полностью поддерживаю Konstantin Klimchev.

Изменено 30 декабря, 2009 пользователем vadimus

[kf72]

... на 1500-2000 человек эту связку можно с успехом заменить одним (практический опыт) но мощным PC.

и пустить через него ВСЮ локалку ? Вывезет ли?

и еще замечание.. если вы выдали пользователю настройки для пппое - ничто не мешает ему прописать себе (и соседу) любой адрес. при неуправляемом доступе ничто сеть не защитит.

в моем мухосранске толще 30 мбит внешнего канала нет. и я его весь выбрал.

Изменено 31 декабря, 2009 пользователем kf72

[jab]

Если делать с NetUp'ом, то удобнее всего использовать PPPoE авторизацию, как концентратор можно использовать 7301, как бордер 7206-G2 (подтверждаю слова Konstantin Klimchev),

И сколько гигабит Вы на таком говне отроутите ?

[darkagent]

И сколько гигабит Вы на таком говне отроутите ?

гигабит? оу.. мечты мечты..

если только без ната, и все ограничения скорости возложить на промежуточные железки (на коммутаторы например). и то сомневаюсь что 7301 пропустит гигабит. сильно сомневаюсь. не видел я на ней таких цифр.

Не верю! как говорил Станиславский.

 

это решение вполне справедливо при расчете на 250-350мбит/с в пике. для большего уже стоит задуматься о железках по приличней.

 

Изменено 1 января, 2010 пользователем darkagent

[BudushiyISP]

что-то мне кажется, что хотелки вы не по адресу.... Вам с этим к интегратору....

ЗЫ. не обижайтесь, но то что вы хотите стоит денег...

интеграторы типа инопланетяне чтоли с тайными познаниями..??? во всех доках про vlan написано как разделить сеть чтобы комп А видел Б а С видел Д и подсети не пересекались, а мне нужно чтоб А Б С Д не видели друг друга но видели сервер (подсеть) S... был бы один сервер - поднял бы на нем виртуальные влан и обошелся L2. НО есть сеть магазинов и их надо объединить - т.е. разрешить некоторым членам РАЗНЫХ сегментов обмен.

По оборудованию... несколько раз встречал, что заявленные производителем цифры не соответствуют.. основная нагрузка - локальный межабонентский трафик и многие опытным (или математическим) путем получили цифры сколько абонентов можно повесить на узел с длинк 3526(например), при каком кол-ве пора магистраль делать гигабитной, и чего при этом надо в ядро.

пппое - красиво.. пробовали но потеряли 200 абонентов.

Давайте так, первое и простое решение, то что Вам обозначили уже выше это разделение пользователей по своим бродкастовым доменам, т.е. это выделение фактически влан на пользователя. Каждый отдельный влан - это своя подсеть. Благодаря ACL Вы можете настроить правила обмена между вланами, подсетями. Если у Вас есть сервер за вланом D, Что опять же просто решается правилами взаимодействия - т.е. ACL.

Есть другое решение. Китайские, да и не только производители предлагают решение под названием Supervlan. о Supervlan смотрите вложенный файл

Что же это такое ? создается некий Supervlan, на котором в качестве шлюза прописывается ваш сервер, который все будут видеть. Сами же пользователи разбиваются по субвланам, включается arp-proxy, они могут обмениваться, но будут видеть друг друга, а только общий шлюз. На циске данный функционал реализуется с помощью IP-unnumbered. http://www.opennet.ru/base/cisco/catalyst_...number.txt.html

 

 

 

08_VLAN_Configuration.pdf

[kf72]

Давайте так, первое и простое решение, то что Вам обозначили уже выше это разделение пользователей по своим бродкастовым доменам,

самое простое раздать /32.. но это никак не проконтролировать. ИМХО перенастроить 700 абонентов - половину потерять.

 

 

[BudushiyISP]

Давайте так, первое и простое решение, то что Вам обозначили уже выше это разделение пользователей по своим бродкастовым доменам,

самое простое раздать /32.. но это никак не проконтролировать. ИМХО перенастроить 700 абонентов - половину потерять.

32 это не совсем думаю верное решение, абоненты не будут изолированы фактически. И наверно более ли менее умные, пользователи спокойно смогут увидеть друг друга при прописании нужных айпи. Задача ведь действительно изолировать, а не оставить лазейки...Я не гуру, может я не совсем прав?

 

Изменено 2 января, 2010 пользователем BudushiyISP

[SmokerMan]

Вы можете выдавать что хотите, но если абоненты на L2 будут видеть друг-друга, то ничто им не помешает связаться напрямую :-)

[BudushiyISP]

Вы можете выдавать что хотите, но если абоненты на L2 будут видеть друг-друга, то ничто им не помешает связаться напрямую :-)

Я это и имею ввиду, тогда только супервлан или айпианнумберед.

[darkagent]

Вы можете выдавать что хотите, но если абоненты на L2 будут видеть друг-друга, то ничто им не помешает связаться напрямую :-)

Я это и имею ввиду, тогда только супервлан или айпианнумберед.

IPoE/vlan-per-user, или PPPoE/vlan-per-user - и тогда ни супервланов, ни ip unnumbered не потребуется.

можно сразу смотреть в будущее и проектировать сеть на ipv6. но тогда подход к проектированию сети полностью меняется.

[BudushiyISP]

Вы можете выдавать что хотите, но если абоненты на L2 будут видеть друг-друга, то ничто им не помешает связаться напрямую :-)

Я это и имею ввиду, тогда только супервлан или айпианнумберед.

IPoE/vlan-per-user, или PPPoE/vlan-per-user - и тогда ни супервланов, ни ip unnumbered не потребуется.

можно сразу смотреть в будущее и проектировать сеть на ipv6. но тогда подход к проектированию сети полностью меняется.

PPPoE/vlan - per -user - мне кажется высшей формой извращения..

[darkagent]

зато IP будет нужен только при подключении по pppoe, без всяких "локальный IP".

[Nafanya]

зато IP будет нужен только при подключении по pppoe, без всяких "локальный IP".

подключение типа pppoe не нужно будет вообще, и о "локальный IP" тоже можно не беспокоиться, переложив эту функцию на dhcp.

И настанет для домохозяек счастье...

Изменено 3 января, 2010 пользователем Nafanya

[BudushiyISP]

зато IP будет нужен только при подключении по pppoe, без всяких "локальный IP".

подключение типа pppoe не нужно будет вообще, и о "локальный IP" тоже можно не беспокоиться, переложив эту функцию на dhcp.

И настанет для домохозяек счастье...

Давайте лучше человеку предложил актуальное по деньгам, и смотрящее в будущее.

 

Товарищь строитель обозначьте нам бюджет.

[nic_stav]

IPoE/vlan-per-user, или PPPoE/vlan-per-user - и тогда ни супервланов, ни ip unnumbered не потребуется.

А как белые ip всем раздать?

[nic_stav]

пппое - красиво.. пробовали но потеряли 200 абонентов.

Почему потеряли, если не секрет?

[kf72]

пппое - красиво.. пробовали но потеряли 200 абонентов.

Почему потеряли, если не секрет?

домохозяйки не осиливали настройки, а потом железо (cisco 2821) не вывезло терминировать больше 200 сессий.

сейчас хотим возвращать. но для избранных и терминировать на писюке с фрибсд.

 

тогда это была треть абонентов.

+ меняли биллинг - всех заводили в утм

потом сейчас вернулись на ТИ, адреса статикой, потом локалпроксиарп чтоб поделить на сегменты

Изменено 24 августа, 2010 пользователем kf72

[nic_stav]

домохозяйки не осиливали настройки, а потом железо (cisco 2821) не вывезло терминировать больше 200 сессий.

сейчас хотим возвращать. но для избранных и терминировать на писюке с фрибсд.

Настройки ПППоЕ не осиливали?? А до этого у вас IPoE что ли было? Кстати для вашей сети 200 абонентов это хоть сколько-нибудь значимая часть или не особо? Я имею ввиду в примерных процентах, если не тайна конечно.