kapa Опубликовано 13 мая, 2010 · Жалоба Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга. хотите довести до истерики службу ТП? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 13 мая, 2010 · Жалоба Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.хотите довести до истерики службу ТП? варианты другие имеются для ipoe чтоб секурно и не крали друг у друга ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 13 мая, 2010 · Жалоба варианты другие имеются для ipoe чтоб секурно и не крали друг у друга ? прибейте IP к порту Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 мая, 2010 · Жалоба >варианты другие имеются для ipoe чтоб секурно и не крали друг у друга ? Этот тоже не секурен, а уж если порты не изолированы на коммутаторе доступа, то украсть мак соседа вообще просто. Я так понимаю, о мыльницах разговориваем? Секурно для немыльниц уже писали как делать vlan per user+ip unnumbered Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 13 мая, 2010 (изменено) · Жалоба >варианты другие имеются для ipoe чтоб секурно и не крали друг у друга ? Этот тоже не секурен, а уж если порты не изолированы на коммутаторе доступа, то украсть мак соседа вообще просто. Я так понимаю, о мыльницах разговориваем? Секурно для немыльниц уже писали как делать vlan per user+ip unnumbered не обязательно влан на дом + запретить на доме бегать между портами (то есть чтобы только клиент в аплинк - между клиентами - нельзя) + можна в придачу DHCP snooping какойто - но ещё лучше прибить мак на порт куда включен клаент влан на пользователя - много вланов получается - тут же начинает q-in-q или что то в том же роде - например vpls - оборудование сразу в цене получается не слабо Изменено 13 мая, 2010 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 13 мая, 2010 · Жалоба но ещё лучше прибить мак на порт куда включен клаентвообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры.... ...влан на пользователя - много вланов получается - тут же начинает q-in-q или что то в том же роде - например vpls - оборудование сразу в цене получается не слабо можно не тащить их все в ядро Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 14 мая, 2010 · Жалоба но ещё лучше прибить мак на порт куда включен клаентвообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры.... ...влан на пользователя - много вланов получается - тут же начинает q-in-q или что то в том же роде - например vpls - оборудование сразу в цене получается не слабо можно не тащить их все в ядро 1 конечно есть - в каждом плюсе можна найти минус - то есть чем больше контроля тем меньше свободы - это вроде и коню ясно2 да можна не тащить - можна делать узлы и тд - но хрень редьки не слаще - вылетит в копейку тоже неслабую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 14 мая, 2010 · Жалоба Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.можна сказать без этого никак!А при чем тут /30? В ISG человек получает внутренние айпи, на которые уже при потребности пробрасываются внешние (stateless NAT). Не забываем также, что у ISG существует понятие сессии (как у PPTP/PPPoE, да-да). Так что проблема перерасхода внешних адресов тоже фактически отпадает.ISG это классно, сессии тоже классно всё классно а вот НАТ - это как по мне через зад! Это не раздача реальников а это проход серого под одним и тем же белым - то есть снат ! А если извне надо присоединится ? будете днат делать один в один? И это вы называете раздачей белых адресов ?ну у нас значит разное представление о раздачи белых адресов! А вот совсем нет, если stateless.конечно нет - погреть воздух процесором - это прикольно вместо того чтобы вообще без ната делать! Google 'Full cone NAT'. Google 'Stateless NAT'. Читать до просветления. Думать. Хотите дальше на VPN-ы дрочить? Что лучше - использовать туннели для раздачи реальников (читай: проблемы с маршрутизацией у клиентов, обрывы, overhead за счет использования двойной инкапсуляции PPTP/PPPoE/L2TP + PPP) или же тупо на тазике менять местами адреса? Или же давать реальные сразу по DHCP и потом думать, а как бы выбить у RIPE ещё пачку адресов? Вперед! А я как-то обойдусь. Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.хотите довести до истерики службу ТП? Не больше, чем с PPTP. но ещё лучше прибить мак на порт куда включен клаентвообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры.... Вот пусть купит себе один раз роутер и привяжет его MAC. Либо даже MAC Clone сделает - почти все роутеры умеют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 мая, 2010 (изменено) · Жалоба >Или же давать реальные сразу по DHCP и потом думать, а как бы выбить у RIPE ещё пачку адресов? Тупо давать реальники по dhcp эта по сути та же сессия, т.е. есть время аренды, есть dhcp-клиент, который должен периодически подтверждать то, что он живой, а с другой стороны помечаться что ip всё ещё занят. Т.е. с точки зрения сессий и обрывов разницы никакой, нет только лишней инкапсуляции. Или вы имеете ввиду dhcp с неограниченым временем аренды(почти статичная выдача ip по mac-адресам/опции 82/номеру влану)? Изменено 14 мая, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 14 мая, 2010 · Жалоба >Или же давать реальные сразу по DHCP и потом думать, а как бы выбить у RIPE ещё пачку адресов? Тупо давать реальники по dhcp эта по сути та же сессия, т.е. есть время аренды, есть dhcp-клиент, который должен периодически подтверждать то, что он живой, а с другой стороны помечаться что ip всё ещё занят. Т.е. с точки зрения сессий и обрывов разницы никакой, нет только лишней инкапсуляции. Рассматривал этот вариант.Во-первых, на каждый VLAN (а кого ещё и VLAN на дом) надо давать пул адресов. Вот тут-то и загвоздка: если дать пул слишком большой, то получается перерасход. Слишком маленький - недостача. Во-вторых, это ж каждый абонент, который комп включил музыку послушать или фильм посмотреть, будет кушать внешний IP. Постоянно. Тогда как в ISG - только когда действительно пользуется. Для эксперимента поднял у себя в офисе. 4 компа + 1 телефон по Wi-Fi. При нормальном режиме работы онлайн был 2-3, тогда как в Вашем случае был бы 5. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 14 мая, 2010 · Жалоба но ещё лучше прибить мак на порт куда включен клаентвообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры.... Вот пусть купит себе один раз роутер и привяжет его MAC. Либо даже MAC Clone сделает - почти все роутеры умеют. или пусть уйдёт к конкуренту, где всё само работает и не навязывает абоненту ничего с его точки зрения лишнего Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.хотите довести до истерики службу ТП? Не больше, чем с PPTP. а я где-то предлагал pptp? или Вы оправдываете один дерьмовый вариант тем, что существуют другие не менее дерьмовые? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 14 мая, 2010 · Жалоба А при чем тут /30? В ISG человек получает внутренние айпи, на которые уже при потребности пробрасываются внешние (stateless NAT). Не забываем также, что у ISG существует понятие сессии (как у PPTP/PPPoE, да-да). Так что проблема перерасхода внешних адресов тоже фактически отпадает.ISG это классно, сессии тоже классно всё классно а вот НАТ - это как по мне через зад! Это не раздача реальников а это проход серого под одним и тем же белым - то есть снат ! А если извне надо присоединится ? будете днат делать один в один? И это вы называете раздачей белых адресов ?ну у нас значит разное представление о раздачи белых адресов! Давайте-ка начнем копать к сути.Что есть NAT? Network Address Translation. И между дрочим, NAT совсем не обязательно использовать как SNAT/DNAT. И совсем не обязательно даже conntrack таблицы держать. Рассмотрим на примере: есть клиент 10.10.10.10 (К), есть скажем внешний сервер 8.8.8.8 (Al Hail Google!) (С) и есть бордер с внутренним адресом 10.10.10.1/24 и внешним 1.2.3.4 (Б). (К) ломится к (С), используя шлюз (Б). Тут начинается самое интересное. (Б) тупо меняет адрес всех пакетов на, скажем, 1.2.3.5 (согласно таблице сессий). В обратных пакетах - меняет наоборот. Всё просто, как два пальца об асфальт. Никаких conntrack, никаких извращений, никакой нагрузки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 мая, 2010 · Жалоба Кто-нибудь может поделиться статистикой {количество серых адресов, выданных по dhcp онлайн; количество pppoe/pptp-cессий онлайн} в час пик? (чтобы понять насколько плохо сразу давать реальник, как только включается компьютер) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 14 мая, 2010 · Жалоба но ещё лучше прибить мак на порт куда включен клаентвообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры.... Вот пусть купит себе один раз роутер и привяжет его MAC. Либо даже MAC Clone сделает - почти все роутеры умеют. или пусть уйдёт к конкуренту, где всё само работает и не навязывает абоненту ничего с его точки зрения лишнего Вы в это верите? :) Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.хотите довести до истерики службу ТП? Не больше, чем с PPTP. а я где-то предлагал pptp? или Вы оправдываете один дерьмовый вариант тем, что существуют другие не менее дерьмовые? А Вы можете предложить что-то лучше? ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 14 мая, 2010 · Жалоба Или же давать реальные сразу по DHCP и потом думать, а как бы выбить у RIPE ещё пачку адресов? Вперед! А я как-то обойдусь.а в чём проболема ? по моему для того они там и сидят! и мало того скажу что если номально аргументируете то маловероятно что откажут. а тут ещё уже в6 работать начинает вовсю - инересно тоже будут натить ? ;) сами нат придумаете ?не ну если кому нравится - то это дело персональное нравится натить то вперёд и с песней Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 14 мая, 2010 · Жалоба Вы в это верите? :)я это даже наблюдал на своей шкуре, когда попробовал в одном из районов прибить маки к порту.там кроме нас ещё 5 провайдеров работало. слава богу вовремя одумался Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.хотите довести до истерики службу ТП? Не больше, чем с PPTP. а я где-то предлагал pptp? или Вы оправдываете один дерьмовый вариант тем, что существуют другие не менее дерьмовые? А Вы можете предложить что-то лучше? ;) я даже предлагал выше.да и кроме меня тут предлагали варианты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 14 мая, 2010 · Жалоба Кто-нибудь может поделиться статистикой {количество серых адресов, выданных по dhcp онлайн; количество pppoe/pptp-cессий онлайн} в час пик? (чтобы понять насколько плохо сразу давать реальник, как только включается компьютер) Вот сейчас, скажем. Таблица MAC-ов со свитча - 394 штуки рабочих MAC-а (по локалке, видимо, гоняют). PPTP-сессий онлайн - 277. Из этих 277 можно ещё пачку исключить (PPTP запущен, но не используется, простаивающие SOHO-роутеры, поддерживающие сессию и тд). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 14 мая, 2010 (изменено) · Жалоба Всё просто, как два пальца об асфальт. Никаких conntrack, никаких извращений, никакой нагрузки.вообще никакой.... вы я вижу реально верите в то что при смене адреса нагрузки нету ....вы ошибаетесь но это не важно важно то что оно уродливо. Изменено 14 мая, 2010 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 мая, 2010 · Жалоба Кто-нибудь может поделиться статистикой {количество серых адресов, выданных по dhcp онлайн; количество pppoe/pptp-cессий онлайн} в час пик? (чтобы понять насколько плохо сразу давать реальник, как только включается компьютер)Вот сейчас, скажем. Таблица MAC-ов со свитча - 394 штуки рабочих MAC-а (по локалке, видимо, гоняют). PPTP-сессий онлайн - 277. Из этих 277 можно ещё пачку исключить (PPTP запущен, но не используется, простаивающие SOHO-роутеры, поддерживающие сессию и тд). Спасибо, хотелось бы конечно бо`льшую выборку и в час пик, но и то хорошо. Итого, надо примерно на 40% больше ip адресов, если всем давать реальники по dhcp с маленьким временем аренды. У небольших сетей(<2000 абонентов), думаю, есть возможность получить +40% ip-адресов от того, что есть. SOHO-роутеры исключить нельзя, т.к. во-первых их надо как-то вычислить, но это полбеды. Вычислил, прибил сессию, что дальше? Пришёл абонент домой, включил компьютер, интернет не работает, на*** нужен такой интернет спрашивается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 14 мая, 2010 (изменено) · Жалоба Всё просто, как два пальца об асфальт. Никаких conntrack, никаких извращений, никакой нагрузки.вообще никакой.... вы я вижу реально верите в то что при смене адреса нагрузки нету ....вы ошибаетесь но это не важно Я прекрасно понимаю, какую нагрузку несет NAT. Именно поэтому у меня сейчас его нет.Однако, хочу ещё раз обратить Ваше внимание, что обусловлена нагрузка в основном в необходимости помнить все соединения, т.е. знать, кому и как отдавать пакеты. Поэтому - ещё раз Google на фразы Stateless NAT & Full cone NAT. Именно в этом и фокус. Кто-нибудь может поделиться статистикой {количество серых адресов, выданных по dhcp онлайн; количество pppoe/pptp-cессий онлайн} в час пик? (чтобы понять насколько плохо сразу давать реальник, как только включается компьютер)Вот сейчас, скажем. Таблица MAC-ов со свитча - 394 штуки рабочих MAC-а (по локалке, видимо, гоняют). PPTP-сессий онлайн - 277. Из этих 277 можно ещё пачку исключить (PPTP запущен, но не используется, простаивающие SOHO-роутеры, поддерживающие сессию и тд). Спасибо, хотелось бы конечно бо`льшую выборку и в час пик, но и то хорошо. Итого, надо примерно на 40% больше ip адресов, если всем давать реальники по dhcp с маленьким временем аренды. У небольших сетей(<2000 абонентов), думаю, есть возможность получить +40% ip-адресов от того, что есть. SOHO-роутеры исключить нельзя, т.к. во-первых их надо как-то вычислить, но это полбеды. Вычислил, прибил сессию, что дальше? Пришёл абонент домой, включил компьютер, интернет не работает, на*** нужен такой интернет спрашивается? А зачем обрубать? ISG поднимает сессию с первым пролетевшим пакетом и вырубает по таймауту. Хомячок ушел на работу, сессия отвалилась через пару минут. Пришел, полез в Интернеты, - сессия поднялась. Изменено 14 мая, 2010 пользователем Abram Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 мая, 2010 · Жалоба А зачем обрубать? ISG поднимает сессию с первым пролетевшим пакетом и вырубает по таймауту. Хомячок ушел на работу, сессия отвалилась через пару минут. Пришел, полез в Интернеты, - сессия поднялась. Честно говоря не конца понятна реализация этого механизма. Можно ссылку, где про это написано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 14 мая, 2010 (изменено) · Жалоба А зачем обрубать? ISG поднимает сессию с первым пролетевшим пакетом и вырубает по таймауту. Хомячок ушел на работу, сессия отвалилась через пару минут. Пришел, полез в Интернеты, - сессия поднялась. Честно говоря не конца понятна реализация этого механизма. Можно ссылку, где про это написано? это цисковский прикол! очень неплохая штука! читать можна тутhttp://docstore.mik.ua/univercd/cc/td/doc/...b28/isg_lib.htm http://www.cisco.com/en/US/docs/ios/soluti...ios/dep_ge.html http://www.cisco.com/en/US/docs/ios/soluti...os/ge_rls4.html примеры http://ciscovod.blogspot.com/2009/03/cisco...dhcp-opt82.html http://wiki.sirmax.noname.com.ua/index.php/ISG http://wiki.sirmax.noname.com.ua/index.php/CoA есть порт на линукс http://forum.nag.ru/forum/index.php?showto...3156&st=100 Изменено 14 мая, 2010 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 19 мая, 2010 · Жалоба Кстати, тут в последнем ядре линукса (2.6.34) заявлена реализация фичи типа ip unnumbered, забыл какое RFC. Т.е. по вилану на абона + proxy-arp = по однойму ойпи на абона, а не по /30. Так вот, может быть кто-то уже тему раскрыл ? :-). Как там что делать чтобы такие интерфейсы создавать ? Нагуглить пока ничего не могу, да и ядра такого пока нет. Хотелось бы узнать сперва всё в теории. Если у кого есть опыт или ссылки на документацию, поделитесь ? Так же в этой связи интересует, какой оверхед дают виланы в линуксе ? Т.е. скажем, какая разница будет между: два интерфейса внешний и внутренний и несколько десятков полисеров(фильтров) или htb классов на каждом интерфейсе (для каждого абонента) или на каждого абонента по вилану и полисеры (или фильтры с классами) для каждого абона на внешнем интерфейсе и на интерфейсе абона. Большая ли разница в производительномти будет ? Трафик же в основном к абоненту идёт - фильтры, полисеры, классы в сторону абонента дают загрузку ЦПУ в основном (не на внешнем интерфейсе, который в обеих схемах вегда один). А то может и нет смысла в этой ip unnumbered в линуске ... Т.е. с двумя интерейсами число фильтров играет роль. Хешировать получается далеко не всегда. В схеме ip unnumbered трафик к абоненту роутится и попадает в фильтр, т.е. нет перебора правил фильтра, но есть куча виланов. Что выгоднее ? Так же хотелось бы услышать мнения/теории/результаты если у кого они есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex_001 Опубликовано 19 мая, 2010 · Жалоба Кстати, тут в последнем ядре линукса (2.6.34) заявлена реализация фичи типа ip unnumbered, забыл какое RFC. Т.е. по вилану на абона + proxy-arp = по однойму ойпи на абона, а не по /30. Так вот, может быть кто-то уже тему раскрыл ? :-)........... Это вроде и раньше можно было сделать через vlans+bridge. Тоесть эксперементировать можно хоть сейчас , вот только рулить доступ на PC - тяжеловато... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 19 мая, 2010 · Жалоба >Это вроде и раньше можно было сделать через vlans+bridge. Можно поподробнее? Предлагается делать bridge между каждой парой сабинтерфейсов или все в одну кучу? Под bridge понимается обеспечение связности на L2? Ещё предлагается делать проверка source ip через iptables? До каждого абонента добавлять маршрут /32? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...