[kapa]

Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.

хотите довести до истерики службу ТП?

[Lynx10]

Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.

хотите довести до истерики службу ТП?

варианты другие имеются для ipoe чтоб секурно и не крали друг у друга ?

[kapa]

варианты другие имеются для ipoe чтоб секурно и не крали друг у друга ?

прибейте IP к порту

[s.lobanov]

>варианты другие имеются для ipoe чтоб секурно и не крали друг у друга ?

 

Этот тоже не секурен, а уж если порты не изолированы на коммутаторе доступа, то украсть мак соседа вообще просто. Я так понимаю, о мыльницах разговориваем?

Секурно для немыльниц уже писали как делать vlan per user+ip unnumbered

[Lynx10]

>варианты другие имеются для ipoe чтоб секурно и не крали друг у друга ?

 

Этот тоже не секурен, а уж если порты не изолированы на коммутаторе доступа, то украсть мак соседа вообще просто. Я так понимаю, о мыльницах разговориваем?

Секурно для немыльниц уже писали как делать vlan per user+ip unnumbered

не обязательно

влан на дом + запретить на доме бегать между портами (то есть чтобы только клиент в аплинк - между клиентами - нельзя) + можна в придачу DHCP snooping какойто - но ещё лучше прибить мак на порт куда включен клаент

 

влан на пользователя - много вланов получается - тут же начинает q-in-q или что то в том же роде - например vpls - оборудование сразу в цене получается не слабо

Изменено 13 мая, 2010 пользователем Lynx10

[kapa]

но ещё лучше прибить мак на порт куда включен клаент

вообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры....

 

 

 

...

влан на пользователя - много вланов получается - тут же начинает q-in-q или что то в том же роде - например vpls - оборудование сразу в цене получается не слабо

можно не тащить их все в ядро

[Lynx10]

но ещё лучше прибить мак на порт куда включен клаент

вообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры....

 

 

 

...

влан на пользователя - много вланов получается - тут же начинает q-in-q или что то в том же роде - например vpls - оборудование сразу в цене получается не слабо

можно не тащить их все в ядро

1 конечно есть - в каждом плюсе можна найти минус - то есть чем больше контроля тем меньше свободы - это вроде и коню ясно

2 да можна не тащить - можна делать узлы и тд - но хрень редьки не слаще - вылетит в копейку тоже неслабую

[Abram]

Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.

можна сказать без этого никак!

А при чем тут /30? В ISG человек получает внутренние айпи, на которые уже при потребности пробрасываются внешние (stateless NAT). Не забываем также, что у ISG существует понятие сессии (как у PPTP/PPPoE, да-да). Так что проблема перерасхода внешних адресов тоже фактически отпадает.

ISG это классно, сессии тоже классно всё классно а вот НАТ - это как по мне через зад! Это не раздача реальников а это проход серого под одним и тем же белым - то есть снат ! А если извне надо присоединится ? будете днат делать один в один? И это вы называете раздачей белых адресов ?

ну у нас значит разное представление о раздачи белых адресов!

А вот совсем нет, если stateless.

конечно нет - погреть воздух процесором - это прикольно вместо того чтобы вообще без ната делать!

Google 'Full cone NAT'. Google 'Stateless NAT'. Читать до просветления. Думать.

Хотите дальше на VPN-ы дрочить? Что лучше - использовать туннели для раздачи реальников (читай: проблемы с маршрутизацией у клиентов, обрывы, overhead за счет использования двойной инкапсуляции PPTP/PPPoE/L2TP + PPP) или же тупо на тазике менять местами адреса?

Или же давать реальные сразу по DHCP и потом думать, а как бы выбить у RIPE ещё пачку адресов? Вперед! А я как-то обойдусь.

 

Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.

хотите довести до истерики службу ТП?

Не больше, чем с PPTP.

 

но ещё лучше прибить мак на порт куда включен клаент

вообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры....

Вот пусть купит себе один раз роутер и привяжет его MAC. Либо даже MAC Clone сделает - почти все роутеры умеют.

[s.lobanov]

>Или же давать реальные сразу по DHCP и потом думать, а как бы выбить у RIPE ещё пачку адресов?

 

Тупо давать реальники по dhcp эта по сути та же сессия, т.е. есть время аренды, есть dhcp-клиент, который должен периодически подтверждать то, что он живой, а с другой стороны помечаться что ip всё ещё занят. Т.е. с точки зрения сессий и обрывов разницы никакой, нет только лишней инкапсуляции.

 

Или вы имеете ввиду dhcp с неограниченым временем аренды(почти статичная выдача ip по mac-адресам/опции 82/номеру влану)?

Изменено 14 мая, 2010 пользователем s.lobanov

[Abram]

>Или же давать реальные сразу по DHCP и потом думать, а как бы выбить у RIPE ещё пачку адресов?

 

Тупо давать реальники по dhcp эта по сути та же сессия, т.е. есть время аренды, есть dhcp-клиент, который должен периодически подтверждать то, что он живой, а с другой стороны помечаться что ip всё ещё занят. Т.е. с точки зрения сессий и обрывов разницы никакой, нет только лишней инкапсуляции.

Рассматривал этот вариант.

Во-первых, на каждый VLAN (а кого ещё и VLAN на дом) надо давать пул адресов. Вот тут-то и загвоздка: если дать пул слишком большой, то получается перерасход. Слишком маленький - недостача.

Во-вторых, это ж каждый абонент, который комп включил музыку послушать или фильм посмотреть, будет кушать внешний IP. Постоянно. Тогда как в ISG - только когда действительно пользуется. Для эксперимента поднял у себя в офисе. 4 компа + 1 телефон по Wi-Fi. При нормальном режиме работы онлайн был 2-3, тогда как в Вашем случае был бы 5.

[kapa]

но ещё лучше прибить мак на порт куда включен клаент

вообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры....

Вот пусть купит себе один раз роутер и привяжет его MAC. Либо даже MAC Clone сделает - почти все роутеры умеют.

или пусть уйдёт к конкуренту, где всё само работает и не навязывает абоненту ничего с его точки зрения лишнего

 

Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.

хотите довести до истерики службу ТП?

Не больше, чем с PPTP.

а я где-то предлагал pptp?

 

или Вы оправдываете один дерьмовый вариант тем, что существуют другие не менее дерьмовые?

[Abram]

А при чем тут /30? В ISG человек получает внутренние айпи, на которые уже при потребности пробрасываются внешние (stateless NAT). Не забываем также, что у ISG существует понятие сессии (как у PPTP/PPPoE, да-да). Так что проблема перерасхода внешних адресов тоже фактически отпадает.

ISG это классно, сессии тоже классно всё классно а вот НАТ - это как по мне через зад! Это не раздача реальников а это проход серого под одним и тем же белым - то есть снат ! А если извне надо присоединится ? будете днат делать один в один? И это вы называете раздачей белых адресов ?

ну у нас значит разное представление о раздачи белых адресов!

Давайте-ка начнем копать к сути.

Что есть NAT? Network Address Translation. И между дрочим, NAT совсем не обязательно использовать как SNAT/DNAT. И совсем не обязательно даже conntrack таблицы держать.

Рассмотрим на примере:

есть клиент 10.10.10.10 (К), есть скажем внешний сервер 8.8.8.8 (Al Hail Google!) (С) и есть бордер с внутренним адресом 10.10.10.1/24 и внешним 1.2.3.4 (Б).

(К) ломится к (С), используя шлюз (Б). Тут начинается самое интересное. (Б) тупо меняет адрес всех пакетов на, скажем, 1.2.3.5 (согласно таблице сессий). В обратных пакетах - меняет наоборот.

 

Всё просто, как два пальца об асфальт. Никаких conntrack, никаких извращений, никакой нагрузки.

[s.lobanov]

Кто-нибудь может поделиться статистикой {количество серых адресов, выданных по dhcp онлайн; количество pppoe/pptp-cессий онлайн} в час пик? (чтобы понять насколько плохо сразу давать реальник, как только включается компьютер)

[Abram]

но ещё лучше прибить мак на порт куда включен клаент

вообще не лучше. есть куча любителей втыкать компы по-очереди, таскать с работы технику, обновлять компы, менять сетевухи, покупать роутеры....

Вот пусть купит себе один раз роутер и привяжет его MAC. Либо даже MAC Clone сделает - почти все роутеры умеют.

или пусть уйдёт к конкуренту, где всё само работает и не навязывает абоненту ничего с его точки зрения лишнего

Вы в это верите? :)

Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.

хотите довести до истерики службу ТП?

Не больше, чем с PPTP.

а я где-то предлагал pptp?

 

или Вы оправдываете один дерьмовый вариант тем, что существуют другие не менее дерьмовые?

А Вы можете предложить что-то лучше? ;)

[Lynx10]

Или же давать реальные сразу по DHCP и потом думать, а как бы выбить у RIPE ещё пачку адресов? Вперед! А я как-то обойдусь.

а в чём проболема ? по моему для того они там и сидят! и мало того скажу что если номально аргументируете то маловероятно что откажут. а тут ещё уже в6 работать начинает вовсю - инересно тоже будут натить ? ;) сами нат придумаете ?

не ну если кому нравится - то это дело персональное нравится натить то вперёд и с песней

 

[kapa]

Вы в это верите? :)

я это даже наблюдал на своей шкуре, когда попробовал в одном из районов прибить маки к порту.

там кроме нас ещё 5 провайдеров работало.

слава богу вовремя одумался

 

Вот как раз так пирблизительно я у себя сейчас делаю :). Жестко буду прибивать маки к портам. DHCP раздавать на основе маков из биллинга.

хотите довести до истерики службу ТП?

Не больше, чем с PPTP.

а я где-то предлагал pptp?

 

или Вы оправдываете один дерьмовый вариант тем, что существуют другие не менее дерьмовые?

А Вы можете предложить что-то лучше? ;)

я даже предлагал выше.

да и кроме меня тут предлагали варианты.

[Abram]

Кто-нибудь может поделиться статистикой {количество серых адресов, выданных по dhcp онлайн; количество pppoe/pptp-cессий онлайн} в час пик? (чтобы понять насколько плохо сразу давать реальник, как только включается компьютер)

Вот сейчас, скажем. Таблица MAC-ов со свитча - 394 штуки рабочих MAC-а (по локалке, видимо, гоняют). PPTP-сессий онлайн - 277. Из этих 277 можно ещё пачку исключить (PPTP запущен, но не используется, простаивающие SOHO-роутеры, поддерживающие сессию и тд).

[Lynx10]

Всё просто, как два пальца об асфальт. Никаких conntrack, никаких извращений, никакой нагрузки.

вообще никакой.... вы я вижу реально верите в то что при смене адреса нагрузки нету ....

вы ошибаетесь но это не важно

 

важно то что оно уродливо.

Изменено 14 мая, 2010 пользователем Lynx10

[s.lobanov]

Кто-нибудь может поделиться статистикой {количество серых адресов, выданных по dhcp онлайн; количество pppoe/pptp-cессий онлайн} в час пик? (чтобы понять насколько плохо сразу давать реальник, как только включается компьютер)

Вот сейчас, скажем. Таблица MAC-ов со свитча - 394 штуки рабочих MAC-а (по локалке, видимо, гоняют). PPTP-сессий онлайн - 277. Из этих 277 можно ещё пачку исключить (PPTP запущен, но не используется, простаивающие SOHO-роутеры, поддерживающие сессию и тд).

Спасибо, хотелось бы конечно бо`льшую выборку и в час пик, но и то хорошо. Итого, надо примерно на 40% больше ip адресов, если всем давать реальники по dhcp с маленьким временем аренды. У небольших сетей(<2000 абонентов), думаю, есть возможность получить +40% ip-адресов от того, что есть.

 

SOHO-роутеры исключить нельзя, т.к. во-первых их надо как-то вычислить, но это полбеды. Вычислил, прибил сессию, что дальше? Пришёл абонент домой, включил компьютер, интернет не работает, на*** нужен такой интернет спрашивается?

[Abram]

Всё просто, как два пальца об асфальт. Никаких conntrack, никаких извращений, никакой нагрузки.

вообще никакой.... вы я вижу реально верите в то что при смене адреса нагрузки нету ....

вы ошибаетесь но это не важно

Я прекрасно понимаю, какую нагрузку несет NAT. Именно поэтому у меня сейчас его нет.

Однако, хочу ещё раз обратить Ваше внимание, что обусловлена нагрузка в основном в необходимости помнить все соединения, т.е. знать, кому и как отдавать пакеты. Поэтому - ещё раз Google на фразы Stateless NAT & Full cone NAT. Именно в этом и фокус.

 

Кто-нибудь может поделиться статистикой {количество серых адресов, выданных по dhcp онлайн; количество pppoe/pptp-cессий онлайн} в час пик? (чтобы понять насколько плохо сразу давать реальник, как только включается компьютер)

Вот сейчас, скажем. Таблица MAC-ов со свитча - 394 штуки рабочих MAC-а (по локалке, видимо, гоняют). PPTP-сессий онлайн - 277. Из этих 277 можно ещё пачку исключить (PPTP запущен, но не используется, простаивающие SOHO-роутеры, поддерживающие сессию и тд).

Спасибо, хотелось бы конечно бо`льшую выборку и в час пик, но и то хорошо. Итого, надо примерно на 40% больше ip адресов, если всем давать реальники по dhcp с маленьким временем аренды. У небольших сетей(<2000 абонентов), думаю, есть возможность получить +40% ip-адресов от того, что есть.

 

SOHO-роутеры исключить нельзя, т.к. во-первых их надо как-то вычислить, но это полбеды. Вычислил, прибил сессию, что дальше? Пришёл абонент домой, включил компьютер, интернет не работает, на*** нужен такой интернет спрашивается?

А зачем обрубать? ISG поднимает сессию с первым пролетевшим пакетом и вырубает по таймауту. Хомячок ушел на работу, сессия отвалилась через пару минут. Пришел, полез в Интернеты, - сессия поднялась.

Изменено 14 мая, 2010 пользователем Abram

[s.lobanov]

А зачем обрубать? ISG поднимает сессию с первым пролетевшим пакетом и вырубает по таймауту. Хомячок ушел на работу, сессия отвалилась через пару минут. Пришел, полез в Интернеты, - сессия поднялась.

Честно говоря не конца понятна реализация этого механизма. Можно ссылку, где про это написано?

[Lynx10]

А зачем обрубать? ISG поднимает сессию с первым пролетевшим пакетом и вырубает по таймауту. Хомячок ушел на работу, сессия отвалилась через пару минут. Пришел, полез в Интернеты, - сессия поднялась.

Честно говоря не конца понятна реализация этого механизма. Можно ссылку, где про это написано?

это цисковский прикол! очень неплохая штука! читать можна тут

http://docstore.mik.ua/univercd/cc/td/doc/...b28/isg_lib.htm

http://www.cisco.com/en/US/docs/ios/soluti...ios/dep_ge.html

http://www.cisco.com/en/US/docs/ios/soluti...os/ge_rls4.html

 

примеры

http://ciscovod.blogspot.com/2009/03/cisco...dhcp-opt82.html

http://wiki.sirmax.noname.com.ua/index.php/ISG

http://wiki.sirmax.noname.com.ua/index.php/CoA

 

 

есть порт на линукс

http://forum.nag.ru/forum/index.php?showto...3156&st=100

Изменено 14 мая, 2010 пользователем Lynx10

[wtyd]

Кстати, тут в последнем ядре линукса (2.6.34) заявлена реализация фичи типа ip unnumbered, забыл какое RFC. Т.е. по вилану на абона + proxy-arp = по однойму ойпи на абона, а не по /30. Так вот, может быть кто-то уже тему раскрыл ? :-).

 

Как там что делать чтобы такие интерфейсы создавать ? Нагуглить пока ничего не могу, да и ядра такого пока нет. Хотелось бы узнать сперва всё в теории. Если у кого есть опыт или ссылки на документацию, поделитесь ?

 

Так же в этой связи интересует, какой оверхед дают виланы в линуксе ? Т.е. скажем, какая разница будет между: два интерфейса внешний и внутренний и несколько десятков полисеров(фильтров) или htb классов на каждом интерфейсе (для каждого абонента) или на каждого абонента по вилану и полисеры (или фильтры с классами) для каждого абона на внешнем интерфейсе и на интерфейсе абона. Большая ли разница в производительномти будет ? Трафик же в основном к абоненту идёт - фильтры, полисеры, классы в сторону абонента дают загрузку ЦПУ в основном (не на внешнем интерфейсе, который в обеих схемах вегда один). А то может и нет смысла в этой ip unnumbered в линуске ...

 

Т.е. с двумя интерейсами число фильтров играет роль. Хешировать получается далеко не всегда. В схеме ip unnumbered трафик к абоненту роутится и попадает в фильтр, т.е. нет перебора правил фильтра, но есть куча виланов. Что выгоднее ?

 

Так же хотелось бы услышать мнения/теории/результаты если у кого они есть.

[alex_001]

Кстати, тут в последнем ядре линукса (2.6.34) заявлена реализация фичи типа ip unnumbered, забыл какое RFC. Т.е. по вилану на абона + proxy-arp = по однойму ойпи на абона, а не по /30. Так вот, может быть кто-то уже тему раскрыл ? :-).

..........

Это вроде и раньше можно было сделать через vlans+bridge. Тоесть эксперементировать можно хоть сейчас , вот только рулить доступ на PC - тяжеловато...

[s.lobanov]

>Это вроде и раньше можно было сделать через vlans+bridge.

 

Можно поподробнее? Предлагается делать bridge между каждой парой сабинтерфейсов или все в одну кучу? Под bridge понимается обеспечение связности на L2? Ещё предлагается делать проверка source ip через iptables? До каждого абонента добавлять маршрут /32?