ichthyandr Опубликовано 16 ноября, 2012 · Жалоба в их схеме получается опять же не более 4K вланов.Больше 4K на одном устройстве не получится ни в какой схеме. получится. схему именования интерфейсов только надо поменять. в заметке на opennet я выбрал такой вариант только из сообращений удобства/краткости. лучше сделать влан на дом (коммутатор), на коммутаторе включить изоляцию портов - отпадет необходимость влан на абонента Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 16 ноября, 2012 · Жалоба опять религиозные споры? Вам лучше - вы и делайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flamaster Опубликовано 16 ноября, 2012 · Жалоба ну что получается т.е никто не реализовал такую схему на более 10к абонентов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 16 ноября, 2012 · Жалоба как Вы умудрились сделать такой вывод? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 16 ноября, 2012 · Жалоба Мне вот интересно, как люди администрируют сети с vlan на абонента или на дом? Ну так, в качестве оффтопа поделитесь :) Все полностью автоматизировано, автоматически прокидывается по топологии или как? Какова аварийность при плановых переносах веток (забыли что-то прокинуть и т.д.)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 16 ноября, 2012 · Жалоба Влан на коммутатор. Настраивается ручками, не так уж и долго. Там где нет гирлянд все просто, где гирлянды - несколько неудобно. Примерно 2,2К устройств по такой схеме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 16 ноября, 2012 · Жалоба Влан на коммутатор. Настраивается ручками, не так уж и долго. Там где нет гирлянд все просто, где гирлянды - несколько неудобно. Примерно 2,2К устройств по такой схеме. то есть вы руками ведете реестры в которых это все отражаете? и при плановых расключениях гирлянд перенастраиваете тоже руками? А есть у кого например свыше 10к коммутаторов в такой схеме? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 16 ноября, 2012 · Жалоба 10к коммутаторов это сотни тысяч абонентов, там рук рабочих целый отдел ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flamaster Опубликовано 16 ноября, 2012 · Жалоба как Вы умудрились сделать такой вывод? пока что вывод не сделал, но в случий MPLS проблем ни вижу, но когда QinQ потому и спрашиваю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arseniiv Опубликовано 16 ноября, 2012 · Жалоба Кароче весь топик не читал. Чтобы vlan-per-user на сети где юзверей 10 000 надо эти вилан терминировать на разные L3. Ну и чтобы не пересекались между собой кусты отходящие от этих L3 железок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 16 ноября, 2012 · Жалоба 10к коммутаторов это сотни тысяч абонентов, там рук рабочих целый отдел ;) 10к коммутаторов - это примерно 80-90к клиентов онлайн ) Отделу тоже хочется есть и спать :) 2 года назад при этих условиях мы отказались от данной схемы, в основном из-за того, что тяжело поддерживать это - высокая аварийность, при плановых, долгое устранение и пр. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 16 ноября, 2012 · Жалоба 10к коммутаторов это сотни тысяч абонентов, там рук рабочих целый отдел ;) 10к коммутаторов - это примерно 80-90к клиентов онлайн ) Отделу тоже хочется есть и спать :) 2 года назад при этих условиях мы отказались от данной схемы, в основном из-за того, что тяжело поддерживать это - высокая аварийность, при плановых, долгое устранение и пр. и к чему пришли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 16 ноября, 2012 · Жалоба Кароче весь топик не читал. Чтобы vlan-per-user на сети где юзверей 10 000 надо эти вилан терминировать на разные L3. Ну и чтобы не пересекались между собой кусты отходящие от этих L3 железок. Совершенно верно. Так как у меня физически распределенная сеть, то агрегация фактически равна терминации и осуществляется на сап-32. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 17 ноября, 2012 · Жалоба 10к коммутаторов это сотни тысяч абонентов, там рук рабочих целый отдел ;) 10к коммутаторов - это примерно 80-90к клиентов онлайн ) Отделу тоже хочется есть и спать :) 2 года назад при этих условиях мы отказались от данной схемы, в основном из-за того, что тяжело поддерживать это - высокая аварийность, при плановых, долгое устранение и пр. При таких объемах стоило потратиться на разработку алгоритма адресации свитчей и вланов по ним, а затем *nix perl/с/и.т.п. sql и воплощение алгоритма в жизнь. Правда при сильном зоопарке придется учитывать отличия cli/snmp на свитчах, но это можно учитывать в алгоритме, вполне таки осуществимо. Тогда при замене свитча на каком-то адресе нужно только забить в базу его mac/модель, а дальше система сама бы его причесала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 17 ноября, 2012 (изменено) · Жалоба При таких объемах стоило потратиться на разработку алгоритма адресации свитчей и вланов по ним, а затем *nix perl/с/и.т.п. sql и воплощение алгоритма в жизнь. Правда при сильном зоопарке придется учитывать отличия cli/snmp на свитчах, но это можно учитывать в алгоритме, вполне таки осуществимо. Тогда при замене свитча на каком-то адресе нужно только забить в базу его mac/модель, а дальше система сама бы его причесала. START (16.11.2012 23:39:41) SWITCH-ID-LABEL-[1210-52] GetDeviceMAC...Ok (1C:7E:13:55:67:88) CheckLinks...Ok (1111110111111011010011100101100101001001111111000001) CheckVLAN(Members=0000000000000000000000000000000000000000000000000001, UnTagged=0000000000000000000000000000000000000000000000000001, VID=1, Name=default)...Unchanged CheckVLAN(Members=0000000000000000000000000000000000000000000000000001, UnTagged=0000000000000000000000000000000000000000000000000000, VID=1100, Name=switches11-1)...Unchanged CheckVLAN(Members=0001100000000000000000000000000000100000100000000001, UnTagged=0001100000000000000000000000000000100000100000000000, VID=1101, Name=users11-1)...Unchanged CheckVLAN(Members=1000000010111000000000000001100100000000000010000001, UnTagged=1000000010111000000000000001100100000000000010000000, VID=1102, Name=users11-2)...Unchanged CheckVLAN(Members=0000000000000011111011100010000000001000000000000001, UnTagged=0000000000000011111011100010000000001000000000000000, VID=1103, Name=users11-3)...Unchanged CheckVLAN(Members=0100000100000000000000000100000001000000000000000001, UnTagged=0100000100000000000000000100000001000000000000000000, VID=1104, Name=users11-4)...Unchanged CheckVLAN(Members=0010000000000000000000000000000000000001000000000001, UnTagged=0010000000000000000000000000000000000001000000000000, VID=1105, Name=users11-5)...Unchanged CheckVLAN(Members=0000000000000000000000000000000000000000001000100001, UnTagged=0000000000000000000000000000000000000000001000100000, VID=1106, Name=users11-6)...Unchanged CheckVLAN(Members=0000000000000000000000000000000000000000000000010001, UnTagged=0000000000000000000000000000000000000000000000010000, VID=1107, Name=users11-7)...Unchanged CheckVLAN(Members=0000010001000000000000000000000000000000010100000001, UnTagged=0000010001000000000000000000000000000000010100000000, VID=1108, Name=users11-8)...Unchanged CheckVLAN(Members=0000000000000000000000000000000000000000000000000001, UnTagged=0000000000000000000000000000000000000000000000000000, VID=1109, Name=users11-9)...Unchanged CheckVLAN(Members=0000001000000100000100001000011010010110000001001111, UnTagged=0000001000000100000100001000011010010110000001001110, VID=1110, Name=guests11)...Unchanged GetAutoLearning...Ok (1) GetMACsList...Ok (43 MACs) CheckStaticMAC(MAC=00:11:17:B2:4F:1A, Port=1, VID=1102)...Unchanged CheckStaticMAC(MAC=00:12:4D:89:E2:13, Port=2, VID=1104)...Unchanged CheckStaticMAC(MAC=BC:A3:C5:0B:90:9E, Port=3, VID=1105)...Unchanged CheckStaticMAC(MAC=90:E4:BA:CD:5B:0B, Port=4, VID=1101)...Unchanged CheckStaticMAC(MAC=00:15:D4:5C:57:12, Port=5, VID=1101)...Unchanged CheckStaticMAC(MAC=00:16:0F:EB:28:B5, Port=6, VID=1108)...Unchanged CheckStaticMAC(MAC=00:27:CD:C5:44:1B, Port=7, VID=1110)...Unchanged CheckStaticMAC(MAC=00:28:2D:99:52:1F, Port=8, VID=1104)...Unchanged CheckStaticMAC(MAC=00:19:09:30:B1:C6, Port=9, VID=1102)...Unchanged CheckStaticMAC(MAC=00:11:17:42:03:CC, Port=10, VID=1108)...Unchanged CheckStaticMAC(MAC=00:12:FC:C1:95:C1, Port=11, VID=1102)...Unchanged CheckStaticMAC(MAC=00:23:8C:4D:16:78, Port=12, VID=1102)...Unchanged CheckStaticMAC(MAC=00:14:7D:06:09:53, Port=13, VID=1102)...Unchanged CheckStaticMAC(MAC=00:15:C5:54:76:BD, Port=15, VID=1103)...Unchanged CheckStaticMAC(MAC=00:16:D4:C2:9C:09, Port=16, VID=1103)...Unchanged CheckStaticMAC(MAC=00:17:17:EB:25:BF, Port=17, VID=1103)...Unchanged CheckStaticMAC(MAC=D0:28:88:3D:4B:46, Port=18, VID=1103)...Unchanged CheckStaticMAC(MAC=BC:59:F4:04:49:F0, Port=19, VID=1103)...Unchanged CheckStaticMAC(MAC=00:21:CD:11:2A:53, Port=21, VID=1103)...Unchanged CheckStaticMAC(MAC=90:F2:A6:6A:D9:AB, Port=22, VID=1103)...Unchanged CheckStaticMAC(MAC=B0:43:7A:D5:15:A7, Port=23, VID=1103)...Unchanged CheckStaticMAC(MAC=00:24:21:10:D5:7A, Port=25, VID=1110)...Unchanged CheckStaticMAC(MAC=00:25:27:C6:CD:ED, Port=26, VID=1104)...Unchanged CheckStaticMAC(MAC=5C:26:0A:50:43:AF, Port=27, VID=1103)...Unchanged CheckStaticMAC(MAC=00:07:EA:5E:DE:4C, Port=28, VID=1102)...Unchanged CheckStaticMAC(MAC=00:18:D0:A0:78:99, Port=29, VID=1102)...Unchanged CheckStaticMAC(MAC=00:19:68:85:AA:A9, Port=31, VID=1110)...Unchanged CheckStaticMAC(MAC=00:01:48:19:BC:EE, Port=32, VID=1102)...Unchanged CheckStaticMAC(MAC=90:F2:A6:40:EC:CA, Port=33, VID=1110)...Unchanged CheckStaticMAC(MAC=00:13:F3:C4:E1:85, Port=34, VID=1104)...Unchanged CheckStaticMAC(MAC=00:14:F2:6F:50:82, Port=35, VID=1101)...Unchanged CheckStaticMAC(MAC=00:25:91:3F:DC:69, Port=37, VID=1103)...Unchanged CheckStaticMAC(MAC=00:18:F3:A8:2D:B1, Port=38, VID=1110)...Unchanged CheckStaticMAC(MAC=00:25:86:D5:EB:17, Port=39, VID=1110)...Unchanged CheckStaticMAC(MAC=00:16:25:07:AF:EE, Port=40, VID=1105)...Unchanged CheckStaticMAC(MAC=00:27:22:53:5B:FC, Port=41, VID=1101)...Unchanged CheckStaticMAC(MAC=D0:28:88:0B:74:02, Port=42, VID=1108)...Unchanged CheckStaticMAC(MAC=14:D9:4D:E8:16:3F, Port=43, VID=1106)...Unchanged CheckStaticMAC(MAC=00:11:4D:51:D4:92, Port=44, VID=1108)...Unchanged CheckStaticMAC(MAC=90:22:34:1D:C9:DF, Port=45, VID=1102)...Unchanged CheckStaticMAC(MAC=F8:D3:11:4D:73:E7, Port=46, VID=1110)...Unchanged CheckStaticMAC(MAC=8C:74:6E:B4:94:3E, Port=47, VID=1106)...Unchanged CheckStaticMAC(MAC=00:25:97:A4:F7:A6, Port=48, VID=1107)...Unchanged CheckAutoLearningPorts(Mask=0000000000000000000000000000010000010000000000001111)...Unchanged VLANResult=1 FilterResult=1 DeleteTask=1 DONE - 8 sec Изменено 17 ноября, 2012 пользователем ThreeDHead Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 17 ноября, 2012 · Жалоба не расскажите про ваш забавный алгоритм? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 18 ноября, 2012 · Жалоба не расскажите про ваш забавный алгоритм? Районы побиты на виланы: коммутаторы, абоненты, гости. Кончились средства, выкидываем абона в гости, появились средства - назад. Фильтрация мак-адреса абонента на порту. На более современных моделях экранирование dhcp на портах абонентов. Всё автоматом, по snmp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 19 ноября, 2012 · Жалоба и к чему пришли? Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 19 ноября, 2012 · Жалоба то есть вы руками ведете реестры в которых это все отражаете? и при плановых расключениях гирлянд перенастраиваете тоже руками? Если гирлянда уже разбита то ничего перенастраивать не нужно. Есть план распределения блоков адресов (серых) по маршрутизаторам. Есть самописная система управления пользователями и оборудованием, в которую заносятся коммутаторы, коммутаторам назначаются сети, распределяются по портам абоненты. DHCP конфигурируется автоматически скиптом, адреса выдаются по опции 82. Выдаем по 8 адресов на порт. По IP-адресу всегда можно понять что это за конкретный абонент, коммутатор и порт. Есть, конечно, вещи, которые автоматизированы не до конца, но, в целом, все всех устраивает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 19 ноября, 2012 · Жалоба >Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше) 2Frau: А по подробнее можно ? У меня тоже самое, но PPPoE. Там это оправдано. Пытаюсь осмыслить как внедрить на такой же сети IPoE c op.82 и пока не понимаю как защитится от спуфинга ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 ноября, 2012 · Жалоба пока не понимаю как защитится от спуфинга ? ARP-инспекцией Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 19 ноября, 2012 · Жалоба и к чему пришли? Пришли к одному вилану на всех) до 16 к клиентов в одном броадкаст домене. Везде сегментация. Номер вилана за всеми узлами одинаковый, все унифицировано. Проблем нааамного меньше) Этож сколько у вас по сети броадкаста летает...ужас Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 19 ноября, 2012 · Жалоба 2Frau: А по подробнее можно ? У меня тоже самое, но PPPoE. Там это оправдано. Пытаюсь осмыслить как внедрить на такой же сети IPoE c op.82 и пока не понимаю как защитится от спуфинга ? У нас IPoE, от спуфинга - arp-inspection. Этож сколько у вас по сети броадкаста летает...ужас нет, у нас все сегментировано, начиная с доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 19 ноября, 2012 · Жалоба >У нас IPoE, от спуфинга - arp-inspection. Где именно работает arp-inspection ? На брасах ? На доступе ? Ткните пальцем что почитать по теме ? >>Этож сколько у вас по сети броадкаста летает...ужас >нет, у нас все сегментировано, начиная с доступа. Подтверждаю. Сегментация + статичные ACL на доступе дают желаемый результат. Мусора в сети нет. Даже в больших сегментах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ThreeDHead Опубликовано 19 ноября, 2012 · Жалоба Где именно работает arp-inspection ? На брасах ? На доступе ? Ткните пальцем что почитать по теме ? В том месте, где вы "вытаскиваете" абонента с L2 на L3, иначе и инспектировать нечего будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
