[Cold]

Гуру, подскажите плз какую модель выбрать ?

плюсы и минусы каждого, исходя из опыта эксплуатации.

[terrible]

почитайте форум

[Cold]

почитайте форум

так читаю постоянно, в итоге всё матерят не свой выбор )

 

Та же корбина например с pptp на l2tp перешла, кто то на ppoe подсел, у кого то привязка к порту с раздачей по DHCP. Охота взвесить все преимущества и недостатки!

 

[martin74]

сомневаюсь, что вы найдете универсальное и подходящее всем решение. Каждый выбирает исходя из своих возможностей, знаний, местных особенностей и т.п....

[Ilya Evseev]

Охота взвесить все преимущества и недостатки!

С какой целью? Если с целью создать сеть, то надо начинать не с самого лучшего, а с самого простого, чтобы приобрести собственный опыт.

Если из любви к искуству, то поделитесь собственными выводами от прочтения форума, а мы поправим в них наиболее явную лажу.

[Cold]

Охота взвесить все преимущества и недостатки!

С какой целью? Если с целью создать сеть, то надо начинать не с самого лучшего, а с самого простого, чтобы приобрести собственный опыт.

Если из любви к искуству, то поделитесь собственными выводами от прочтения форума, а мы поправим в них наиболее явную лажу.

Что по вашему мнению самое простое и что сами используете ?

[terrible]

полная агрегация на PPPoE + дробление влан на дом + сегментация каждого свича доступа - помойму самое простое и надёжное.

[Ilya Evseev]

Что по вашему мнению самое простое и что сами используете ?

Для меня самое простое было бы - плоская сеть (пока клиентов меньше 200-300),

коммутаторы с port security,

выход в Интернет напрямую без vpn,

на шлюзе arpwatch, static arp, spamblock, dhcp и dhcp-sniff.

 

То, что использую сейчас, является результатом 11-летнего развития

с постепенными улучшениями без переделок с нуля,

поэтому в качестве образца для подражания не годится.

Edited August 18, 2010 by Ilya Evseev

[secandr]

Под PPPoE больше решений железных.

[Saab95]

На каждом доме L2 свич, с него влан на дом в центр, в центре все вланы в PPPoE концентратор. Им управляет биллинг по радиусу. Куда уж проще=)

Если своих волокон где-то нет можно запросто L2 перегонять по IP куда надо.

[Ilya Evseev]

Я бы использовал PPPoE только в двух случаях:

- не хватает денег на коммутаторы с Port Security,

- сеть сегментированная и не все vlan'ы можно дотянуть до сервера с arpwatch.

Иначе это просто лишнее усложнение конструкции как на клиентской, так и на провайдерской стороне.

[nic_stav]

Я бы использовал PPPoE только в двух случаях:

- не хватает денег на коммутаторы с Port Security,

- сеть сегментированная и не все vlan'ы можно дотянуть до сервера с arpwatch.

Иначе это просто лишнее усложнение конструкции как на клиентской, так и на провайдерской стороне.

А что бы использовали в остальных случаях?

[Ilya Evseev]

А что бы использовали в остальных случаях?

Очень внимательно пролистайте тему с начала страницы.

[SokolovS]

Все таки мне кажется IPoE вне зависимости от технологии реализации свое возьмет. Уже писали о вполне себе недорогих вариантах типа VLAN на дом от L3 центра + IP unnumbered, DHCP Snooping с IP Sourceguard и ARP Inspection. В этом случае коммутатор доступа минимум что должен уметь это фиксировать MAC(и) на порту. Самые недорогие L2 это умеют хотя бы в ARP режиме.

 

Минусы тоже писали, перерасход белых IP :(

[vIv]

При ip unnumbered или super-VLAN перерасхода нет

[SokolovS]

При ip unnumbered или super-VLAN перерасхода нет

Это если L3 агрегация одноуровневая, когда то она может стать многоуровневой ;)

Из минусов еще забыл написать фиксацию маков в случае дешевого доступа. Если достп по дороже с IP биндингами, то тут вобще все красиво.

Edited August 18, 2010 by SokolovS

[vIv]

При ip unnumbered или super-VLAN перерасхода нет

Это если L3 агрегация одноуровневая, когда то она может стать многоуровневой ;)

Эээ... не понял? Допустим, по-дороге у нас Q-in-Q - как это скажется на работе?

[SokolovS]

2vIv: Я к тому что может быть 2 уровня L3 агрегации, ядро которое чисто роутит (возможно динамика) + периферийные более мелкие L3 агрегаторы. Тогда получится так что на каждый периферийный узел нужно свою сеточку выделить. Вот и вылезет перерасход.

 

Не всегда получится все в центр стянуть.

Простой пример. Арендуется канал без Q-in-Q и возможности такой нет в принципе.

Edited August 22, 2010 by SokolovS

[vIv]

2vIv: Я к тому что может быть 2 уровня L3 агрегации, ядро которое чисто роутит (возможно динамика) + периферийные более мелкие L3 агрегаторы. Тогда получится так что на каждый периферийный узел нужно свою сеточку выделить. Вот и вылезет перерасход.

Т.е. в некоем узле у вас будет /24, а абонентов всего 234? Ой, ну тоже мне, перерасход...

[zadrovets]

не вижу сильных проблем с перерасходом.

даем сеточки /24.

кончились еще даем. т.о. лишних ИПов на Л3 агрегаторе не так и много может быть.

 

Вон некоторые вообще /24 на каждый дом дают.

Это я понимаю транжирство

[Cold]

А авторизация как, 802.1x ?

[nic_stav]

А авторизация как, 802.1x ?

Да никак, кабель абонента и есть его авторизация, все же в витуху сложнее запараллелиться чем в лапшу телефонную...

[SokolovS]

2vIv: Я к тому что может быть 2 уровня L3 агрегации, ядро которое чисто роутит (возможно динамика) + периферийные более мелкие L3 агрегаторы. Тогда получится так что на каждый периферийный узел нужно свою сеточку выделить. Вот и вылезет перерасход.

Т.е. в некоем узле у вас будет /24, а абонентов всего 234? Ой, ну тоже мне, перерасход...

Ну да я согласен он небольшой, но в случае с одним общим L3 узлом его вобще нет :)

 

А авторизация как, 802.1x ?

У нас не пошло в массы. Не рекомендую. С виду все красиво, и сессионность тебе и объем трафика с абонентского порта. А в реале для абонента это еще сложнее чем VPN или PPPoE настроить. Опять же не во всех домо-роутерах есть поддержка.

[Cold]

А авторизация как, 802.1x ?

Да никак, кабель абонента и есть его авторизация, все же в витуху сложнее запараллелиться чем в лапшу телефонную...

Ну ну, у нас голодные есть настолько, что кабель из щитка заводят к себе домой, вставляют в тупой свитч а из него дальше пускают... как тут без авторизации ?!

привязка к МАС тоже гемор, устанешь персонал кормить который будет прописывать новые МАС адреса...

[nic_stav]

А авторизация как, 802.1x ?

Да никак, кабель абонента и есть его авторизация, все же в витуху сложнее запараллелиться чем в лапшу телефонную...

Ну ну, у нас голодные есть настолько, что кабель из щитка заводят к себе домой, вставляют в тупой свитч а из него дальше пускают... как тут без авторизации ?!

привязка к МАС тоже гемор, устанешь персонал кормить который будет прописывать новые МАС адреса...

В принципе можно однократную авторизацию через web сделать в таком случае, что тоже не лишено неудобств...