Jump to content
Калькуляторы

Уход от pptp к IPoE+Ip unnumbered Стоит ли?

Многоуважаемые форумчане, хотелось бы услышать ваши мнения по поводу модернизации сети, а именно ухода от VPN к чистому IPoE+Ip unnumbered.

Итак, имеется работающая сеть до 2к абонентов. Доступ 100% управляемые железки (3526+ немного 1228МЕ), агрегация 3627G на район (по одной на около 20 свичей/500 хомячков), в центре сети тазики в виде бордера, биллинга, доступа (mikrotik). Внешний трафик до 150 мбит от двух аплинков, само собой AS + PI /21, пиринговые гигабитные стыки с 3 сетями. Тарифы от 512 до 4 мбит. В настоящий момент используется схема с VPN (pptp), что изрядно напрягает (в плане плохой масштабируемости серверов доступа, ибо DHCP прописан не у всех, больших нагрузок на эти самые сервера, как следствие просадок скорости и прочих прелестей pptp). Ip у всех белые. В довершение всего этого кошмара сеть не сегментирована, т.е. грубо говоря все сидят в одном vlan, что тоже не есть гуд. Необходимо привести это все в божеский вид причем минимально трогая самих абонентов. Путей решения видится несколько:

1) Допиливать pptp путем сегментирования сети до vlan на свич, установки серверов доступа с чем-нибудь отличным от микровтыка (Linux, BSD+MPD, cisco???). Минусом этой затеи является необходимость обзвона/обхода многих абонентов с целью прописывания новых настроек подключения.

2) Иммиграция на PPPoE и, как следствие, решения проблемы масштабирования, складывай себе сервачки в стопочку)) Минусы - перенастройка всех(!) абонентов, плюс я сильно подозреваю, что это обмен шила на мыло.

3) Уход к чистому IPoE. Тут есть несколько вариантов, но самым разумным считаю использовать ip unnumbered. Конечно подмывает поэкспериментировать с supervlan от dlink, но это чревато разбегом юзверей в разные стороны. Итак vlan-per-user + IP unnumbered. Что для этого необходимо? На агрегации районов остаются 3627G в качестве L2. В ядре catalyst (какой 65**, 3750G? или только ядром здесь не обойдешься?) + что то из кисок для ISG (что? 7204, 7201, 7301? или linux isg?) бордер с биллингом остаются там же где и есть, то есть на PC. Из минусов все таже перенастройка абонентов, хотя если авторизация "по проводу", то вся настройка сводится к неиспользованию старого VPN подключения. Из плюсов конечно же простая настройка новых абонентов, точнее практически отсутствие таковой ну и отсутствие всяких "штормов" и прочего ибо vlan-per-user.

Что вы думаете по этому поводу?

Share this post


Link to post
Share on other sites

переходите на pppoe + dhcp, полностью, после чего, при необоходимости, легко перескочите на IPoE

Share this post


Link to post
Share on other sites

переходите на pppoe + dhcp, полностью, после чего, при необоходимости, легко перескочите на IPoE

Тоже логично

Share this post


Link to post
Share on other sites

Настройка всех абонентов на пппое может протекать параллельно с работой пптп.

И бегать по ним не надо, напишите программку автоматического создания пппое соединения, выложите на сайт и дайте объявление, что в течении скажем 1 месяца всем необходимо на нее переключиться. А через месяц просто погасите пптп службы. Остатки не перешедших будут по телефону отправлены ТП на скачку заветной программки.

 

Share this post


Link to post
Share on other sites
Настройка всех абонентов на пппое может протекать параллельно с работой пптп.

И бегать по ним не надо, напишите программку автоматического создания пппое соединения, выложите на сайт и дайте объявление, что в течении скажем 1 месяца всем необходимо на нее переключиться. А через месяц просто погасите пптп службы. Остатки не перешедших будут по телефону отправлены ТП на скачку заветной программки.

К сожалению с юзерскими рутерами данная схема не пройдет, а их (рутеров) достаточно много...

Share this post


Link to post
Share on other sites

И не 45-50% юзеров читают информацию на сайте провайдера.

 

В вашем случае пока у вас еще мало абонентов лучше менять глобально, но этапно (по агрегациям).

Т.е. делать как вы говорили, ставить ядро вменяемый BRAS который умеет qinq (если с запасом на будущее).

Для этого подходит практически любой из вендоров (Cisco, Juniper, ALU, Ericsson) выбирайте что называется на вкус и цвет (карман).

Может даже на нем и бордер поднимите.

Основная сложность в данном процессе будет это интеграция BRAS с биллингом.

 

Юзерам опять же проще будет обяснить что ничего им настраивать не надо, что нужно только в настройках сетевой поставить все автоматически.

Опять же может быть получите некий профит в виде радости абонентов что у него теперь все автоматически и не надо напрягаться.

 

С роутерами собственно тоже проблем меньше, достаточно переключить роутер на режим получение IP по DHCP (3-4 клика).

Вообщем пока у вас все не заросло капитально с pptp/l2tp, уходите на нормальную схему.

Edited by shicoy

Share this post


Link to post
Share on other sites
ставить ядро вменяемый BRAS который умеет qinq (если с запасом на будущее).
Если из cisco то какой в данном случае имеет смысл ставить? Есть неиспользуемый бандл 7204VRX с npe-300, может имеет смысл его заюзать поменяв модуль на G-1? Там вроде как ISG с успехом поддерживается.

 

Основная сложность в данном процессе будет это интеграция BRAS с биллингом.
Да вроде как не должно быть проблем с этим.

Я сам, честно говоря, склоняюсь к тому, что если что то менять, то не один туннель на другой, хотя возможно придется так и делать.

 

опять же не ясно хватит ли для начала одного 3750 в ядре?

Share this post


Link to post
Share on other sites

pptp - это, конечно, унылое гамно. особенно, когда у вас анлимы. И особенно, когда скорости в тарифах уже не 256K - а 2-4 и в будущем - более мегабит/с.

 

Так что ответ на ваш вопрос - стОит "Уход от pptp к IPoE".

Share this post


Link to post
Share on other sites
ставить ядро вменяемый BRAS который умеет qinq (если с запасом на будущее).
Если из cisco то какой в данном случае имеет смысл ставить? Есть неиспользуемый бандл 7204VRX с npe-300, может имеет смысл его заюзать поменяв модуль на G-1? Там вроде как ISG с успехом поддерживается.

 

Основная сложность в данном процессе будет это интеграция BRAS с биллингом.
Да вроде как не должно быть проблем с этим.

Я сам, честно говоря, склоняюсь к тому, что если что то менять, то не один туннель на другой, хотя возможно придется так и делать.

 

опять же не ясно хватит ли для начала одного 3750 в ядре?

вы будете qinq vlan использовать обычные vlan? 3750 помоему не умеет ip unnumbered в qinq (мож ошибаюсь)

 

смотрите есть 2 основных принципа построения IPoE

инициализация сессии абонента по событию DHCP Discover и по IP.

- в первом случае вам надо ставить в ядро нормальный брас на который вы заведете свою L2 сеть (соотвественно нужные интерфейсы что бы пропустить трафик)

- во втором случае вы где-то терминируете vlanы абонентов на чем-то вроде cat65 cat3750 + ISG c unclass. source IP detection (для навешивания нужных политик), для isg железо смотрите из своих требований по пропуску трафика (7204 + g1, больше чем 300-350Мбит фул дуплекса не прожует). К тому же схема плохо маштабируемая (не больше 4к юзеров)

 

 

как вам нравится так и делайте :)

Share this post


Link to post
Share on other sites

/me посмотрел на свою сеть - а то, что у меня 70 мбит на pptp - это меня глючит?

Share this post


Link to post
Share on other sites

Я считаю что пока рано изголяться в IPoE, достаточно перевести сеть на PPPoE, разбить влан на дом и пока остановиться и набирать клиентов.

Проблем никаких - пользователям не так сложно настроить соединение, никаких подмен адресов, все просто отлично.

 

Со временем перейдете на что-то другое года так через 3, тогда может и что получше придумают. Зачем вам лишние затраты?

 

Представьте себе такую ситуацию - людям нужно 2 логина интернета в одной квартире? С PPPoE это легко решаемо с помощью обычного коммутатора.

Share this post


Link to post
Share on other sites
Представьте себе такую ситуацию - людям нужно 2 логина интернета в одной квартире? С PPPoE это легко решаемо с помощью обычного коммутатора.

А зачем два логина? Не проще ли купить какой-нибудь dir100 и сделать nat? (ну или что-нибудь попроизводительней, если тариф из верхних или нужна локалка).

 

 

Share this post


Link to post
Share on other sites

Иногда бывает что каждый хочет именно свой интернет. Или кому-то мало скорости и он подключает себе 2 логина на один адрес.

Да и самое важное - интернет можно отключить или не подключать когда он не нужен. А в предлагаемой схеме интернет всегда включен, выключать же сетевую плату не очень удобно, тем более не все люди обладают достаточными для этого знаниями.

Share this post


Link to post
Share on other sites
Иногда бывает что каждый хочет именно свой интернет.
Очень редко, 1-2 человека на 1000, можно и второй кабель прокинуть в таком случае или распарить в квартире один.

 

Да и самое важное - интернет можно отключить или не подключать когда он не нужен.
Если человеку не нужен интернет, отключить его не составит труда)) В крайнем случае провод вынуть из сетевухи, это проще чем настроить pptp подключение.

Share this post


Link to post
Share on other sites

всегда найдуться маргиналы которые за старые технологии.

вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe?

Share this post


Link to post
Share on other sites
всегда найдуться маргиналы которые за старые технологии.

вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe?

вроде как по традиции PPPoE хотя на 100% не уверен

Share this post


Link to post
Share on other sites

Я бы менял на pppoe с последующим разбиением сети на вланы(с pppoe переразбивка сетей происходит прозрачно для юзера) и привязкой логинов к макам. На несколько лет хватит, а там проще будет просто на IPoE перейти с той же авторизацией по макам или opt82, практически ничего менять и не придется.

Share this post


Link to post
Share on other sites
всегда найдуться маргиналы которые за старые технологии.

вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe?

Сибирьтелеком через PPPoE

Share this post


Link to post
Share on other sites

Я бы менял на pppoe с последующим разбиением сети на вланы(с pppoe переразбивка сетей происходит прозрачно для юзера) и привязкой логинов к макам. На несколько лет хватит, а там проще будет просто на IPoE перейти с той же авторизацией по макам или opt82, практически ничего менять и не придется.

За привязку к МАСам нужно приговаривать к 3-6 месяцам авторизации на входе в туалет по произносимому вслух личному геному.

Share this post


Link to post
Share on other sites

Я бы для начала попытался понять, что не позволяет масштабировать PPTP?

Клиенты указывают сервер по IP-адресу?

 

Второй этап - перевод на DHCP.

Обзванивать тех, кто виден через ARPWatch, но отсутствует в dhcp.leases.

Бороться с левыми DHCP.

 

Третий этап - IP unnumbered. Четвёртый - отказ от PPTP. Можно делать параллельно.

 

Главное - ничего не делать одним махом, не лишать работоспособности больше одного дома за раз.

Например, месяц выключать PPTP днём, затем начать обрывать сессии каждый час и т.д.

Share this post


Link to post
Share on other sites
Я бы для начала попытался понять, что не позволяет масштабировать PPTP?

Клиенты указывают сервер по IP-адресу?

Совершенно верно.

 

 

Share this post


Link to post
Share on other sites
Я бы для начала попытался понять, что не позволяет масштабировать PPTP?

Клиенты указывают сервер по IP-адресу?

 

Второй этап - перевод на DHCP.

Обзванивать тех, кто виден через ARPWatch, но отсутствует в dhcp.leases.

Бороться с левыми DHCP.

 

Третий этап - IP unnumbered. Четвёртый - отказ от PPTP. Можно делать параллельно.

 

Главное - ничего не делать одним махом, не лишать работоспособности больше одного дома за раз.

Например, месяц выключать PPTP днём, затем начать обрывать сессии каждый час и т.д.

Полностью с Вами согласен, внедрять DHCP первым делом.

Share this post


Link to post
Share on other sites

Спасибо за советы, по всей видимости начну с перехода на DHCP, а новые сегменты буду пробовать подключать по IPoE.

Share this post


Link to post
Share on other sites
всегда найдуться маргиналы которые за старые технологии.

вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe?

ЮТК - pppoe.

Раньше собирали на RedBack, теперь начали Juniper.

Edited by marikoda

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this