nic_stav Опубликовано 27 августа, 2010 · Жалоба Многоуважаемые форумчане, хотелось бы услышать ваши мнения по поводу модернизации сети, а именно ухода от VPN к чистому IPoE+Ip unnumbered. Итак, имеется работающая сеть до 2к абонентов. Доступ 100% управляемые железки (3526+ немного 1228МЕ), агрегация 3627G на район (по одной на около 20 свичей/500 хомячков), в центре сети тазики в виде бордера, биллинга, доступа (mikrotik). Внешний трафик до 150 мбит от двух аплинков, само собой AS + PI /21, пиринговые гигабитные стыки с 3 сетями. Тарифы от 512 до 4 мбит. В настоящий момент используется схема с VPN (pptp), что изрядно напрягает (в плане плохой масштабируемости серверов доступа, ибо DHCP прописан не у всех, больших нагрузок на эти самые сервера, как следствие просадок скорости и прочих прелестей pptp). Ip у всех белые. В довершение всего этого кошмара сеть не сегментирована, т.е. грубо говоря все сидят в одном vlan, что тоже не есть гуд. Необходимо привести это все в божеский вид причем минимально трогая самих абонентов. Путей решения видится несколько: 1) Допиливать pptp путем сегментирования сети до vlan на свич, установки серверов доступа с чем-нибудь отличным от микровтыка (Linux, BSD+MPD, cisco???). Минусом этой затеи является необходимость обзвона/обхода многих абонентов с целью прописывания новых настроек подключения. 2) Иммиграция на PPPoE и, как следствие, решения проблемы масштабирования, складывай себе сервачки в стопочку)) Минусы - перенастройка всех(!) абонентов, плюс я сильно подозреваю, что это обмен шила на мыло. 3) Уход к чистому IPoE. Тут есть несколько вариантов, но самым разумным считаю использовать ip unnumbered. Конечно подмывает поэкспериментировать с supervlan от dlink, но это чревато разбегом юзверей в разные стороны. Итак vlan-per-user + IP unnumbered. Что для этого необходимо? На агрегации районов остаются 3627G в качестве L2. В ядре catalyst (какой 65**, 3750G? или только ядром здесь не обойдешься?) + что то из кисок для ISG (что? 7204, 7201, 7301? или linux isg?) бордер с биллингом остаются там же где и есть, то есть на PC. Из минусов все таже перенастройка абонентов, хотя если авторизация "по проводу", то вся настройка сводится к неиспользованию старого VPN подключения. Из плюсов конечно же простая настройка новых абонентов, точнее практически отсутствие таковой ну и отсутствие всяких "штормов" и прочего ибо vlan-per-user. Что вы думаете по этому поводу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 27 августа, 2010 · Жалоба переходите на pppoe + dhcp, полностью, после чего, при необоходимости, легко перескочите на IPoE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 27 августа, 2010 · Жалоба переходите на pppoe + dhcp, полностью, после чего, при необоходимости, легко перескочите на IPoE Тоже логично Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BiWiS Опубликовано 27 августа, 2010 · Жалоба Настройка всех абонентов на пппое может протекать параллельно с работой пптп. И бегать по ним не надо, напишите программку автоматического создания пппое соединения, выложите на сайт и дайте объявление, что в течении скажем 1 месяца всем необходимо на нее переключиться. А через месяц просто погасите пптп службы. Остатки не перешедших будут по телефону отправлены ТП на скачку заветной программки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 27 августа, 2010 · Жалоба Настройка всех абонентов на пппое может протекать параллельно с работой пптп.И бегать по ним не надо, напишите программку автоматического создания пппое соединения, выложите на сайт и дайте объявление, что в течении скажем 1 месяца всем необходимо на нее переключиться. А через месяц просто погасите пптп службы. Остатки не перешедших будут по телефону отправлены ТП на скачку заветной программки. К сожалению с юзерскими рутерами данная схема не пройдет, а их (рутеров) достаточно много... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 27 августа, 2010 (изменено) · Жалоба И не 45-50% юзеров читают информацию на сайте провайдера. В вашем случае пока у вас еще мало абонентов лучше менять глобально, но этапно (по агрегациям). Т.е. делать как вы говорили, ставить ядро вменяемый BRAS который умеет qinq (если с запасом на будущее). Для этого подходит практически любой из вендоров (Cisco, Juniper, ALU, Ericsson) выбирайте что называется на вкус и цвет (карман). Может даже на нем и бордер поднимите. Основная сложность в данном процессе будет это интеграция BRAS с биллингом. Юзерам опять же проще будет обяснить что ничего им настраивать не надо, что нужно только в настройках сетевой поставить все автоматически. Опять же может быть получите некий профит в виде радости абонентов что у него теперь все автоматически и не надо напрягаться. С роутерами собственно тоже проблем меньше, достаточно переключить роутер на режим получение IP по DHCP (3-4 клика). Вообщем пока у вас все не заросло капитально с pptp/l2tp, уходите на нормальную схему. Изменено 27 августа, 2010 пользователем shicoy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 27 августа, 2010 · Жалоба ставить ядро вменяемый BRAS который умеет qinq (если с запасом на будущее).Если из cisco то какой в данном случае имеет смысл ставить? Есть неиспользуемый бандл 7204VRX с npe-300, может имеет смысл его заюзать поменяв модуль на G-1? Там вроде как ISG с успехом поддерживается. Основная сложность в данном процессе будет это интеграция BRAS с биллингом.Да вроде как не должно быть проблем с этим.Я сам, честно говоря, склоняюсь к тому, что если что то менять, то не один туннель на другой, хотя возможно придется так и делать. опять же не ясно хватит ли для начала одного 3750 в ядре? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 27 августа, 2010 · Жалоба pptp - это, конечно, унылое гамно. особенно, когда у вас анлимы. И особенно, когда скорости в тарифах уже не 256K - а 2-4 и в будущем - более мегабит/с. Так что ответ на ваш вопрос - стОит "Уход от pptp к IPoE". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 27 августа, 2010 · Жалоба ставить ядро вменяемый BRAS который умеет qinq (если с запасом на будущее).Если из cisco то какой в данном случае имеет смысл ставить? Есть неиспользуемый бандл 7204VRX с npe-300, может имеет смысл его заюзать поменяв модуль на G-1? Там вроде как ISG с успехом поддерживается. Основная сложность в данном процессе будет это интеграция BRAS с биллингом.Да вроде как не должно быть проблем с этим.Я сам, честно говоря, склоняюсь к тому, что если что то менять, то не один туннель на другой, хотя возможно придется так и делать. опять же не ясно хватит ли для начала одного 3750 в ядре? вы будете qinq vlan использовать обычные vlan? 3750 помоему не умеет ip unnumbered в qinq (мож ошибаюсь) смотрите есть 2 основных принципа построения IPoE инициализация сессии абонента по событию DHCP Discover и по IP. - в первом случае вам надо ставить в ядро нормальный брас на который вы заведете свою L2 сеть (соотвественно нужные интерфейсы что бы пропустить трафик) - во втором случае вы где-то терминируете vlanы абонентов на чем-то вроде cat65 cat3750 + ISG c unclass. source IP detection (для навешивания нужных политик), для isg железо смотрите из своих требований по пропуску трафика (7204 + g1, больше чем 300-350Мбит фул дуплекса не прожует). К тому же схема плохо маштабируемая (не больше 4к юзеров) как вам нравится так и делайте :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 27 августа, 2010 · Жалоба /me посмотрел на свою сеть - а то, что у меня 70 мбит на pptp - это меня глючит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 августа, 2010 · Жалоба Я считаю что пока рано изголяться в IPoE, достаточно перевести сеть на PPPoE, разбить влан на дом и пока остановиться и набирать клиентов. Проблем никаких - пользователям не так сложно настроить соединение, никаких подмен адресов, все просто отлично. Со временем перейдете на что-то другое года так через 3, тогда может и что получше придумают. Зачем вам лишние затраты? Представьте себе такую ситуацию - людям нужно 2 логина интернета в одной квартире? С PPPoE это легко решаемо с помощью обычного коммутатора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 августа, 2010 · Жалоба Представьте себе такую ситуацию - людям нужно 2 логина интернета в одной квартире? С PPPoE это легко решаемо с помощью обычного коммутатора. А зачем два логина? Не проще ли купить какой-нибудь dir100 и сделать nat? (ну или что-нибудь попроизводительней, если тариф из верхних или нужна локалка). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 августа, 2010 · Жалоба Иногда бывает что каждый хочет именно свой интернет. Или кому-то мало скорости и он подключает себе 2 логина на один адрес. Да и самое важное - интернет можно отключить или не подключать когда он не нужен. А в предлагаемой схеме интернет всегда включен, выключать же сетевую плату не очень удобно, тем более не все люди обладают достаточными для этого знаниями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 27 августа, 2010 · Жалоба Иногда бывает что каждый хочет именно свой интернет.Очень редко, 1-2 человека на 1000, можно и второй кабель прокинуть в таком случае или распарить в квартире один. Да и самое важное - интернет можно отключить или не подключать когда он не нужен.Если человеку не нужен интернет, отключить его не составит труда)) В крайнем случае провод вынуть из сетевухи, это проще чем настроить pptp подключение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 27 августа, 2010 · Жалоба всегда найдуться маргиналы которые за старые технологии. вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 27 августа, 2010 · Жалоба всегда найдуться маргиналы которые за старые технологии.вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe? вроде как по традиции PPPoE хотя на 100% не уверен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 28 августа, 2010 · Жалоба тема актуальна... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 28 августа, 2010 · Жалоба Я бы менял на pppoe с последующим разбиением сети на вланы(с pppoe переразбивка сетей происходит прозрачно для юзера) и привязкой логинов к макам. На несколько лет хватит, а там проще будет просто на IPoE перейти с той же авторизацией по макам или opt82, практически ничего менять и не придется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hRUst Опубликовано 28 августа, 2010 · Жалоба всегда найдуться маргиналы которые за старые технологии.вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe? Сибирьтелеком через PPPoE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 28 августа, 2010 · Жалоба Я бы менял на pppoe с последующим разбиением сети на вланы(с pppoe переразбивка сетей происходит прозрачно для юзера) и привязкой логинов к макам. На несколько лет хватит, а там проще будет просто на IPoE перейти с той же авторизацией по макам или opt82, практически ничего менять и не придется. За привязку к МАСам нужно приговаривать к 3-6 месяцам авторизации на входе в туалет по произносимому вслух личному геному. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 28 августа, 2010 · Жалоба Я бы для начала попытался понять, что не позволяет масштабировать PPTP? Клиенты указывают сервер по IP-адресу? Второй этап - перевод на DHCP. Обзванивать тех, кто виден через ARPWatch, но отсутствует в dhcp.leases. Бороться с левыми DHCP. Третий этап - IP unnumbered. Четвёртый - отказ от PPTP. Можно делать параллельно. Главное - ничего не делать одним махом, не лишать работоспособности больше одного дома за раз. Например, месяц выключать PPTP днём, затем начать обрывать сессии каждый час и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 28 августа, 2010 · Жалоба Я бы для начала попытался понять, что не позволяет масштабировать PPTP?Клиенты указывают сервер по IP-адресу? Совершенно верно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 29 августа, 2010 · Жалоба Я бы для начала попытался понять, что не позволяет масштабировать PPTP?Клиенты указывают сервер по IP-адресу? Второй этап - перевод на DHCP. Обзванивать тех, кто виден через ARPWatch, но отсутствует в dhcp.leases. Бороться с левыми DHCP. Третий этап - IP unnumbered. Четвёртый - отказ от PPTP. Можно делать параллельно. Главное - ничего не делать одним махом, не лишать работоспособности больше одного дома за раз. Например, месяц выключать PPTP днём, затем начать обрывать сессии каждый час и т.д. Полностью с Вами согласен, внедрять DHCP первым делом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 29 августа, 2010 · Жалоба Спасибо за советы, по всей видимости начну с перехода на DHCP, а новые сегменты буду пробовать подключать по IPoE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 29 августа, 2010 (изменено) · Жалоба всегда найдуться маргиналы которые за старые технологии.вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe? ЮТК - pppoe.Раньше собирали на RedBack, теперь начали Juniper. Изменено 29 августа, 2010 пользователем marikoda Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...