[nic_stav]

Многоуважаемые форумчане, хотелось бы услышать ваши мнения по поводу модернизации сети, а именно ухода от VPN к чистому IPoE+Ip unnumbered.

Итак, имеется работающая сеть до 2к абонентов. Доступ 100% управляемые железки (3526+ немного 1228МЕ), агрегация 3627G на район (по одной на около 20 свичей/500 хомячков), в центре сети тазики в виде бордера, биллинга, доступа (mikrotik). Внешний трафик до 150 мбит от двух аплинков, само собой AS + PI /21, пиринговые гигабитные стыки с 3 сетями. Тарифы от 512 до 4 мбит. В настоящий момент используется схема с VPN (pptp), что изрядно напрягает (в плане плохой масштабируемости серверов доступа, ибо DHCP прописан не у всех, больших нагрузок на эти самые сервера, как следствие просадок скорости и прочих прелестей pptp). Ip у всех белые. В довершение всего этого кошмара сеть не сегментирована, т.е. грубо говоря все сидят в одном vlan, что тоже не есть гуд. Необходимо привести это все в божеский вид причем минимально трогая самих абонентов. Путей решения видится несколько:

1) Допиливать pptp путем сегментирования сети до vlan на свич, установки серверов доступа с чем-нибудь отличным от микровтыка (Linux, BSD+MPD, cisco???). Минусом этой затеи является необходимость обзвона/обхода многих абонентов с целью прописывания новых настроек подключения.

2) Иммиграция на PPPoE и, как следствие, решения проблемы масштабирования, складывай себе сервачки в стопочку)) Минусы - перенастройка всех(!) абонентов, плюс я сильно подозреваю, что это обмен шила на мыло.

3) Уход к чистому IPoE. Тут есть несколько вариантов, но самым разумным считаю использовать ip unnumbered. Конечно подмывает поэкспериментировать с supervlan от dlink, но это чревато разбегом юзверей в разные стороны. Итак vlan-per-user + IP unnumbered. Что для этого необходимо? На агрегации районов остаются 3627G в качестве L2. В ядре catalyst (какой 65**, 3750G? или только ядром здесь не обойдешься?) + что то из кисок для ISG (что? 7204, 7201, 7301? или linux isg?) бордер с биллингом остаются там же где и есть, то есть на PC. Из минусов все таже перенастройка абонентов, хотя если авторизация "по проводу", то вся настройка сводится к неиспользованию старого VPN подключения. Из плюсов конечно же простая настройка новых абонентов, точнее практически отсутствие таковой ну и отсутствие всяких "штормов" и прочего ибо vlan-per-user.

Что вы думаете по этому поводу?

[terrible]

переходите на pppoe + dhcp, полностью, после чего, при необоходимости, легко перескочите на IPoE

[nic_stav]

переходите на pppoe + dhcp, полностью, после чего, при необоходимости, легко перескочите на IPoE

Тоже логично

[BiWiS]

Настройка всех абонентов на пппое может протекать параллельно с работой пптп.

И бегать по ним не надо, напишите программку автоматического создания пппое соединения, выложите на сайт и дайте объявление, что в течении скажем 1 месяца всем необходимо на нее переключиться. А через месяц просто погасите пптп службы. Остатки не перешедших будут по телефону отправлены ТП на скачку заветной программки.

 

[nic_stav]

Настройка всех абонентов на пппое может протекать параллельно с работой пптп.

И бегать по ним не надо, напишите программку автоматического создания пппое соединения, выложите на сайт и дайте объявление, что в течении скажем 1 месяца всем необходимо на нее переключиться. А через месяц просто погасите пптп службы. Остатки не перешедших будут по телефону отправлены ТП на скачку заветной программки.

К сожалению с юзерскими рутерами данная схема не пройдет, а их (рутеров) достаточно много...

[shicoy]

И не 45-50% юзеров читают информацию на сайте провайдера.

 

В вашем случае пока у вас еще мало абонентов лучше менять глобально, но этапно (по агрегациям).

Т.е. делать как вы говорили, ставить ядро вменяемый BRAS который умеет qinq (если с запасом на будущее).

Для этого подходит практически любой из вендоров (Cisco, Juniper, ALU, Ericsson) выбирайте что называется на вкус и цвет (карман).

Может даже на нем и бордер поднимите.

Основная сложность в данном процессе будет это интеграция BRAS с биллингом.

 

Юзерам опять же проще будет обяснить что ничего им настраивать не надо, что нужно только в настройках сетевой поставить все автоматически.

Опять же может быть получите некий профит в виде радости абонентов что у него теперь все автоматически и не надо напрягаться.

 

С роутерами собственно тоже проблем меньше, достаточно переключить роутер на режим получение IP по DHCP (3-4 клика).

Вообщем пока у вас все не заросло капитально с pptp/l2tp, уходите на нормальную схему.

Изменено 27 августа, 2010 пользователем shicoy

[nic_stav]

ставить ядро вменяемый BRAS который умеет qinq (если с запасом на будущее).

Если из cisco то какой в данном случае имеет смысл ставить? Есть неиспользуемый бандл 7204VRX с npe-300, может имеет смысл его заюзать поменяв модуль на G-1? Там вроде как ISG с успехом поддерживается.

 

Основная сложность в данном процессе будет это интеграция BRAS с биллингом.

Да вроде как не должно быть проблем с этим.

Я сам, честно говоря, склоняюсь к тому, что если что то менять, то не один туннель на другой, хотя возможно придется так и делать.

 

опять же не ясно хватит ли для начала одного 3750 в ядре?

[white_crow]

pptp - это, конечно, унылое гамно. особенно, когда у вас анлимы. И особенно, когда скорости в тарифах уже не 256K - а 2-4 и в будущем - более мегабит/с.

 

Так что ответ на ваш вопрос - стОит "Уход от pptp к IPoE".

[shicoy]

ставить ядро вменяемый BRAS который умеет qinq (если с запасом на будущее).

Если из cisco то какой в данном случае имеет смысл ставить? Есть неиспользуемый бандл 7204VRX с npe-300, может имеет смысл его заюзать поменяв модуль на G-1? Там вроде как ISG с успехом поддерживается.

 

Основная сложность в данном процессе будет это интеграция BRAS с биллингом.

Да вроде как не должно быть проблем с этим.

Я сам, честно говоря, склоняюсь к тому, что если что то менять, то не один туннель на другой, хотя возможно придется так и делать.

 

опять же не ясно хватит ли для начала одного 3750 в ядре?

вы будете qinq vlan использовать обычные vlan? 3750 помоему не умеет ip unnumbered в qinq (мож ошибаюсь)

 

смотрите есть 2 основных принципа построения IPoE

инициализация сессии абонента по событию DHCP Discover и по IP.

- в первом случае вам надо ставить в ядро нормальный брас на который вы заведете свою L2 сеть (соотвественно нужные интерфейсы что бы пропустить трафик)

- во втором случае вы где-то терминируете vlanы абонентов на чем-то вроде cat65 cat3750 + ISG c unclass. source IP detection (для навешивания нужных политик), для isg железо смотрите из своих требований по пропуску трафика (7204 + g1, больше чем 300-350Мбит фул дуплекса не прожует). К тому же схема плохо маштабируемая (не больше 4к юзеров)

 

 

как вам нравится так и делайте :)

[martin74]

/me посмотрел на свою сеть - а то, что у меня 70 мбит на pptp - это меня глючит?

[Saab95]

Я считаю что пока рано изголяться в IPoE, достаточно перевести сеть на PPPoE, разбить влан на дом и пока остановиться и набирать клиентов.

Проблем никаких - пользователям не так сложно настроить соединение, никаких подмен адресов, все просто отлично.

 

Со временем перейдете на что-то другое года так через 3, тогда может и что получше придумают. Зачем вам лишние затраты?

 

Представьте себе такую ситуацию - людям нужно 2 логина интернета в одной квартире? С PPPoE это легко решаемо с помощью обычного коммутатора.

[s.lobanov]

Представьте себе такую ситуацию - людям нужно 2 логина интернета в одной квартире? С PPPoE это легко решаемо с помощью обычного коммутатора.

А зачем два логина? Не проще ли купить какой-нибудь dir100 и сделать nat? (ну или что-нибудь попроизводительней, если тариф из верхних или нужна локалка).

 

 

[Saab95]

Иногда бывает что каждый хочет именно свой интернет. Или кому-то мало скорости и он подключает себе 2 логина на один адрес.

Да и самое важное - интернет можно отключить или не подключать когда он не нужен. А в предлагаемой схеме интернет всегда включен, выключать же сетевую плату не очень удобно, тем более не все люди обладают достаточными для этого знаниями.

[nic_stav]

Иногда бывает что каждый хочет именно свой интернет.

Очень редко, 1-2 человека на 1000, можно и второй кабель прокинуть в таком случае или распарить в квартире один.

 

Да и самое важное - интернет можно отключить или не подключать когда он не нужен.

Если человеку не нужен интернет, отключить его не составит труда)) В крайнем случае провод вынуть из сетевухи, это проще чем настроить pptp подключение.

[shicoy]

всегда найдуться маргиналы которые за старые технологии.

вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe?

[nic_stav]

всегда найдуться маргиналы которые за старые технологии.

вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe?

вроде как по традиции PPPoE хотя на 100% не уверен

[nic_stav]

тема актуальна...

[kayot]

Я бы менял на pppoe с последующим разбиением сети на вланы(с pppoe переразбивка сетей происходит прозрачно для юзера) и привязкой логинов к макам. На несколько лет хватит, а там проще будет просто на IPoE перейти с той же авторизацией по макам или opt82, практически ничего менять и не придется.

[hRUst]

всегда найдуться маргиналы которые за старые технологии.

вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe?

Сибирьтелеком через PPPoE

[vIv]

Я бы менял на pppoe с последующим разбиением сети на вланы(с pppoe переразбивка сетей происходит прозрачно для юзера) и привязкой логинов к макам. На несколько лет хватит, а там проще будет просто на IPoE перейти с той же авторизацией по макам или opt82, практически ничего менять и не придется.

За привязку к МАСам нужно приговаривать к 3-6 месяцам авторизации на входе в туалет по произносимому вслух личному геному.

[Ilya Evseev]

Я бы для начала попытался понять, что не позволяет масштабировать PPTP?

Клиенты указывают сервер по IP-адресу?

 

Второй этап - перевод на DHCP.

Обзванивать тех, кто виден через ARPWatch, но отсутствует в dhcp.leases.

Бороться с левыми DHCP.

 

Третий этап - IP unnumbered. Четвёртый - отказ от PPTP. Можно делать параллельно.

 

Главное - ничего не делать одним махом, не лишать работоспособности больше одного дома за раз.

Например, месяц выключать PPTP днём, затем начать обрывать сессии каждый час и т.д.

[nic_stav]

Я бы для начала попытался понять, что не позволяет масштабировать PPTP?

Клиенты указывают сервер по IP-адресу?

Совершенно верно.

 

 

[shaytan]

Я бы для начала попытался понять, что не позволяет масштабировать PPTP?

Клиенты указывают сервер по IP-адресу?

 

Второй этап - перевод на DHCP.

Обзванивать тех, кто виден через ARPWatch, но отсутствует в dhcp.leases.

Бороться с левыми DHCP.

 

Третий этап - IP unnumbered. Четвёртый - отказ от PPTP. Можно делать параллельно.

 

Главное - ничего не делать одним махом, не лишать работоспособности больше одного дома за раз.

Например, месяц выключать PPTP днём, затем начать обрывать сессии каждый час и т.д.

Полностью с Вами согласен, внедрять DHCP первым делом.

[nic_stav]

Спасибо за советы, по всей видимости начну с перехода на DHCP, а новые сегменты буду пробовать подключать по IPoE.

[marikoda]

всегда найдуться маргиналы которые за старые технологии.

вот интересно МРКшники со своим FTTB как доступ дают по Pppoe или ipoe?

ЮТК - pppoe.

Раньше собирали на RedBack, теперь начали Juniper.

Изменено 29 августа, 2010 пользователем marikoda