seagull Опубликовано 31 августа, 2010 · Жалоба Никак не могу понять, для чего люди городят такие сложности, требующие некислого оборудования, BRAS за дикие деньги, и прочее... Мое видение проблемы - ставяться на доступ свитчи типа 3526, на которых делается привязка IP-MAC-PORT binding некоей самописной софтиной, выбирающей данные из биллинга, по этим же MAC адресам, забитым в биллинг, DHCP раздает IP адреса. На этом же доступе через ACL режется всякая гадость типа нетбиоса. :) На свитч доступа, или на группу, даем один VLAN. Ну агрегация - понятно как обычно, роутит между VLANами со свитчей доступа. В ядре - у нас уже все чистенько, каждый адрес привязан к пользователю, биллим их через netflow. Предполагаю, что не все так гладко, и где-то есть подставы. Не понимаю - где? Единственный минус который вижу - что LAN трафик не идет через ядро, и его нельзя четко контролировать, но это, мне кажется, проблема не большая. Объясните, чем плоха такая схема? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 августа, 2010 · Жалоба Тем, что производители сетевого оборудования остануться без прибыли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
seagull Опубликовано 31 августа, 2010 · Жалоба Тем, что производители сетевого оборудования остануться без прибыли. Ну это все понятно, но смысл вопроса не в этом. Я не говорю, что все вокруг дураки, а я один умный, наоборот - я хочу понять, в чем я заблуждаюсь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 31 августа, 2010 · Жалоба 1. Тупо дешевле. 3526 - относительно недешевая железка. Свитч на "только виланы" может быть раза в два дещевле. И - они могут быть РАЗНЫЕ (представьте, сеть постепенно строится 5-7 лет?). А исключительно удачная и долгоживущая модель 3526 и половины этого срока не прожила. Что, под каждую модель свой подвыверт софта писать? IP unnumbered - куда более простая и масштабируемая технология по сравнению с "самописной софтиной" и IP-MAC-PORT binding. Ничего нет в ней особо дорого. И глюков в ней на два порядка меньше. Жалко только мало железа его умеет. 2. 3526 не умеет нормально резать полосы, "биллить через нетфлов" - это конечно прикольно, только чем? Писюком что ли? Вот тут-то и появляется "жутко дорогой" брас, примерно от доллара на клиента. :-) Брас, кстати, никак с IP unnumbered не связан, это совершенно разные сущности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 31 августа, 2010 · Жалоба Мое видение проблемы - ставяться на доступ свитчи типа 3526, на которых делается привязка IP-MAC-PORT bindingА вы пробовали?Техподдержка спасибо сказала? А абоненты запищали от восторга? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 31 августа, 2010 · Жалоба Инвестиции на 5-7 лет не понять простому оператору из домушников. Они и не планируют так долго жить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
seagull Опубликовано 31 августа, 2010 · Жалоба 1. Да не обязательно 3526, их сейчас поди хватает, которые IMP binding умеют. По любому мыльницу не поставишь. А насчет цены - стоимость этих самых каталистов с unnumbered мне кажется с лихвой перекрывает стоимость умных свитчей на доступ, по крайней мере, до определенных масштабов сети. 2. резать полосы - в смысле трафик шейпить? а не надо его резать на 3526, пусть его режет в ядре роутер. Биллить - да, роутер сливает нетфлов на писюк с биллингом. Или это не кошерно? Насчет браса от доллара на клиента - это опять же вопрос масштабов сети, что-то я брасов за 2000 баксов не видел. ;) Инвестиции на 5-7 лет не понять простому оператору из домушников. Они и не планируют так долго жить.Да куда уж нам, сиволапым. Вы-то наверное родились в датацентре... Мое видение проблемы - ставяться на доступ свитчи типа 3526, на которых делается привязка IP-MAC-PORT bindingА вы пробовали?Техподдержка спасибо сказала? А абоненты запищали от восторга? Честно говоря - пока нет, только планируем. Какие подводные камни? Смена MAC у юзеров - ну это понятно. А что еще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 31 августа, 2010 · Жалоба 1. Да не обязательно 3526, их сейчас поди хватает, которые IMP binding умеют. По любому мыльницу не поставишь.А насчет цены - стоимость этих самых каталистов с unnumbered мне кажется с лихвой перекрывает стоимость умных свитчей на доступ, по крайней мере, до определенных масштабов сети. Гхм. Хватает, но они ... разные! для каждого надо писать свой кусочек софтинки управления, отлаживать его, потом ловить глюки. Каталисты с аннамберед - их надо МАЛО, по железке на много сотен пользователей. Это же уровень агрегации. Да и не такие они дорогие по сравнению с нормально работающими аналогами... 2. резать полосы - в смысле трафик шейпить? а не надо его резать на 3526, пусть его режет в ядре роутер. Биллить - да, роутер сливает нетфлов на писюк с биллингом. Или это не кошерно?Насчет браса от доллара на клиента - это опять же вопрос масштабов сети, что-то я брасов за 2000 баксов не видел. ;) Вот когда писюк будет нормально нарезать полоски на десяток-другой тысяч абонентов - возвращайтесь. ;-)Сискорутер за 2 килобакса тоже бывает, хоть и слабенький. За 10-20к - уже вполне приличные аппаратные решения. Но это уже вопрос скорее удобства, как ни странно админить ИОС получается проще, чем "что-то самописное-которое-настроил-прошлый-админ". Но такие вопрос как связан брас и аннамберед - не раскрыт. Это совершенно разные темы. :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 31 августа, 2010 · Жалоба Честно говоря - пока нет, только планируем. Какие подводные камни? Смена MAC у юзеров - ну это понятно. А что еще?А этого достаточно.Люди обновляют свои компы раз в 2-3 года. Т.е. из 1000 абонентов как минимум у одного в день будет новый мак, в связи с покупкой нового железа. Плюс у кого-то горят сетевухи, материнки, роутеры меняются. Прибавьте их. Прибавьте тех, кто любит привозить с работы ноут и втыкать его вместо системника, за которым днём сидел ребёнок. При 2 тысячах абонентов, возможно, это не сильно мешает - всем объяснять и перепривязывать. Но абонетам всё равно неудобства создаёт. Абонент в идеале должен втыкать - и чтоб у него всё работало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 31 августа, 2010 · Жалоба >IP-MAC-PORT binding Ну вот, Вам надо вносить мак в биллинг, а в схеме vlan-per-user этого делать не надо. В любом случае, надо куда-то(биллинг, тех.учёт, прочее) вносить порт куда подключен абонент, а уже с порта можно забрать номер влана, записать его в базу и т.д. и т.п., как следствие нагрузка на техподдержку, недовольства абонентов при смене компутера и прочие прелести. >Что, под каждую модель свой подвыверт софта писать? Я пишу, всё спроектировано как это пишут в умных книжках по ООП, поэтому новая железка(L2-свитч) - просто новый класс и запись в таблице БД, ну может быть пару десятков строк в общем коде, всё сразу сложно предусмотреть. Самописный софт не проблема, проблема, что в том, что всё равно требуется лишние телодвижения от тех, кто в него будет вносить маки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 31 августа, 2010 · Жалоба Абонент в идеале должен втыкать - и чтоб у него всё работало. +100500!!! Лучший ответ на вопрос ТС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
seagull Опубликовано 31 августа, 2010 · Жалоба Но такие вопрос как связан брас и аннамберед - не раскрыт. Это совершенно разные темы. :-)Да, в этой теме плаваю, согласен.Аннамберед - применяется на агрегации при влан-на-клиента? то есть - сколько клиентов, столько виртуальных интерфейсов? А я где-то видел максимальное количество этих SVI на каталистах, и оно было не такое уж и большое? или SVI тут не причем? А насчет браса - не понятно, а чем он занят, если у нас IPoE, без всяких pppoe, l2tp и прочее? Именно шейпингом-биллингом? Значит в него нужно все по L2 сливать, а не терминировать вланы на агрегации? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_stav Опубликовано 31 августа, 2010 · Жалоба А насчет браса - не понятно, а чем он занят, если у нас IPoE, без всяких pppoe, l2tp и прочее? Именно шейпингом-биллингом? Значит в него нужно все по L2 сливать, а не терминировать вланы на агрегации? shicoy смотрите есть 2 основных принципа построения IPoE инициализация сессии абонента по событию DHCP Discover и по IP. - в первом случае вам надо ставить в ядро нормальный брас на который вы заведете свою L2 сеть (соотвественно нужные интерфейсы что бы пропустить трафик) - во втором случае вы где-то терминируете vlanы абонентов на чем-то вроде cat65 cat3750 + ISG c unclass. source IP detection (для навешивания нужных политик) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 1 сентября, 2010 · Жалоба Аннамберед - применяется на агрегации при влан-на-клиента? то есть - сколько клиентов, столько виртуальных интерфейсов? А я где-то видел максимальное количество этих SVI на каталистах, и оно было не такое уж и большое? или SVI тут не причем? ip аннамберед вешается на SVI Но совсем не обязательно, чтобы был отдельный svi на каждого абонента Собственно, аннамберед в основном удобный способ раздать айпишники в виланы из единого блока без выделения подсетей. А насчет браса - не понятно, а чем он занят, если у нас IPoE, без всяких pppoe, l2tp и прочее? Именно шейпингом-биллингом? Значит в него нужно все по L2 сливать, а не терминировать вланы на агрегации?Одно другому не мешает. Шейпить и биллить можно и по адресу, зачем обязательно L2 сливать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cr_net Опубликовано 1 сентября, 2010 · Жалоба Одно другому не мешает. Шейпить и биллить можно и по адресу, зачем обязательно L2 сливать?Nag, если бы было можно, то не было бы так грустно :) Хотя может я чего не понимаю в новых технологиях :) Nag, можешь тут в кратце набросать схему такой реализации с железом и применяемыми технологиями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 1 сентября, 2010 · Жалоба Nag, если бы было можно, то не было бы так грустно :) Хотя может я чего не понимаю в новых технологиях :) Nag, можешь тут в кратце набросать схему такой реализации с железом и применяемыми технологиями. тут где-то писали про L3 connected DHCP subscribers реализованное на Ericssson (когда Cisco умеет только L2 connected DHCP)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nag Опубликовано 1 сентября, 2010 · Жалоба Nag, если бы было можно, то не было бы так грустно :) Хотя может я чего не понимаю в новых технологиях :) Nag, можешь тут в кратце набросать схему такой реализации с железом и применяемыми технологиями. Типа ищешь статьи, публикуешь, а их не читают. Пока не спровоцируешь. ;-)===== http://nag.ru/articles/article/19213/testi...rtedge-100.html Но зато DHCP умеет по всякому. Есть варианты использования DHCP-сервера средствами самого SE, так и для работы в качестве DHCP Relay для L 2 сетей доступа, и в качестве DHCP Proxy для L 2 или L 3 сетей доступа. При этом последний режим не поддерживается ни cisco ни juniper. В общем на любой вкус и цвет. http://shop.nag.ru/catalog/item/05247 - 15 килобаксов, 8к подписчиков. Но это одномоментно в коробке, значит можно обойтись такой лицензией примерно на сеть из 15к абонентов. Так и получаем ранее заявленный 1 бакс на абонента. Лицензия на 24к стоит примерно 18к (это на сильно здоровую сеть). Но в дешевую коробку оно все равно не полезет, там 4Г предел... ===== Хотя есть и эффективные костыльные варианты (только аннамберинг тут слева, он только адреса экономит). 1. Агрегация, аннамберинг и брас в одном флаконе, на 65-ке. Минус - нужна высокая централизация сети (портов хоть 200-то надо сводить в такую коробку), ну и из политик - только полисинг. Начиная с sup32 работает вполне сносно до 3-4к пользователей. Для средней или небольшой новопостроенной сети - имхо самое дешевое решение. 2. Выдавать айпишники на агрегации с аннамберингом (ну типа c3550-3650) по МАКу (что плохо) или по opt.82. Шейпить на том же 65/76 с их microflow policing или SCE2020 (в последнем варианте имеем DPI - которым режем всякие P2P до необходимого уровня). Тут минус - не сильно красиво и требуется как-то синхронизировать базы агрегации и шепинга. 3. Варианты с порталом и вводом пароля, но это для гостиниц всяких. Хотя встречались и такие провайдеры... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
postuser Опубликовано 1 сентября, 2010 · Жалоба Планирую запустить DHCP с option 82 в сети, где клиент не всегда включен в отдельный порт управляемого коммутатора. Есть два варианта: 1. Клиент - управляемый порт (тут все понятно). 2. Несколько клиентов - управляемый порт. Можно ли комбинировать option 82 и выдачу адреса с привязкой по mac? Есть ли примеры конфигов? Даже в первом случае у клиента может быть несколько ip-адресов на разных ПК (например, внешний и внутренний) и раздавать их нужно именно так, как запросил клиент. То есть в общем случае первого варианта можно сказать нет. Кто как поступает в этих случаях? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 сентября, 2010 · Жалоба Ко всему прибавтьте криворуких технарей, тыкающих патчкорды куда попало, вплоть до собственной жопы. Всё больше убеждаюсь, PPPoE - наше всё! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 1 сентября, 2010 · Жалоба Всё больше убеждаюсь, PPPoE - наше всё! Ага, особенно если сеть жутко разнесенная и маршрутизируемая, да еще и на чужих каналах, где со своими vlan не влезть... Пока спасаемся pptp... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Igor_IVS Опубликовано 1 сентября, 2010 · Жалоба Всё больше убеждаюсь, PPPoE - наше всё! Ага, особенно если сеть жутко разнесенная и маршрутизируемая, да еще и на чужих каналах, где со своими vlan не влезть... Пока спасаемся pptp... "Пока спасаемся pptp..." спихнув проблемы pptp на абонентов, пущай сами думают как создать (и переподнимать когда валится) туннель их забота :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
seagull Опубликовано 1 сентября, 2010 · Жалоба А чем, простите, PPPoE принципиально лучше чем PPTP? Чем хуже - сказать могу: сложнее диагностировать, сложнее балансировать нагрузку между VPN серверами. Чего хорошего то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 1 сентября, 2010 · Жалоба Всё больше убеждаюсь, PPPoE - наше всё! Ага, особенно если сеть жутко разнесенная и маршрутизируемая, да еще и на чужих каналах, где со своими vlan не влезть... Пока спасаемся pptp... Даже если сеть "жутко" разнесённая, соединяем сегменты туннелями, EoIP на MT или IPSec на FreeBSD если нужно стойкое шифрование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 1 сентября, 2010 · Жалоба проблема, что в том, что всё равно требуется лишние телодвижения от тех, кто в него будет вносить маки. не несерьёзно такие вещи говорить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DVM-Avgoor Опубликовано 1 сентября, 2010 · Жалоба DES-3526 была неплохой моделью функционалом, PCF позволяли творить добро не отходя от кассы. Собственно и я шел по тому пути, сделал софтину, вписывал хексовые правила и все было отлично. Однако 3526 были не дико живучи - за 3 года 70% побывало в саморемонте, ~40% безвозвратно. 3028 сильно огорчил: ацл мало и куцые, влан на дом иногда тоже не спасает от "особенностей чипсета". Edge-core ES3528M тоже не без "особенностей" - чтобы работали acl и dhcp snooping там приходилось городить забор из костылей (возможно поправили, простите, не слежу). И так многие вендоры не без греха. В целом VLAN-per-user выглядит привлекательнее зоопарка свитчей со своим cli/snmp и "особенностями хэшей чипсета". Значительно привлекательней, учитывая наличие у некоторых вендоров более-менее адекватной реализации Super-VLAN (VLAN Aggregation) да ip unnumbered on svi. Да и приличный доступ за 150-180$ за 24 порта от "цифровой-китай-сети" опять таки выгоднее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...