Jump to content
Калькуляторы

Зачем нужны VLAN на клиента, IP unnumbered и прочее?

Никак не могу понять, для чего люди городят такие сложности, требующие некислого оборудования, BRAS за дикие деньги, и прочее...

Мое видение проблемы - ставяться на доступ свитчи типа 3526, на которых делается привязка IP-MAC-PORT binding некоей самописной софтиной, выбирающей данные из биллинга, по этим же MAC адресам, забитым в биллинг, DHCP раздает IP адреса. На этом же доступе через ACL режется всякая гадость типа нетбиоса. :) На свитч доступа, или на группу, даем один VLAN. Ну агрегация - понятно как обычно, роутит между VLANами со свитчей доступа. В ядре - у нас уже все чистенько, каждый адрес привязан к пользователю, биллим их через netflow.

 

Предполагаю, что не все так гладко, и где-то есть подставы. Не понимаю - где? Единственный минус который вижу - что LAN трафик не идет через ядро, и его нельзя четко контролировать, но это, мне кажется, проблема не большая.

Объясните, чем плоха такая схема?

Share this post


Link to post
Share on other sites

Тем, что производители сетевого оборудования остануться без прибыли.

Share this post


Link to post
Share on other sites

Тем, что производители сетевого оборудования остануться без прибыли.

Ну это все понятно, но смысл вопроса не в этом. Я не говорю, что все вокруг дураки, а я один умный, наоборот - я хочу понять, в чем я заблуждаюсь?

Share this post


Link to post
Share on other sites

1. Тупо дешевле. 3526 - относительно недешевая железка. Свитч на "только виланы" может быть раза в два дещевле. И - они могут быть РАЗНЫЕ (представьте, сеть постепенно строится 5-7 лет?). А исключительно удачная и долгоживущая модель 3526 и половины этого срока не прожила. Что, под каждую модель свой подвыверт софта писать?

IP unnumbered - куда более простая и масштабируемая технология по сравнению с "самописной софтиной" и IP-MAC-PORT binding. Ничего нет в ней особо дорого. И глюков в ней на два порядка меньше. Жалко только мало железа его умеет.

 

2. 3526 не умеет нормально резать полосы, "биллить через нетфлов" - это конечно прикольно, только чем? Писюком что ли?

Вот тут-то и появляется "жутко дорогой" брас, примерно от доллара на клиента. :-) Брас, кстати, никак с IP unnumbered не связан, это совершенно разные сущности.

Share this post


Link to post
Share on other sites
Мое видение проблемы - ставяться на доступ свитчи типа 3526, на которых делается привязка IP-MAC-PORT binding
А вы пробовали?

Техподдержка спасибо сказала?

А абоненты запищали от восторга?

Share this post


Link to post
Share on other sites

Инвестиции на 5-7 лет не понять простому оператору из домушников. Они и не планируют так долго жить.

Share this post


Link to post
Share on other sites

1. Да не обязательно 3526, их сейчас поди хватает, которые IMP binding умеют. По любому мыльницу не поставишь.

А насчет цены - стоимость этих самых каталистов с unnumbered мне кажется с лихвой перекрывает стоимость умных свитчей на доступ, по крайней мере, до определенных масштабов сети.

 

2. резать полосы - в смысле трафик шейпить? а не надо его резать на 3526, пусть его режет в ядре роутер. Биллить - да, роутер сливает нетфлов на писюк с биллингом. Или это не кошерно?

Насчет браса от доллара на клиента - это опять же вопрос масштабов сети, что-то я брасов за 2000 баксов не видел. ;)

 

Инвестиции на 5-7 лет не понять простому оператору из домушников. Они и не планируют так долго жить.
Да куда уж нам, сиволапым. Вы-то наверное родились в датацентре...

 

Мое видение проблемы - ставяться на доступ свитчи типа 3526, на которых делается привязка IP-MAC-PORT binding
А вы пробовали?

Техподдержка спасибо сказала?

А абоненты запищали от восторга?

Честно говоря - пока нет, только планируем. Какие подводные камни? Смена MAC у юзеров - ну это понятно. А что еще?

 

Share this post


Link to post
Share on other sites
1. Да не обязательно 3526, их сейчас поди хватает, которые IMP binding умеют. По любому мыльницу не поставишь.

А насчет цены - стоимость этих самых каталистов с unnumbered мне кажется с лихвой перекрывает стоимость умных свитчей на доступ, по крайней мере, до определенных масштабов сети.

Гхм. Хватает, но они ... разные! для каждого надо писать свой кусочек софтинки управления, отлаживать его, потом ловить глюки.

Каталисты с аннамберед - их надо МАЛО, по железке на много сотен пользователей. Это же уровень агрегации. Да и не такие они дорогие по сравнению с нормально работающими аналогами...

 

2. резать полосы - в смысле трафик шейпить? а не надо его резать на 3526, пусть его режет в ядре роутер. Биллить - да, роутер сливает нетфлов на писюк с биллингом. Или это не кошерно?

Насчет браса от доллара на клиента - это опять же вопрос масштабов сети, что-то я брасов за 2000 баксов не видел. ;)

Вот когда писюк будет нормально нарезать полоски на десяток-другой тысяч абонентов - возвращайтесь. ;-)

Сискорутер за 2 килобакса тоже бывает, хоть и слабенький. За 10-20к - уже вполне приличные аппаратные решения.

Но это уже вопрос скорее удобства, как ни странно админить ИОС получается проще, чем "что-то самописное-которое-настроил-прошлый-админ".

 

Но такие вопрос как связан брас и аннамберед - не раскрыт. Это совершенно разные темы. :-)

Share this post


Link to post
Share on other sites
Честно говоря - пока нет, только планируем. Какие подводные камни? Смена MAC у юзеров - ну это понятно. А что еще?
А этого достаточно.

Люди обновляют свои компы раз в 2-3 года. Т.е. из 1000 абонентов как минимум у одного в день будет новый мак, в связи с покупкой нового железа.

Плюс у кого-то горят сетевухи, материнки, роутеры меняются. Прибавьте их.

Прибавьте тех, кто любит привозить с работы ноут и втыкать его вместо системника, за которым днём сидел ребёнок.

 

При 2 тысячах абонентов, возможно, это не сильно мешает - всем объяснять и перепривязывать. Но абонетам всё равно неудобства создаёт. Абонент в идеале должен втыкать - и чтоб у него всё работало.

Share this post


Link to post
Share on other sites

>IP-MAC-PORT binding

 

Ну вот, Вам надо вносить мак в биллинг, а в схеме vlan-per-user этого делать не надо. В любом случае, надо куда-то(биллинг, тех.учёт, прочее) вносить порт куда подключен абонент, а уже с порта можно забрать номер влана, записать его в базу и т.д. и т.п., как следствие нагрузка на техподдержку, недовольства абонентов при смене компутера и прочие прелести.

 

>Что, под каждую модель свой подвыверт софта писать?

 

Я пишу, всё спроектировано как это пишут в умных книжках по ООП, поэтому новая железка(L2-свитч) - просто новый класс и запись в таблице БД, ну может быть пару десятков строк в общем коде, всё сразу сложно предусмотреть.

Самописный софт не проблема, проблема, что в том, что всё равно требуется лишние телодвижения от тех, кто в него будет вносить маки.

Share this post


Link to post
Share on other sites
Абонент в идеале должен втыкать - и чтоб у него всё работало.

+100500!!! Лучший ответ на вопрос ТС.

Share this post


Link to post
Share on other sites
Но такие вопрос как связан брас и аннамберед - не раскрыт. Это совершенно разные темы. :-)
Да, в этой теме плаваю, согласен.

Аннамберед - применяется на агрегации при влан-на-клиента? то есть - сколько клиентов, столько виртуальных интерфейсов? А я где-то видел максимальное количество этих SVI на каталистах, и оно было не такое уж и большое? или SVI тут не причем?

 

А насчет браса - не понятно, а чем он занят, если у нас IPoE, без всяких pppoe, l2tp и прочее? Именно шейпингом-биллингом? Значит в него нужно все по L2 сливать, а не терминировать вланы на агрегации?

Share this post


Link to post
Share on other sites
А насчет браса - не понятно, а чем он занят, если у нас IPoE, без всяких pppoe, l2tp и прочее? Именно шейпингом-биллингом? Значит в него нужно все по L2 сливать, а не терминировать вланы на агрегации?
shicoy

смотрите есть 2 основных принципа построения IPoE

инициализация сессии абонента по событию DHCP Discover и по IP.

- в первом случае вам надо ставить в ядро нормальный брас на который вы заведете свою L2 сеть (соотвественно нужные интерфейсы что бы пропустить трафик)

- во втором случае вы где-то терминируете vlanы абонентов на чем-то вроде cat65 cat3750 + ISG c unclass. source IP detection (для навешивания нужных политик)

Share this post


Link to post
Share on other sites
Аннамберед - применяется на агрегации при влан-на-клиента? то есть - сколько клиентов, столько виртуальных интерфейсов? А я где-то видел максимальное количество этих SVI на каталистах, и оно было не такое уж и большое? или SVI тут не причем?

ip аннамберед вешается на SVI

Но совсем не обязательно, чтобы был отдельный svi на каждого абонента

Собственно, аннамберед в основном удобный способ раздать айпишники в виланы из единого блока без выделения подсетей.

 

А насчет браса - не понятно, а чем он занят, если у нас IPoE, без всяких pppoe, l2tp и прочее? Именно шейпингом-биллингом? Значит в него нужно все по L2 сливать, а не терминировать вланы на агрегации?
Одно другому не мешает. Шейпить и биллить можно и по адресу, зачем обязательно L2 сливать?

Share this post


Link to post
Share on other sites
Одно другому не мешает. Шейпить и биллить можно и по адресу, зачем обязательно L2 сливать?
Nag, если бы было можно, то не было бы так грустно :)

Хотя может я чего не понимаю в новых технологиях :) Nag, можешь тут в кратце набросать схему такой реализации с железом и применяемыми технологиями.

Share this post


Link to post
Share on other sites
Nag, если бы было можно, то не было бы так грустно :)

Хотя может я чего не понимаю в новых технологиях :) Nag, можешь тут в кратце набросать схему такой реализации с железом и применяемыми технологиями.

тут где-то писали про L3 connected DHCP subscribers реализованное на Ericssson (когда Cisco умеет только L2 connected DHCP)...

Share this post


Link to post
Share on other sites
Nag, если бы было можно, то не было бы так грустно :)

Хотя может я чего не понимаю в новых технологиях :) Nag, можешь тут в кратце набросать схему такой реализации с железом и применяемыми технологиями.

Типа ищешь статьи, публикуешь, а их не читают. Пока не спровоцируешь. ;-)

=====

http://nag.ru/articles/article/19213/testi...rtedge-100.html

Но зато DHCP умеет по всякому. Есть варианты использования DHCP-сервера средствами самого SE, так и для работы в качестве DHCP Relay для L 2 сетей доступа, и в качестве DHCP Proxy для L 2 или L 3 сетей доступа. При этом последний режим не поддерживается ни cisco ни juniper. В общем на любой вкус и цвет.

http://shop.nag.ru/catalog/item/05247 - 15 килобаксов, 8к подписчиков. Но это одномоментно в коробке, значит можно обойтись такой лицензией примерно на сеть из 15к абонентов.

Так и получаем ранее заявленный 1 бакс на абонента.

 

Лицензия на 24к стоит примерно 18к (это на сильно здоровую сеть). Но в дешевую коробку оно все равно не полезет, там 4Г предел...

=====

 

Хотя есть и эффективные костыльные варианты (только аннамберинг тут слева, он только адреса экономит).

1. Агрегация, аннамберинг и брас в одном флаконе, на 65-ке. Минус - нужна высокая централизация сети (портов хоть 200-то надо сводить в такую коробку), ну и из политик - только полисинг. Начиная с sup32 работает вполне сносно до 3-4к пользователей.

Для средней или небольшой новопостроенной сети - имхо самое дешевое решение.

 

2. Выдавать айпишники на агрегации с аннамберингом (ну типа c3550-3650) по МАКу (что плохо) или по opt.82.

Шейпить на том же 65/76 с их microflow policing или SCE2020 (в последнем варианте имеем DPI - которым режем всякие P2P до необходимого уровня). Тут минус - не сильно красиво и требуется как-то синхронизировать базы агрегации и шепинга.

 

3. Варианты с порталом и вводом пароля, но это для гостиниц всяких. Хотя встречались и такие провайдеры...

Share this post


Link to post
Share on other sites

Планирую запустить DHCP с option 82 в сети, где клиент не всегда включен в отдельный порт управляемого коммутатора.

Есть два варианта:

1. Клиент - управляемый порт (тут все понятно).

2. Несколько клиентов - управляемый порт.

Можно ли комбинировать option 82 и выдачу адреса с привязкой по mac? Есть ли примеры конфигов?

Даже в первом случае у клиента может быть несколько ip-адресов на разных ПК (например, внешний и внутренний) и раздавать их нужно именно так, как запросил клиент. То есть в общем случае первого варианта можно сказать нет.

Кто как поступает в этих случаях?

Share this post


Link to post
Share on other sites

Ко всему прибавтьте криворуких технарей, тыкающих патчкорды куда попало, вплоть до собственной жопы.

Всё больше убеждаюсь, PPPoE - наше всё!

 

Share this post


Link to post
Share on other sites
Всё больше убеждаюсь, PPPoE - наше всё!

Ага, особенно если сеть жутко разнесенная и маршрутизируемая, да еще и на чужих каналах, где со своими vlan не влезть... Пока спасаемся pptp...

Share this post


Link to post
Share on other sites
Всё больше убеждаюсь, PPPoE - наше всё!

Ага, особенно если сеть жутко разнесенная и маршрутизируемая, да еще и на чужих каналах, где со своими vlan не влезть... Пока спасаемся pptp...

"Пока спасаемся pptp..." спихнув проблемы pptp на абонентов, пущай сами думают как создать (и переподнимать когда валится) туннель их забота :)

Share this post


Link to post
Share on other sites

А чем, простите, PPPoE принципиально лучше чем PPTP? Чем хуже - сказать могу: сложнее диагностировать, сложнее балансировать нагрузку между VPN серверами.

Чего хорошего то?

Share this post


Link to post
Share on other sites
Всё больше убеждаюсь, PPPoE - наше всё!

Ага, особенно если сеть жутко разнесенная и маршрутизируемая, да еще и на чужих каналах, где со своими vlan не влезть... Пока спасаемся pptp...

Даже если сеть "жутко" разнесённая, соединяем сегменты туннелями, EoIP на MT или IPSec на FreeBSD если нужно стойкое шифрование.

Share this post


Link to post
Share on other sites

проблема, что в том, что всё равно требуется лишние телодвижения от тех, кто в него будет вносить маки.

не несерьёзно такие вещи говорить

Share this post


Link to post
Share on other sites

DES-3526 была неплохой моделью функционалом, PCF позволяли творить добро не отходя от кассы. Собственно и я шел по тому пути, сделал софтину, вписывал хексовые правила и все было отлично. Однако 3526 были не дико живучи - за 3 года 70% побывало в саморемонте, ~40% безвозвратно. 3028 сильно огорчил: ацл мало и куцые, влан на дом иногда тоже не спасает от "особенностей чипсета". Edge-core ES3528M тоже не без "особенностей" - чтобы работали acl и dhcp snooping там приходилось городить забор из костылей (возможно поправили, простите, не слежу). И так многие вендоры не без греха.

 

В целом VLAN-per-user выглядит привлекательнее зоопарка свитчей со своим cli/snmp и "особенностями хэшей чипсета". Значительно привлекательней, учитывая наличие у некоторых вендоров более-менее адекватной реализации Super-VLAN (VLAN Aggregation) да ip unnumbered on svi. Да и приличный доступ за 150-180$ за 24 порта от "цифровой-китай-сети" опять таки выгоднее.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this