Перейти к содержимому
Калькуляторы

Зачем нужны VLAN на клиента, IP unnumbered и прочее?

Никак не могу понять, для чего люди городят такие сложности, требующие некислого оборудования, BRAS за дикие деньги, и прочее...

Мое видение проблемы - ставяться на доступ свитчи типа 3526, на которых делается привязка IP-MAC-PORT binding некоей самописной софтиной, выбирающей данные из биллинга, по этим же MAC адресам, забитым в биллинг, DHCP раздает IP адреса. На этом же доступе через ACL режется всякая гадость типа нетбиоса. :) На свитч доступа, или на группу, даем один VLAN. Ну агрегация - понятно как обычно, роутит между VLANами со свитчей доступа. В ядре - у нас уже все чистенько, каждый адрес привязан к пользователю, биллим их через netflow.

 

Предполагаю, что не все так гладко, и где-то есть подставы. Не понимаю - где? Единственный минус который вижу - что LAN трафик не идет через ядро, и его нельзя четко контролировать, но это, мне кажется, проблема не большая.

Объясните, чем плоха такая схема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тем, что производители сетевого оборудования остануться без прибыли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тем, что производители сетевого оборудования остануться без прибыли.

Ну это все понятно, но смысл вопроса не в этом. Я не говорю, что все вокруг дураки, а я один умный, наоборот - я хочу понять, в чем я заблуждаюсь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Тупо дешевле. 3526 - относительно недешевая железка. Свитч на "только виланы" может быть раза в два дещевле. И - они могут быть РАЗНЫЕ (представьте, сеть постепенно строится 5-7 лет?). А исключительно удачная и долгоживущая модель 3526 и половины этого срока не прожила. Что, под каждую модель свой подвыверт софта писать?

IP unnumbered - куда более простая и масштабируемая технология по сравнению с "самописной софтиной" и IP-MAC-PORT binding. Ничего нет в ней особо дорого. И глюков в ней на два порядка меньше. Жалко только мало железа его умеет.

 

2. 3526 не умеет нормально резать полосы, "биллить через нетфлов" - это конечно прикольно, только чем? Писюком что ли?

Вот тут-то и появляется "жутко дорогой" брас, примерно от доллара на клиента. :-) Брас, кстати, никак с IP unnumbered не связан, это совершенно разные сущности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мое видение проблемы - ставяться на доступ свитчи типа 3526, на которых делается привязка IP-MAC-PORT binding
А вы пробовали?

Техподдержка спасибо сказала?

А абоненты запищали от восторга?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Инвестиции на 5-7 лет не понять простому оператору из домушников. Они и не планируют так долго жить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Да не обязательно 3526, их сейчас поди хватает, которые IMP binding умеют. По любому мыльницу не поставишь.

А насчет цены - стоимость этих самых каталистов с unnumbered мне кажется с лихвой перекрывает стоимость умных свитчей на доступ, по крайней мере, до определенных масштабов сети.

 

2. резать полосы - в смысле трафик шейпить? а не надо его резать на 3526, пусть его режет в ядре роутер. Биллить - да, роутер сливает нетфлов на писюк с биллингом. Или это не кошерно?

Насчет браса от доллара на клиента - это опять же вопрос масштабов сети, что-то я брасов за 2000 баксов не видел. ;)

 

Инвестиции на 5-7 лет не понять простому оператору из домушников. Они и не планируют так долго жить.
Да куда уж нам, сиволапым. Вы-то наверное родились в датацентре...

 

Мое видение проблемы - ставяться на доступ свитчи типа 3526, на которых делается привязка IP-MAC-PORT binding
А вы пробовали?

Техподдержка спасибо сказала?

А абоненты запищали от восторга?

Честно говоря - пока нет, только планируем. Какие подводные камни? Смена MAC у юзеров - ну это понятно. А что еще?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Да не обязательно 3526, их сейчас поди хватает, которые IMP binding умеют. По любому мыльницу не поставишь.

А насчет цены - стоимость этих самых каталистов с unnumbered мне кажется с лихвой перекрывает стоимость умных свитчей на доступ, по крайней мере, до определенных масштабов сети.

Гхм. Хватает, но они ... разные! для каждого надо писать свой кусочек софтинки управления, отлаживать его, потом ловить глюки.

Каталисты с аннамберед - их надо МАЛО, по железке на много сотен пользователей. Это же уровень агрегации. Да и не такие они дорогие по сравнению с нормально работающими аналогами...

 

2. резать полосы - в смысле трафик шейпить? а не надо его резать на 3526, пусть его режет в ядре роутер. Биллить - да, роутер сливает нетфлов на писюк с биллингом. Или это не кошерно?

Насчет браса от доллара на клиента - это опять же вопрос масштабов сети, что-то я брасов за 2000 баксов не видел. ;)

Вот когда писюк будет нормально нарезать полоски на десяток-другой тысяч абонентов - возвращайтесь. ;-)

Сискорутер за 2 килобакса тоже бывает, хоть и слабенький. За 10-20к - уже вполне приличные аппаратные решения.

Но это уже вопрос скорее удобства, как ни странно админить ИОС получается проще, чем "что-то самописное-которое-настроил-прошлый-админ".

 

Но такие вопрос как связан брас и аннамберед - не раскрыт. Это совершенно разные темы. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Честно говоря - пока нет, только планируем. Какие подводные камни? Смена MAC у юзеров - ну это понятно. А что еще?
А этого достаточно.

Люди обновляют свои компы раз в 2-3 года. Т.е. из 1000 абонентов как минимум у одного в день будет новый мак, в связи с покупкой нового железа.

Плюс у кого-то горят сетевухи, материнки, роутеры меняются. Прибавьте их.

Прибавьте тех, кто любит привозить с работы ноут и втыкать его вместо системника, за которым днём сидел ребёнок.

 

При 2 тысячах абонентов, возможно, это не сильно мешает - всем объяснять и перепривязывать. Но абонетам всё равно неудобства создаёт. Абонент в идеале должен втыкать - и чтоб у него всё работало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>IP-MAC-PORT binding

 

Ну вот, Вам надо вносить мак в биллинг, а в схеме vlan-per-user этого делать не надо. В любом случае, надо куда-то(биллинг, тех.учёт, прочее) вносить порт куда подключен абонент, а уже с порта можно забрать номер влана, записать его в базу и т.д. и т.п., как следствие нагрузка на техподдержку, недовольства абонентов при смене компутера и прочие прелести.

 

>Что, под каждую модель свой подвыверт софта писать?

 

Я пишу, всё спроектировано как это пишут в умных книжках по ООП, поэтому новая железка(L2-свитч) - просто новый класс и запись в таблице БД, ну может быть пару десятков строк в общем коде, всё сразу сложно предусмотреть.

Самописный софт не проблема, проблема, что в том, что всё равно требуется лишние телодвижения от тех, кто в него будет вносить маки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Абонент в идеале должен втыкать - и чтоб у него всё работало.

+100500!!! Лучший ответ на вопрос ТС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Но такие вопрос как связан брас и аннамберед - не раскрыт. Это совершенно разные темы. :-)
Да, в этой теме плаваю, согласен.

Аннамберед - применяется на агрегации при влан-на-клиента? то есть - сколько клиентов, столько виртуальных интерфейсов? А я где-то видел максимальное количество этих SVI на каталистах, и оно было не такое уж и большое? или SVI тут не причем?

 

А насчет браса - не понятно, а чем он занят, если у нас IPoE, без всяких pppoe, l2tp и прочее? Именно шейпингом-биллингом? Значит в него нужно все по L2 сливать, а не терминировать вланы на агрегации?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А насчет браса - не понятно, а чем он занят, если у нас IPoE, без всяких pppoe, l2tp и прочее? Именно шейпингом-биллингом? Значит в него нужно все по L2 сливать, а не терминировать вланы на агрегации?
shicoy

смотрите есть 2 основных принципа построения IPoE

инициализация сессии абонента по событию DHCP Discover и по IP.

- в первом случае вам надо ставить в ядро нормальный брас на который вы заведете свою L2 сеть (соотвественно нужные интерфейсы что бы пропустить трафик)

- во втором случае вы где-то терминируете vlanы абонентов на чем-то вроде cat65 cat3750 + ISG c unclass. source IP detection (для навешивания нужных политик)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аннамберед - применяется на агрегации при влан-на-клиента? то есть - сколько клиентов, столько виртуальных интерфейсов? А я где-то видел максимальное количество этих SVI на каталистах, и оно было не такое уж и большое? или SVI тут не причем?

ip аннамберед вешается на SVI

Но совсем не обязательно, чтобы был отдельный svi на каждого абонента

Собственно, аннамберед в основном удобный способ раздать айпишники в виланы из единого блока без выделения подсетей.

 

А насчет браса - не понятно, а чем он занят, если у нас IPoE, без всяких pppoe, l2tp и прочее? Именно шейпингом-биллингом? Значит в него нужно все по L2 сливать, а не терминировать вланы на агрегации?
Одно другому не мешает. Шейпить и биллить можно и по адресу, зачем обязательно L2 сливать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Одно другому не мешает. Шейпить и биллить можно и по адресу, зачем обязательно L2 сливать?
Nag, если бы было можно, то не было бы так грустно :)

Хотя может я чего не понимаю в новых технологиях :) Nag, можешь тут в кратце набросать схему такой реализации с железом и применяемыми технологиями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag, если бы было можно, то не было бы так грустно :)

Хотя может я чего не понимаю в новых технологиях :) Nag, можешь тут в кратце набросать схему такой реализации с железом и применяемыми технологиями.

тут где-то писали про L3 connected DHCP subscribers реализованное на Ericssson (когда Cisco умеет только L2 connected DHCP)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag, если бы было можно, то не было бы так грустно :)

Хотя может я чего не понимаю в новых технологиях :) Nag, можешь тут в кратце набросать схему такой реализации с железом и применяемыми технологиями.

Типа ищешь статьи, публикуешь, а их не читают. Пока не спровоцируешь. ;-)

=====

http://nag.ru/articles/article/19213/testi...rtedge-100.html

Но зато DHCP умеет по всякому. Есть варианты использования DHCP-сервера средствами самого SE, так и для работы в качестве DHCP Relay для L 2 сетей доступа, и в качестве DHCP Proxy для L 2 или L 3 сетей доступа. При этом последний режим не поддерживается ни cisco ни juniper. В общем на любой вкус и цвет.

http://shop.nag.ru/catalog/item/05247 - 15 килобаксов, 8к подписчиков. Но это одномоментно в коробке, значит можно обойтись такой лицензией примерно на сеть из 15к абонентов.

Так и получаем ранее заявленный 1 бакс на абонента.

 

Лицензия на 24к стоит примерно 18к (это на сильно здоровую сеть). Но в дешевую коробку оно все равно не полезет, там 4Г предел...

=====

 

Хотя есть и эффективные костыльные варианты (только аннамберинг тут слева, он только адреса экономит).

1. Агрегация, аннамберинг и брас в одном флаконе, на 65-ке. Минус - нужна высокая централизация сети (портов хоть 200-то надо сводить в такую коробку), ну и из политик - только полисинг. Начиная с sup32 работает вполне сносно до 3-4к пользователей.

Для средней или небольшой новопостроенной сети - имхо самое дешевое решение.

 

2. Выдавать айпишники на агрегации с аннамберингом (ну типа c3550-3650) по МАКу (что плохо) или по opt.82.

Шейпить на том же 65/76 с их microflow policing или SCE2020 (в последнем варианте имеем DPI - которым режем всякие P2P до необходимого уровня). Тут минус - не сильно красиво и требуется как-то синхронизировать базы агрегации и шепинга.

 

3. Варианты с порталом и вводом пароля, но это для гостиниц всяких. Хотя встречались и такие провайдеры...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Планирую запустить DHCP с option 82 в сети, где клиент не всегда включен в отдельный порт управляемого коммутатора.

Есть два варианта:

1. Клиент - управляемый порт (тут все понятно).

2. Несколько клиентов - управляемый порт.

Можно ли комбинировать option 82 и выдачу адреса с привязкой по mac? Есть ли примеры конфигов?

Даже в первом случае у клиента может быть несколько ip-адресов на разных ПК (например, внешний и внутренний) и раздавать их нужно именно так, как запросил клиент. То есть в общем случае первого варианта можно сказать нет.

Кто как поступает в этих случаях?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ко всему прибавтьте криворуких технарей, тыкающих патчкорды куда попало, вплоть до собственной жопы.

Всё больше убеждаюсь, PPPoE - наше всё!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё больше убеждаюсь, PPPoE - наше всё!

Ага, особенно если сеть жутко разнесенная и маршрутизируемая, да еще и на чужих каналах, где со своими vlan не влезть... Пока спасаемся pptp...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё больше убеждаюсь, PPPoE - наше всё!

Ага, особенно если сеть жутко разнесенная и маршрутизируемая, да еще и на чужих каналах, где со своими vlan не влезть... Пока спасаемся pptp...

"Пока спасаемся pptp..." спихнув проблемы pptp на абонентов, пущай сами думают как создать (и переподнимать когда валится) туннель их забота :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А чем, простите, PPPoE принципиально лучше чем PPTP? Чем хуже - сказать могу: сложнее диагностировать, сложнее балансировать нагрузку между VPN серверами.

Чего хорошего то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё больше убеждаюсь, PPPoE - наше всё!

Ага, особенно если сеть жутко разнесенная и маршрутизируемая, да еще и на чужих каналах, где со своими vlan не влезть... Пока спасаемся pptp...

Даже если сеть "жутко" разнесённая, соединяем сегменты туннелями, EoIP на MT или IPSec на FreeBSD если нужно стойкое шифрование.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

проблема, что в том, что всё равно требуется лишние телодвижения от тех, кто в него будет вносить маки.

не несерьёзно такие вещи говорить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DES-3526 была неплохой моделью функционалом, PCF позволяли творить добро не отходя от кассы. Собственно и я шел по тому пути, сделал софтину, вписывал хексовые правила и все было отлично. Однако 3526 были не дико живучи - за 3 года 70% побывало в саморемонте, ~40% безвозвратно. 3028 сильно огорчил: ацл мало и куцые, влан на дом иногда тоже не спасает от "особенностей чипсета". Edge-core ES3528M тоже не без "особенностей" - чтобы работали acl и dhcp snooping там приходилось городить забор из костылей (возможно поправили, простите, не слежу). И так многие вендоры не без греха.

 

В целом VLAN-per-user выглядит привлекательнее зоопарка свитчей со своим cli/snmp и "особенностями хэшей чипсета". Значительно привлекательней, учитывая наличие у некоторых вендоров более-менее адекватной реализации Super-VLAN (VLAN Aggregation) да ip unnumbered on svi. Да и приличный доступ за 150-180$ за 24 порта от "цифровой-китай-сети" опять таки выгоднее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.