Jump to content
Калькуляторы

vlan per user + pppoe

Предполагаемая схема построения сети такая:

 

[L2 дом]
         \
          [L2 агрегация]-[cisco 3750]-[NAS LINUX]....
         / 
[L2 дом]

 

Каждого пользователя в свой VLAN, но получается 1000 абонентов это 1000+служебные VLAN, все это хозяйство вести на NAS Linux и там поднимать 1000 VLAN, и получается надо запускать 1000 экземпляров pppoe-server. Думал на циске реализовать следующую схему, например 1порт-tag, сюда приходит линк с агрегации, 2порт-untag подключен NAS, и добавить 2 порт во все 1000 VLAN, тогда бы получилось пользователи не видят друг друга, но все видят сервер, опять же мне пояснили что в циске 1 порт-1влан.

Можно конечно VLAN на коммутатор+traffic segmentation, VLAN становится в разы меньше.

 

 

Посоветуйте правильную схему реализации.

Share this post


Link to post
Share on other sites

зачем вам для технологии PPPoE влан на юзера? если бы было IPoE тогда другое дело.

 

изолируйте юзеров при помощи port-based vlan например свичами Compex PS-2216 или Planet FSD-1600.

далее на аггрегации (я уверен, должен быть умный свич) либо изолируйте дома с помошью switchport protected (cisco) / traffic_segmentation (dlink) и один тэгированый влан - на все порты аггрегации либо с помошью влан на порт

 

всё зависит от масштабов, я для нашей сети выбла влан на аггрегацию, как более-менее правильное решение с обслуживанием магистрали и нескольких колец MSTP

Share this post


Link to post
Share on other sites
зачем вам для технологии PPPoE влан на юзера?
Изолировал и все пусть живет в своем маленьком домене, хакерит.... :)

 

Ну думаю тогда так, vlan на коммутатор + traffic segmentation на коммутаторе, это порядка 40 VLAN и заводить все это на NAS - думаю справится....

 

Если бы можно было не поднимать все 1000 VLAN на NAS, можно и vlan per user.

Edited by borin

Share this post


Link to post
Share on other sites

В случае IPoE в чистом виде NAS и не нужен. В случае ухода от помегабайтных тарифов задача облегчается в разы.

Подумайте еще раз о развитии сети. Если есть возможность - стройте IPoE на VLAN per User.

 

Share this post


Link to post
Share on other sites

>Ну думаю тогда так, vlan на коммутатор + traffic segmentation на коммутаторе, это порядка 40 VLAN и заводить все это на NAS - думаю справится....

 

вот это правильно для pppoe

 

>Подумайте еще раз о развитии сети. Если есть возможность - стройте IPoE на VLAN per User.

 

На линуксе(или фре) слишком неудобно терминировать кучу вланов. В vlan-per-user надо вкладываться в оборудование или нанимать пару гуру-админов(что всё-таки реализовать это на писюке), что в итоге выйдет ещё дороже, чем покупать железо.

Share this post


Link to post
Share on other sites

На линуксе(или фре) слишком неудобно терминировать кучу вланов.

Чем неудобно? Линукс чуток тупит при генерировании интерфейсов, но вы же не перегружаете его каждый час?

Share this post


Link to post
Share on other sites

Неудобно хотя бы тем, что вывод ifconfig будет огромным, отсутсвует привязка индекса к интерфейсу, сервисы типа ntpd наровят биндиться на все ip адреса сервера, т.е. всякий хлам будет в netstat'е, ну и так если копнуть, то думаю, что ещё и другие неудобства всплывут(предположительно, с конфигурированием dhcpd). Я не утверждаю что нельзя, а говорю что неудобно администрировать это поделие будет

Share this post


Link to post
Share on other sites

Да, с isc-dhcpd будет та ещё мазурка 8))) Их там два надо, - один релеем, второй, собственно, с конфигом. Или выносить конфиг в БД. С тем, что вместо одного события будут тыщи - согласен. Просто это как-то тюнится и привыкается, - я дискомфота не чувствовал. Правда, привычка "| less" у меня и до того была ;-)

Share this post


Link to post
Share on other sites

Согласен. Дело привычки.

По поводу дороже-дешевле... При росте количества пользователей нет необходимости увеличивать количество или производительность насов. У пользователя при IPoE ничего не надо настраивать - DHCP и все. Нет возни при подключении нескольких ПК.

Управление сводится к нарезке полосы на интерфейсе-влане и поднятию-отключению влана или редиректе на страничку биллинга. Разве это не удобства?

От доступа требуется 802.1q ну может еще порт изолейшен. Не думаю что при нескольких тысячах абонентов работа админов будет стоить дороже оборудования. И это при том, что изначально на несколько тысяч абонентов админ подразумевается смышленый.

Edited by yakuzzza

Share this post


Link to post
Share on other sites

Тут появились относительно недорогие CPE-шки, - уже по 38 баксов, - так-что в принципе можно заворачивать желающих простоты на них. 90М+ локалки по PPPoE тянут. Можно при желании их на 802.1X допилить.

 

То-есть теперь уже не так уже и безвариантно делать удобный интернет - строго по IPoE

Share this post


Link to post
Share on other sites

>Не думаю что при нескольких тысячах абонентов работа админов будет стоить дороже оборудования.

 

зависит от уровня зарпалаты, т.е. от фактически от страны/города.

Не знаю сколько работа гуру-админов в Украине, но в провинциальном городе России можно нанять таких за 35 тыр чистыми. Если он будет один, то это огромный риск для бизнеса, т.к. в случае его ухода придётся ещё пару недель разбираться как это всё работает, какие костыли там накручены и т.д, как это всё диагностировать. В первом приближении получается ~80тыр в месяц за двух админов. Итого за год около 1млн рублей(а ещё организация рабочего места и прочая лабуда). Большая это сумма или маленькая и что на неё можно купить каждый решает сам. Но думаю, что для сети с абонентской базой 1000-2000 эта сумма всё-таки имеет значение.

ИМХО схема с терминированием абонентов на линуксе имеет право на существование, только если админ сам имеет долю в компании, в противном же случае надо ставить что-то cisco-подобное, в конфиге которой сможет разобраться пришедший с улицы человек.

Share this post


Link to post
Share on other sites

генерирование нескольких тыщ ОДНОТИПНЫХ интерфейсов запросто можно вынести в отдельный файлик, - в итоге конфиги будут практически такие же, как и без них. В файлике будет высокоинтеллектуальный скрипт с одним циклом и одной переменной для него =)

Share this post


Link to post
Share on other sites
>Не думаю что при нескольких тысячах абонентов работа админов будет стоить дороже оборудования.

 

зависит от уровня зарпалаты, т.е. от фактически от страны/города.

Не знаю сколько работа гуру-админов в Украине, но в провинциальном городе России можно нанять таких за 35 тыр чистыми. Если он будет один, то это огромный риск для бизнеса, т.к. в случае его ухода придётся ещё пару недель разбираться как это всё работает, какие костыли там накручены и т.д, как это всё диагностировать. В первом приближении получается ~80тыр в месяц за двух админов. Итого за год около 1млн рублей(а ещё организация рабочего места и прочая лабуда). Большая это сумма или маленькая и что на неё можно купить каждый решает сам. Но думаю, что для сети с абонентской базой 1000-2000 эта сумма всё-таки имеет значение.

ИМХО схема с терминированием абонентов на линуксе имеет право на существование, только если админ сам имеет долю в компании, в противном же случае надо ставить что-то cisco-подобное, в конфиге которой сможет разобраться пришедший с улицы человек.

Стоимость решения от cisco для терминирования 2000 абонентов с возможным ростом до 5000 с начальным трафиком 200 мегабит с ростом до 1000 с применением 3 аплинков и мешаниной ната и реальных ип. Вопрос не для спора. Хочу увидеть от вас эскизное решение.

Стоить это все будет прилично. Тот же АСР1000 серии набитый и в сдвоенной конфигурации влетит в копеечку.

Share this post


Link to post
Share on other sites

да, но ASR 1000 потянет гораздо больше юзеров и трафика чем озвученные выше цифры. это для более серьезных провайдеров. а для таких целей и парочки 7206VXR с NPE G2 будет достаточно.

Share this post


Link to post
Share on other sites

Цена вопроса? И с оглядкой на зп для чуть более толкогово админа, который умеет читать тот же наг и документацию.

Share this post


Link to post
Share on other sites
Стоимость решения от cisco для терминирования 2000 абонентов с возможным ростом до 5000 с начальным трафиком 200 мегабит с ростом до 1000 с применением 3 аплинков и мешаниной ната и реальных ип. Вопрос не для спора. Хочу увидеть от вас эскизное решение.

Стоить это все будет прилично. Тот же АСР1000 серии набитый и в сдвоенной конфигурации влетит в копеечку.

На счёт ната ничего не могу сказать, но раз уж речь зашла конкретно о cisco и vlan-per-user, то нафиг nat, делать ip unnumbered, адреса по dhcp. вот что-то типа такого http://ciscovod.blogspot.com/2009/02/cisco-isg.html

Share this post


Link to post
Share on other sites

Там столько денег надо... Если строить на cisco...

Кстати, только я считаю, что софтовый раутер/нас на PC не сложнее обслуживать чем тот же высоконагруженный cisco-девайс? А иногда из-за мороки с ИОСами (и пока лавочку не прикрыли, это еще можно сделать) даже в разы тяжелее. Про цены даже не говорим.

Share this post


Link to post
Share on other sites

Смотря для чего. Для нервов - спорно. По уму надо бы предлагаемые улучшения обкатывать в лабе. Если root@noc приходит к техдиру с предложением "а давай купим пару АСР1000 в средненькой набивочке в лабу - мы играться будем", то его очень просто отшивают нафиг, да и он всё понимает и таких глупых вопросов задавать не будет. В случае с "парочкой тазиков 4*iC7" - его предложение уже не выглядит вот так прям с-ходу дебильным. Но денег всё-равно жалко: это ж игрушка для админов, а не молотилка для приносящих бабло юзеров.

Share this post


Link to post
Share on other sites
Стоимость решения от cisco для терминирования 2000 абонентов с возможным ростом до 5000 с начальным трафиком 200 мегабит с ростом до 1000 с применением 3 аплинков и мешаниной ната и реальных ип. Вопрос не для спора. Хочу увидеть от вас эскизное решение.

Стоить это все будет прилично. Тот же АСР1000 серии набитый и в сдвоенной конфигурации влетит в копеечку.

Почему-то все последнее время на ASRе зациклились. Есть же проверенное временем решение:

ESR10008. Даже с PRE2 5000 тыщ прожует без проблем...

http://shop.nag.ru/catalog/item/04177

Share this post


Link to post
Share on other sites
Кстати, только я считаю, что софтовый раутер/нас на PC не сложнее обслуживать чем тот же высоконагруженный cisco-девайс? А иногда из-за мороки с ИОСами (и пока лавочку не прикрыли, это еще можно сделать) даже в разы тяжелее. Про цены даже не говорим.

Ну скажем так, лично Вам может и проще, но если учесть что специалистов уровня ccna+ на рынке труда навалом(да и к тому же есть отличные курсы от cisco, где всему этому научат меньше, чем за месяц), а тех, кто готов изобразить брас различными костылями на линуксе на порядок меньше(и как правило они со сверхвысоким ЧСВ, с которыми неприятно общаться), то вопрос просто упрётся в кадры(или з/п этим кадрам)

 

Мало того, надо смотреть в будущее. Всё-таки стоит надеятся на то, что уровень з/п в странах бывшего СССР будет приближаться к так называемым "цивилизованным" странам, то тогда вопрос о стоимости обслуживания всплывёт вновь, просто сейчас бывает проще нанять ещё пару человек для поддержания сети, построенной на китайском оеме и писюках, чем вкладывать деньги в нормальное оборудование. Если же экономическая ситуация будет ухудшаться, то тогда, конечно, сдвиг пойдёт к костялым и дешёвейшему оборудованию, а не к правильному дизайну и брендам(с нормальной документацией, поддержкой, оттестированным ПО)

Share this post


Link to post
Share on other sites

Ну скажем так, лично Вам может и проще, но если учесть что специалистов уровня ccna+ на рынке труда навалом(да и к тому же есть отличные курсы от cisco, где всему этому научат меньше, чем за месяц), а тех, кто готов изобразить брас различными костылями на линуксе на порядок меньше(и как правило они со сверхвысоким ЧСВ, с которыми неприятно общаться), то вопрос просто упрётся в кадры(или з/п этим кадрам)

Ну тут всё-таки надо минимум CCNP, да и то не факт, что хватит. А в остальном у вас ложное представление, мне кажется. Линуксоидов уровня script-kiddie море и они дешёвые. Вот как-раз потому, что линукс дома поставить может кто угодно, а ту же асашку дома под диваном нечасто найдёшь. Опеннет и Лыссяра тоже не дремлют и старательно взращивают молодёжь.

Share this post


Link to post
Share on other sites
Ну скажем так, лично Вам может и проще, но если учесть что специалистов уровня ccna+ на рынке труда навалом(да и к тому же есть отличные курсы от cisco, где всему этому научат меньше, чем за месяц), а тех, кто готов изобразить брас различными костылями на линуксе на порядок меньше(и как правило они со сверхвысоким ЧСВ, с которыми неприятно общаться), то вопрос просто упрётся в кадры(или з/п этим кадрам)
Ну тут всё-таки надо минимум CCNP, да и то не факт, что хватит. А в остальном у вас ложное представление, мне кажется. Линуксоидов уровня script-kiddie море и они дешёвые. Вот как-раз потому, что линукс дома поставить может кто угодно, а ту же асашку дома под диваном нечасто найдёшь. Опеннет и Лыссяра тоже не дремлют и старательно взращивают молодёжь.

Ну я написал ccna+, подразумеваю, что к ccna надо ещё как минимум bgp(ну да ладно, тут мы друг друга поняли). Про опеннет, лиссяру - там не операторский уровень(а уровня предприятия), т.е. большая часть обсуждаемых тем типа как поднять nat для выпуска планктона в интернет, как сделать балансировку/failover двух дефолтов, как зарулить трафик на сквид, чтоб сделать прозрачную прокси и прочие простейшие вещи, бывают конечно интересные темы, но редко.

Поднять asa можно на gns3, было бы желание, да, под нагрузкой погонять не получится, но чтобы научиться конфигурировать и диагностировать проблемы не связанные с нагрузкой, я думаю, достаточно. 72ые циски тоже поднимаются на gns3, широко известный факт. И люди готовятся на нём к сдаче циско-экзаменов различного уровня.

Edited by s.lobanov

Share this post


Link to post
Share on other sites
Каждого пользователя в свой VLAN, но получается 1000 абонентов это 1000+служебные VLAN, все это хозяйство вести на NAS Linux и там поднимать 1000 VLAN, и получается надо запускать 1000 экземпляров pppoe-server..
Если уж так хочется vlan на юзера + pppoe - почему бы и нет. 1000 одинаковых безадресных виланов поднять нет проблем, ну будет сервис network минут 10 стартовать, от этого ни холодно и не жарко.

Далее, pppoe-server можно(и нужно) запускать с целой пачкой интерфейсов на которых он будет слушать, вешать каждый на 20-30 вланов и число загруженных экземпляров сразу придет к вполне нормальным десяткам штук.

Вполне рабочая схема, и ничего излишне сложного тут нет. Разве что смысл pppoe в такой сети непонятен :)

Share this post


Link to post
Share on other sites

Здесь просто при применении PPPoE пойдет жуткий оверхед из-за VLAN per User.

Share this post


Link to post
Share on other sites

Оверхед чего? Адресов на виланах не будет, только на поднятых тоннелях. А пппое в этом плане наверное самый экономный)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this