borin Опубликовано 10 сентября, 2010 · Жалоба Предполагаемая схема построения сети такая: [L2 дом] \ [L2 агрегация]-[cisco 3750]-[NAS LINUX].... / [L2 дом] Каждого пользователя в свой VLAN, но получается 1000 абонентов это 1000+служебные VLAN, все это хозяйство вести на NAS Linux и там поднимать 1000 VLAN, и получается надо запускать 1000 экземпляров pppoe-server. Думал на циске реализовать следующую схему, например 1порт-tag, сюда приходит линк с агрегации, 2порт-untag подключен NAS, и добавить 2 порт во все 1000 VLAN, тогда бы получилось пользователи не видят друг друга, но все видят сервер, опять же мне пояснили что в циске 1 порт-1влан. Можно конечно VLAN на коммутатор+traffic segmentation, VLAN становится в разы меньше. Посоветуйте правильную схему реализации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Giga-Byte Опубликовано 10 сентября, 2010 · Жалоба зачем вам для технологии PPPoE влан на юзера? если бы было IPoE тогда другое дело. изолируйте юзеров при помощи port-based vlan например свичами Compex PS-2216 или Planet FSD-1600. далее на аггрегации (я уверен, должен быть умный свич) либо изолируйте дома с помошью switchport protected (cisco) / traffic_segmentation (dlink) и один тэгированый влан - на все порты аггрегации либо с помошью влан на порт всё зависит от масштабов, я для нашей сети выбла влан на аггрегацию, как более-менее правильное решение с обслуживанием магистрали и нескольких колец MSTP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
borin Опубликовано 11 сентября, 2010 (изменено) · Жалоба зачем вам для технологии PPPoE влан на юзера?Изолировал и все пусть живет в своем маленьком домене, хакерит.... :) Ну думаю тогда так, vlan на коммутатор + traffic segmentation на коммутаторе, это порядка 40 VLAN и заводить все это на NAS - думаю справится.... Если бы можно было не поднимать все 1000 VLAN на NAS, можно и vlan per user. Изменено 11 сентября, 2010 пользователем borin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 11 сентября, 2010 · Жалоба В случае IPoE в чистом виде NAS и не нужен. В случае ухода от помегабайтных тарифов задача облегчается в разы. Подумайте еще раз о развитии сети. Если есть возможность - стройте IPoE на VLAN per User. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 сентября, 2010 · Жалоба >Ну думаю тогда так, vlan на коммутатор + traffic segmentation на коммутаторе, это порядка 40 VLAN и заводить все это на NAS - думаю справится.... вот это правильно для pppoe >Подумайте еще раз о развитии сети. Если есть возможность - стройте IPoE на VLAN per User. На линуксе(или фре) слишком неудобно терминировать кучу вланов. В vlan-per-user надо вкладываться в оборудование или нанимать пару гуру-админов(что всё-таки реализовать это на писюке), что в итоге выйдет ещё дороже, чем покупать железо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 11 сентября, 2010 · Жалоба На линуксе(или фре) слишком неудобно терминировать кучу вланов. Чем неудобно? Линукс чуток тупит при генерировании интерфейсов, но вы же не перегружаете его каждый час? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 сентября, 2010 · Жалоба Неудобно хотя бы тем, что вывод ifconfig будет огромным, отсутсвует привязка индекса к интерфейсу, сервисы типа ntpd наровят биндиться на все ip адреса сервера, т.е. всякий хлам будет в netstat'е, ну и так если копнуть, то думаю, что ещё и другие неудобства всплывут(предположительно, с конфигурированием dhcpd). Я не утверждаю что нельзя, а говорю что неудобно администрировать это поделие будет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 11 сентября, 2010 · Жалоба Да, с isc-dhcpd будет та ещё мазурка 8))) Их там два надо, - один релеем, второй, собственно, с конфигом. Или выносить конфиг в БД. С тем, что вместо одного события будут тыщи - согласен. Просто это как-то тюнится и привыкается, - я дискомфота не чувствовал. Правда, привычка "| less" у меня и до того была ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 11 сентября, 2010 (изменено) · Жалоба Согласен. Дело привычки. По поводу дороже-дешевле... При росте количества пользователей нет необходимости увеличивать количество или производительность насов. У пользователя при IPoE ничего не надо настраивать - DHCP и все. Нет возни при подключении нескольких ПК. Управление сводится к нарезке полосы на интерфейсе-влане и поднятию-отключению влана или редиректе на страничку биллинга. Разве это не удобства? От доступа требуется 802.1q ну может еще порт изолейшен. Не думаю что при нескольких тысячах абонентов работа админов будет стоить дороже оборудования. И это при том, что изначально на несколько тысяч абонентов админ подразумевается смышленый. Изменено 11 сентября, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 11 сентября, 2010 · Жалоба Тут появились относительно недорогие CPE-шки, - уже по 38 баксов, - так-что в принципе можно заворачивать желающих простоты на них. 90М+ локалки по PPPoE тянут. Можно при желании их на 802.1X допилить. То-есть теперь уже не так уже и безвариантно делать удобный интернет - строго по IPoE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 сентября, 2010 · Жалоба >Не думаю что при нескольких тысячах абонентов работа админов будет стоить дороже оборудования. зависит от уровня зарпалаты, т.е. от фактически от страны/города. Не знаю сколько работа гуру-админов в Украине, но в провинциальном городе России можно нанять таких за 35 тыр чистыми. Если он будет один, то это огромный риск для бизнеса, т.к. в случае его ухода придётся ещё пару недель разбираться как это всё работает, какие костыли там накручены и т.д, как это всё диагностировать. В первом приближении получается ~80тыр в месяц за двух админов. Итого за год около 1млн рублей(а ещё организация рабочего места и прочая лабуда). Большая это сумма или маленькая и что на неё можно купить каждый решает сам. Но думаю, что для сети с абонентской базой 1000-2000 эта сумма всё-таки имеет значение. ИМХО схема с терминированием абонентов на линуксе имеет право на существование, только если админ сам имеет долю в компании, в противном же случае надо ставить что-то cisco-подобное, в конфиге которой сможет разобраться пришедший с улицы человек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 11 сентября, 2010 · Жалоба генерирование нескольких тыщ ОДНОТИПНЫХ интерфейсов запросто можно вынести в отдельный файлик, - в итоге конфиги будут практически такие же, как и без них. В файлике будет высокоинтеллектуальный скрипт с одним циклом и одной переменной для него =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 11 сентября, 2010 · Жалоба >Не думаю что при нескольких тысячах абонентов работа админов будет стоить дороже оборудования. зависит от уровня зарпалаты, т.е. от фактически от страны/города. Не знаю сколько работа гуру-админов в Украине, но в провинциальном городе России можно нанять таких за 35 тыр чистыми. Если он будет один, то это огромный риск для бизнеса, т.к. в случае его ухода придётся ещё пару недель разбираться как это всё работает, какие костыли там накручены и т.д, как это всё диагностировать. В первом приближении получается ~80тыр в месяц за двух админов. Итого за год около 1млн рублей(а ещё организация рабочего места и прочая лабуда). Большая это сумма или маленькая и что на неё можно купить каждый решает сам. Но думаю, что для сети с абонентской базой 1000-2000 эта сумма всё-таки имеет значение. ИМХО схема с терминированием абонентов на линуксе имеет право на существование, только если админ сам имеет долю в компании, в противном же случае надо ставить что-то cisco-подобное, в конфиге которой сможет разобраться пришедший с улицы человек. Стоимость решения от cisco для терминирования 2000 абонентов с возможным ростом до 5000 с начальным трафиком 200 мегабит с ростом до 1000 с применением 3 аплинков и мешаниной ната и реальных ип. Вопрос не для спора. Хочу увидеть от вас эскизное решение.Стоить это все будет прилично. Тот же АСР1000 серии набитый и в сдвоенной конфигурации влетит в копеечку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vovan-pmr Опубликовано 11 сентября, 2010 · Жалоба да, но ASR 1000 потянет гораздо больше юзеров и трафика чем озвученные выше цифры. это для более серьезных провайдеров. а для таких целей и парочки 7206VXR с NPE G2 будет достаточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 11 сентября, 2010 · Жалоба Цена вопроса? И с оглядкой на зп для чуть более толкогово админа, который умеет читать тот же наг и документацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 сентября, 2010 · Жалоба Стоимость решения от cisco для терминирования 2000 абонентов с возможным ростом до 5000 с начальным трафиком 200 мегабит с ростом до 1000 с применением 3 аплинков и мешаниной ната и реальных ип. Вопрос не для спора. Хочу увидеть от вас эскизное решение.Стоить это все будет прилично. Тот же АСР1000 серии набитый и в сдвоенной конфигурации влетит в копеечку. На счёт ната ничего не могу сказать, но раз уж речь зашла конкретно о cisco и vlan-per-user, то нафиг nat, делать ip unnumbered, адреса по dhcp. вот что-то типа такого http://ciscovod.blogspot.com/2009/02/cisco-isg.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 11 сентября, 2010 · Жалоба Там столько денег надо... Если строить на cisco... Кстати, только я считаю, что софтовый раутер/нас на PC не сложнее обслуживать чем тот же высоконагруженный cisco-девайс? А иногда из-за мороки с ИОСами (и пока лавочку не прикрыли, это еще можно сделать) даже в разы тяжелее. Про цены даже не говорим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 11 сентября, 2010 · Жалоба Смотря для чего. Для нервов - спорно. По уму надо бы предлагаемые улучшения обкатывать в лабе. Если root@noc приходит к техдиру с предложением "а давай купим пару АСР1000 в средненькой набивочке в лабу - мы играться будем", то его очень просто отшивают нафиг, да и он всё понимает и таких глупых вопросов задавать не будет. В случае с "парочкой тазиков 4*iC7" - его предложение уже не выглядит вот так прям с-ходу дебильным. Но денег всё-равно жалко: это ж игрушка для админов, а не молотилка для приносящих бабло юзеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 11 сентября, 2010 · Жалоба Стоимость решения от cisco для терминирования 2000 абонентов с возможным ростом до 5000 с начальным трафиком 200 мегабит с ростом до 1000 с применением 3 аплинков и мешаниной ната и реальных ип. Вопрос не для спора. Хочу увидеть от вас эскизное решение.Стоить это все будет прилично. Тот же АСР1000 серии набитый и в сдвоенной конфигурации влетит в копеечку. Почему-то все последнее время на ASRе зациклились. Есть же проверенное временем решение: ESR10008. Даже с PRE2 5000 тыщ прожует без проблем... http://shop.nag.ru/catalog/item/04177 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 сентября, 2010 · Жалоба Кстати, только я считаю, что софтовый раутер/нас на PC не сложнее обслуживать чем тот же высоконагруженный cisco-девайс? А иногда из-за мороки с ИОСами (и пока лавочку не прикрыли, это еще можно сделать) даже в разы тяжелее. Про цены даже не говорим. Ну скажем так, лично Вам может и проще, но если учесть что специалистов уровня ccna+ на рынке труда навалом(да и к тому же есть отличные курсы от cisco, где всему этому научат меньше, чем за месяц), а тех, кто готов изобразить брас различными костылями на линуксе на порядок меньше(и как правило они со сверхвысоким ЧСВ, с которыми неприятно общаться), то вопрос просто упрётся в кадры(или з/п этим кадрам) Мало того, надо смотреть в будущее. Всё-таки стоит надеятся на то, что уровень з/п в странах бывшего СССР будет приближаться к так называемым "цивилизованным" странам, то тогда вопрос о стоимости обслуживания всплывёт вновь, просто сейчас бывает проще нанять ещё пару человек для поддержания сети, построенной на китайском оеме и писюках, чем вкладывать деньги в нормальное оборудование. Если же экономическая ситуация будет ухудшаться, то тогда, конечно, сдвиг пойдёт к костялым и дешёвейшему оборудованию, а не к правильному дизайну и брендам(с нормальной документацией, поддержкой, оттестированным ПО) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 11 сентября, 2010 · Жалоба Ну скажем так, лично Вам может и проще, но если учесть что специалистов уровня ccna+ на рынке труда навалом(да и к тому же есть отличные курсы от cisco, где всему этому научат меньше, чем за месяц), а тех, кто готов изобразить брас различными костылями на линуксе на порядок меньше(и как правило они со сверхвысоким ЧСВ, с которыми неприятно общаться), то вопрос просто упрётся в кадры(или з/п этим кадрам) Ну тут всё-таки надо минимум CCNP, да и то не факт, что хватит. А в остальном у вас ложное представление, мне кажется. Линуксоидов уровня script-kiddie море и они дешёвые. Вот как-раз потому, что линукс дома поставить может кто угодно, а ту же асашку дома под диваном нечасто найдёшь. Опеннет и Лыссяра тоже не дремлют и старательно взращивают молодёжь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 сентября, 2010 (изменено) · Жалоба Ну скажем так, лично Вам может и проще, но если учесть что специалистов уровня ccna+ на рынке труда навалом(да и к тому же есть отличные курсы от cisco, где всему этому научат меньше, чем за месяц), а тех, кто готов изобразить брас различными костылями на линуксе на порядок меньше(и как правило они со сверхвысоким ЧСВ, с которыми неприятно общаться), то вопрос просто упрётся в кадры(или з/п этим кадрам)Ну тут всё-таки надо минимум CCNP, да и то не факт, что хватит. А в остальном у вас ложное представление, мне кажется. Линуксоидов уровня script-kiddie море и они дешёвые. Вот как-раз потому, что линукс дома поставить может кто угодно, а ту же асашку дома под диваном нечасто найдёшь. Опеннет и Лыссяра тоже не дремлют и старательно взращивают молодёжь. Ну я написал ccna+, подразумеваю, что к ccna надо ещё как минимум bgp(ну да ладно, тут мы друг друга поняли). Про опеннет, лиссяру - там не операторский уровень(а уровня предприятия), т.е. большая часть обсуждаемых тем типа как поднять nat для выпуска планктона в интернет, как сделать балансировку/failover двух дефолтов, как зарулить трафик на сквид, чтоб сделать прозрачную прокси и прочие простейшие вещи, бывают конечно интересные темы, но редко. Поднять asa можно на gns3, было бы желание, да, под нагрузкой погонять не получится, но чтобы научиться конфигурировать и диагностировать проблемы не связанные с нагрузкой, я думаю, достаточно. 72ые циски тоже поднимаются на gns3, широко известный факт. И люди готовятся на нём к сдаче циско-экзаменов различного уровня. Изменено 11 сентября, 2010 пользователем s.lobanov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 11 сентября, 2010 · Жалоба Каждого пользователя в свой VLAN, но получается 1000 абонентов это 1000+служебные VLAN, все это хозяйство вести на NAS Linux и там поднимать 1000 VLAN, и получается надо запускать 1000 экземпляров pppoe-server..Если уж так хочется vlan на юзера + pppoe - почему бы и нет. 1000 одинаковых безадресных виланов поднять нет проблем, ну будет сервис network минут 10 стартовать, от этого ни холодно и не жарко. Далее, pppoe-server можно(и нужно) запускать с целой пачкой интерфейсов на которых он будет слушать, вешать каждый на 20-30 вланов и число загруженных экземпляров сразу придет к вполне нормальным десяткам штук. Вполне рабочая схема, и ничего излишне сложного тут нет. Разве что смысл pppoe в такой сети непонятен :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 11 сентября, 2010 · Жалоба Здесь просто при применении PPPoE пойдет жуткий оверхед из-за VLAN per User. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 11 сентября, 2010 · Жалоба Оверхед чего? Адресов на виланах не будет, только на поднятых тоннелях. А пппое в этом плане наверное самый экономный) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...