postuser Опубликовано 29 октября, 2010 (изменено) · Жалоба Подскажите, пожалуйста, как лучше распределять внешние адреса для абонентов. Сеть построена по принципу vlan на дом/группу домов. Есть вариант поднимать сетку /29 на каждый vlan (т.е. дом), но для этого придется резервировать много адресов. Если выдавать адреса маленькими сетками по /30 на абонента, то еще менее рационально. Можно сделать отдельные vlan-ы для внешних адресов, например, vlan на район и в нем выдавать адреса, но это неудобно в администрировании и настройке и получаем большие сегменты сети по размеру, но небольшие по кол-ву пользователей. В общем, интересует, как это обычно делают? Еще интересует, какой обычно берут блок внешних адресов на 10 тыс клиентов? Изменено 29 октября, 2010 пользователем postuser Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 29 октября, 2010 · Жалоба А что у вас на ядре стоит? Куда сводятся vlan'ы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
postuser Опубликовано 29 октября, 2010 · Жалоба А что у вас на ядре стоит? Куда сводятся vlan'ы? Сейчас Allied 9924SP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 29 октября, 2010 · Жалоба А что у вас на ядре стоит? Куда сводятся vlan'ы?Сейчас Allied 9924SP. А, ну вроде самое экономичное в плане раздачи белых IP - PPTP/PPPOE. Ну либо варианты ip unnumbered. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
postuser Опубликовано 29 октября, 2010 · Жалоба А что у вас на ядре стоит? Куда сводятся vlan'ы?Сейчас Allied 9924SP. А, ну вроде самое экономичное в плане раздачи белых IP - PPTP/PPPOE. Ну либо варианты ip unnumbered. Насколько знаю, на AT нет ip unnumbered. PPTP тоже для нас не вариант... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
detx Опубликовано 29 октября, 2010 · Жалоба А что у вас на ядре стоит? Куда сводятся vlan'ы?Сейчас Allied 9924SP. А, ну вроде самое экономичное в плане раздачи белых IP - PPTP/PPPOE. Ну либо варианты ip unnumbered. Насколько знаю, на AT нет ip unnumbered. PPTP тоже для нас не вариант... А как по поводу PPPOE???. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 31 октября, 2010 · Жалоба А как по поводу PPPOE???.а вот не хотелось бы..помогите товарищу. и мне пригодится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 31 октября, 2010 · Жалоба Телесин у вас умеет маршрут в влан вешать? Что то типа ip route I.P.V.4 M.A.S.K vlan 123 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 31 октября, 2010 · Жалоба NAT 1:1? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 31 октября, 2010 · Жалоба NAT 1:1?а 65хх с суп 2 отнатит 2к абонентов?почитал - умеет "каруселью" отдавать белые адреса из пула- (сначала 1:1 белый:серый потом 1:2), не нашел резервирование. или в пул эти адреса не включать? не хотелось бы "последовательно" еще писюк ставить. вроде как точка отказа еще одна? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 31 октября, 2010 · Жалоба Варианты на выбор: 1. PPPoE/VPN - отдавать абоненту при подключении из пула реальный IP. При отключении абонента IP освобождается. 2. IPoE - отдавать абонентам сразу реальный IP, используя тот же IP unnumbered. Все остальное оверхед и от лукавого (читай NAT). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kf72 Опубликовано 31 октября, 2010 · Жалоба Телесин у вас умеет маршрут в влан вешать?Что то типа ip route I.P.V.4 M.A.S.K vlan 123 а как это полезно использовать? как правильно маршрутизацию между абонентским вланами прописать? тыкните плиз в букварь про ип аннамберед. лупбеков надо делать столькоже сколько и адресов? и возможно ли в одной железке сосуществование 2-х технологий? имея нат плавно переводить сеть на белые адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 31 октября, 2010 (изменено) · Жалоба http://www.cisco.com/en/US/docs/ios/12_3t/.../gtunvlan.html Лупбеков столько сколько надо. Достаточно одного для начала. Зависит от задач. Важно понять сам принцип IP unnumbered: вместо отдачи сети с маской во влан на одном из интерфейсов (например loopback123) настраиваете IP 10.10.10.1/24 и на других вланах указываете этот интерфейс в качестве IP unnumbered. В чем плюс: вместо дробления сети (например) /24 на маски /25 /29 /30 вы оперируете сетью (в нашем примере /24) и выдаете клиентам столько IP, сколько необходимо, не тратя лишние адреса. Каждый абонент сидит в своем влане. У абонента может быть 1 3 5 6 7 23 45 123 IP-адреса из вашей сети /24. Есть возможность ограничить абонентов между собой не используя ACL - просто отключив proxy-arp на интерфейсе. Многое не надо делать в плане антиспуфинга. В принципе в документации все разжевано. Использование IP unnumbered вижу идеальным для предоставления услуг юрлицам и при развитой инфраструктуре провайдера (вариант вланперюзер и мощный L3 в центре). Перевод на IP unnumbered можно проводить постепенно на одном и том же маршрутизаторе. Изменено 31 октября, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chubais Опубликовано 31 октября, 2010 · Жалоба Вопрос по cisco. Какую выбрать, в качстве BRAS, для раздачи 2000 реальных ip адресов, с ипользование isg, ip unnumbered, netflow, rate-limit? С примерными цена пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 31 октября, 2010 · Жалоба Думаю ASR 1000 серии. По ценам - к коммерсам. У меня академический интерес ;) PS: не зацикливайтесь на Cisco. Есть и другие вендоры: Juniper, Alcatel-Lucent, Redback и др. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chubais Опубликовано 31 октября, 2010 (изменено) · Жалоба Думаю ASR 1000 серии. По ценам - к коммерсам. У меня академический интерес ;)PS: не зацикливайтесь на Cisco. Есть и другие вендоры: Juniper, Alcatel-Lucent, Redback и др. Вендор не имеет значения. Хотим понять во сколько встанет, предоставлять клиентам услугу "вставил -> работай". P.S. И вариант примерной набивки, если можно. Изменено 31 октября, 2010 пользователем chubais Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Valaskor Опубликовано 31 октября, 2010 (изменено) · Жалоба Телесин у вас умеет маршрут в влан вешать?Что то типа ip route I.P.V.4 M.A.S.K vlan 123 а как это полезно использовать? как правильно маршрутизацию между абонентским вланами прописать? тыкните плиз в букварь про ип аннамберед. лупбеков надо делать столькоже сколько и адресов? и возможно ли в одной железке сосуществование 2-х технологий? имея нат плавно переводить сеть на белые адреса? ip unnumbered это по сути три вещи:1. Proxy-arp, который позволяет видеть через маршрутизатор тех пользователей, которые как бы в той же подсети, но в другом влане. Ну и видеть адрес шлюза, который обычно вешают на loopback. То же самое мы получим просто влючив арп-прокси на интерфейсе. 2. Маршруты "в vlan", которые добавляются для влана DHCP-снупингом, либо вручную. Собственно, указанной выше коммандой и добавляются, ip unnumbered может быть выключен или вообще не поддерживатся железкой. 3. Возможность работать "как бы" без адреса на интерфейсе. На самом деле и в этом часто нет необходимости. Обычно можно повесить любой фейковый адрес, и в сочетании с proxy-arp и маршрутами в влан оно будет работать нормально. Либо нормальный адрес с /31 маской - в варианте vlan на группу свитчей сильно перерасхода не вызовет. Собственно, вот и весь ip-unnumbered, пожалуйста поправте, если что упустил. Изменено 31 октября, 2010 пользователем Valaskor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chubais Опубликовано 31 октября, 2010 · Жалоба Думаю ASR 1000 серии. По ценам - к коммерсам. У меня академический интерес ;)PS: не зацикливайтесь на Cisco. Есть и другие вендоры: Juniper, Alcatel-Lucent, Redback и др. У меня пока тоже чисто академический интерес, но все таки, хочется искать красивые решения. Так как мы маленькие, приходиться искать, чем заинтересовать клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 31 октября, 2010 · Жалоба По минимуму в поддержку Option 82 + IP source guard на доступе и NAT-шейпер. И то если не отдавать сразу реальные IP-адреса абонентам. Если сможете построить без PPPoE/VPN - стройте конечно же. Схема IPoE более удобная в плане обслуживания однозначно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chubais Опубликовано 31 октября, 2010 (изменено) · Жалоба По минимуму в поддержку Option 82 + IP source guard на доступе и NAT-шейпер. И то если не отдавать сразу реальные IP-адреса абонентам.Если сможете построить без PPPoE/VPN - стройте конечно же. Схема IPoE более удобная в плане обслуживания однозначно. так вот и хочу понять, что нам нужно в ядро. если на доступе будет, des-3028 и аналоги тоже из d'link. P.S. Да и действовать в свое удобство обслуживания, это для нас не главное. Главное удобство клиенту и экономическая выгода. Вот от сюда и вопрос цены ядра на все это, во всяком случае использовать что то программное не хочется. Изменено 31 октября, 2010 пользователем chubais Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 31 октября, 2010 · Жалоба 3028 имеет проблемы хеша. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chubais Опубликовано 31 октября, 2010 (изменено) · Жалоба Телесин у вас умеет маршрут в влан вешать?Что то типа ip route I.P.V.4 M.A.S.K vlan 123 а как это полезно использовать? как правильно маршрутизацию между абонентским вланами прописать? тыкните плиз в букварь про ип аннамберед. лупбеков надо делать столькоже сколько и адресов? и возможно ли в одной железке сосуществование 2-х технологий? имея нат плавно переводить сеть на белые адреса? ip unnumbered это по сути три вещи:1. Proxy-arp, который позволяет видеть через маршрутизатор тех пользователей, которые как бы в той же подсети, но в другом влане. Ну и видеть адрес шлюза, который обычно вешают на loopback. То же самое мы получим просто влючив арп-прокси на интерфейсе. 2. Маршруты "в vlan", которые добавляются для влана DHCP-снупингом, либо вручную. Собственно, указанной выше коммандой и добавляются, ip unnumbered может быть выключен или вообще не поддерживатся железкой. 3. Возможность работать "как бы" без адреса на интерфейсе. На самом деле и в этом часто нет необходимости. Обычно можно повесить любой фейковый адрес, и в сочетании с proxy-arp и маршрутами в влан оно будет работать нормально. Либо нормальный адрес с /31 маской - в варианте vlan на группу свитчей сильно перерасхода не вызовет. Собственно, вот и весь ip-unnumbered, пожалуйста поправте, если что упустил. ?вы правы, по сути это все можно сделать и на FreeBSD и на Linux. Но интересует именно ISG, про LISG знаю, вот и хочу узнать стоимость аппаратного решения, так как не когда до этого дела с такими не имел. 3028 имеет проблемы хеша. тоже читал на форуме, но у нас проблема пока не проявлялась ни разу, даже на сегментах под 150 маков. Изменено 31 октября, 2010 пользователем chubais Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 1 ноября, 2010 · Жалоба Есть бесхозные c3550 и желание использовать их для терминации хомячков в схеме vlan-per-user. Как узнать или посчитать сколько юзеров потянет такая железка? Вланов там 1к, маршрутов хватит, а на сколько хватит производительности самого каталиста? И насколько хватит к примеру 3750G? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Link_x Опубликовано 1 ноября, 2010 · Жалоба У нас 3550-12G тянет около 550 живых юзверей с vlan-per-user, вланов на циске создано около 900, проблем пока нет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 1 ноября, 2010 (изменено) · Жалоба Есть бесхозные c3550 и желание использовать их для терминации хомячков в схеме vlan-per-user. Как узнать или посчитать сколько юзеров потянет такая железка? Вланов там 1к, маршрутов хватит, а на сколько хватит производительности самого каталиста?И насколько хватит к примеру 3750G? 3750 упрется в количество вланов.vlan-per-user рекомендую использовать на юрлиц. На домашних абонентов вполне сносно будет работать и Option 82 + IP Source Guard без расточительства вланов. Изменено 1 ноября, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...