Jump to content
Калькуляторы

выбор технологии для начала провайдерства нужен совет бывалых

желательно использовать вариант Vlan-per-user с ip-unnumbered для экономии адресов, ну и чтобы был "интернет из розетки", хотя можно и статик IP

Имеется комп-шлюз под Mikrotik RouterOS, Cisco 2950, биллинг Ideco

клиентов пока горстка, им ставить DLink DIR100 в режиме свича Vlan

оборудование будет меняться, как выручки хватит, но на начальном этапе надо запуститься на том что есть.

 

что сделано:

в микротике созданы вланки, заведены в бридж, адрес только у бриджа, сеть 0/24 - недостижима, насколько правильно заводить vlan в бридж?

в циске пришлось отключить STP, т.к. иначе только одна вланка работала, насколько это плохо?

какими средствами осуществлять аккаунтинг при авторизации по IP? имеется Ideco АСР, можно ли её прикрутить в данной схеме?

 

жду любые вопросы/критику/пожелания

Share this post


Link to post
Share on other sites

Из пожеланий пока только одно - пишите осмысленно.

Share this post


Link to post
Share on other sites

Зачем вланить сеть на vlan-per-user и потом все вланы сводить в бридж ? :-). Это совершенно бессмысленно, будет у вас ваш микротик работать как софтварный свич, от чего быстро исчезнут у него свободные ресурсы CPU.

 

ip-unnumbered это другое. Это фактически по L3 интерфейсу на юзера выделяется, но чтобы юзеры друг друга видели как бы напрямую (на самом деле они в разных интерфейсах и трафик между ними всё же будет роутиться через аггрегатор этих вланов) работает proxy-arp.

 

про микротик не знаю, но у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована.

 

Для начала советую заыть про влан-пер-юзер, по крайней мере не на этом оборудовании, делайте просто как обычную сеть. По мере развития будет видно, куда двигаться дальше и как.

Share this post


Link to post
Share on other sites

извините что сумбурно излагаю, спрашивайте все что нужно

 

в бридже у микротика есть фильтр - все что пришло с портов бриджа не отправлять в порты бриджа, исключение - биллинг, в/из его вланку можно с любых портов. маршруты до каждого адреса прописаны на микротике. юзеры не должны друг друга видеть, только p2p, ради этого и затевалось user-vlan.

на микротике можно почти все что можно на линуксе, опирался на эти статьи:

http://habrahabr.ru/blogs/personal/71689/

на фришке так тоже в бридж заводят с последующими донастройками - http://alienstudio.ru/freebsd-supervlan-ip-unnumbered/

 

хотелось бы сразу спланировать ядро таким образом чтобы последующее расширение было как можно легче.

 

допустим оставим в покое user-vlan, какими средствами можно реализовать аккаунтинг? netflow на микротике поднял, но что-то в коллектор ideco стата не валится, в другой коллектор идет корректно, думаю дело в авторизации по ip, а нужна именно ip-авторизация, не хочется юзера заставлять вводить логины и пароли. Киньте ссылкой по данному вопросу, пожалуйста!

Share this post


Link to post
Share on other sites

у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована.

Можно и /32 бодсети выдавать по дхцп, + port-based vlan. Это так, к примеру. И извращений особо не требует.

 

на микротике можно почти все что можно на линуксе

На микротике можно все ровно до тех пор, пока не окажется, что что-то из нужного вам нельзя. После этого - можете сливать воду, поскольку даже самую мелкую фишку (да хоть мониторинг упса, стоящего на том же узле) вы туда при всем желании не впилите.

 

что-то в коллектор ideco стата не валится, в другой коллектор идет корректно, думаю дело в авторизации по ip

Потревожьте саппорт, они за ваши деньги должны вам помогать. Проблема с ихним коллектором ведь :)

Share this post


Link to post
Share on other sites

я понимаю про бесконечную гибкость линукса и конечные возможности готового решения, но для наших нужд микротика - заглаза

 

в ideco до 200 пользователей бесплатная версия, без техподдержки, они мне сразу намекнули, а документации у слабовата, в отличае от недокументированных особенностей.

там везде радиус советуют использовать, но это же означает что клиенту придется вводить логин и пароль? а я что-то не догоняю зачем мне радиус, просветите в этом вопросе, пожалуйста!

Share this post


Link to post
Share on other sites

про микротик не знаю, но у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована.

ip addr add 10.0.0.1/32 dev lo

ip route add 10.0.0.2/32 dev vlan1

ip route add 10.0.0.3/32 dev vlan2

...

 

Стандартные возможности ядра.

 

я понимаю про бесконечную гибкость линукса и конечные возможности готового решения, но для наших нужд микротика - заглаза

Вы просто вообще не знаете, что Вам нужно.

 

в ideco до 200 пользователей бесплатная версия, без техподдержки, они мне сразу намекнули, а документации у слабовата, в отличае от недокументированных особенностей.

там везде радиус советуют использовать, но это же означает что клиенту придется вводить логин и пароль? а я что-то не догоняю зачем мне радиус, просветите в этом вопросе, пожалуйста!

Ой, чую, сейчас тут опять начнётся PPPoE vs IP.

Edited by GFORGX

Share this post


Link to post
Share on other sites

так я, собственно, с этим вопросом и пришел на форум:

есть такое-то оборудование, желательная схема, как настроить это оборудование для этой схемы и возможно ли это вообще, если невозможно то что нужно менять!?

 

видит бог, холивар инициировать не хочу, прошу совета что почитать про аакаунтинг

Share this post


Link to post
Share on other sites

Делайте PPPoE. Тут вам и экономия адресов и легкий подсчет, и работать первое время можно без радиуса. Ввести логин и пароль пользователю не влом. Зато можно экономить на конечном оборудовании.

Share this post


Link to post
Share on other sites

Ввести логин и пароль пользователю не влом.

Мсье в техподдерке никогда не работал?

Share this post


Link to post
Share on other sites

Ввести логин и пароль пользователю не влом.

Мсье в техподдерке никогда не работал?

 

Мсье к договору прикладывает инструкции с картинками для разных операционных систем по настройке подключений=)

 

При схеме vlan на юзера, когда интернет из "розетки" так же бывают проблемы в виде отключенной сетевой карты, или вбитых вручную настроек IP адресов, только продиогнастировать это сложнее=)

Share this post


Link to post
Share on other sites

Ввести логин и пароль пользователю не влом.

Мсье в техподдерке никогда не работал?

 

Мсье к договору прикладывает инструкции с картинками для разных операционных систем по настройке подключений=)

 

При схеме vlan на юзера, когда интернет из "розетки" так же бывают проблемы в виде отключенной сетевой карты, или вбитых вручную настроек IP адресов, только продиогнастировать это сложнее=)

769 куда хуже - в большинстве случаев вопли "так вот я его и включаю, а оно ошибку выдаёт".

 

P.S. У меня у самого большая часть пользователей на PPPoE (хотя 95% сети на унифицированном управляемом L2 на доступе), от IPoE удерживает только общая "нестабильность" сети, особенно в весеннее время (ну не будут монтажники работать никогда нормально, есть районы, где все кабели "через окно" ©® TM) - есть места, где коммутаторы снимаются на целые грозовые недели и ставятся мыльницы. Просто "от PPPoE уже не уходят". ©

 

P.P.S. А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!").

 

P.P.P.S. У нас нет отдела технической поддержки (=

Edited by GFORGX

Share this post


Link to post
Share on other sites

А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!").

надо чтобы вид у документа был более серьезный - со страшными названиями большими буквами типа "тех.паспорт" - может тогда хоть какието правильные асоциации у таких хомячков будут

Share this post


Link to post
Share on other sites

А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!").

А как он инет тогда оплачивает? "Положите мне деньги, не знаю куда, не знаю зачем"?

 

P.S. Виндовый конфигуратор соединения (типа такого), автоматом прописывающий впн сервер/PPPoE service name, отключающий гогно типа файловых шар на туннеле и т.п., прописывающий логин-пароль и вытягивающий ярлычок на рабочий стол, пишется за считанные дни. И большая часть времени уходит на украшательства морды.

Share this post


Link to post
Share on other sites

GFORGX а как у вас работают те кто не по PPPoE? как считаете их трафик?

Share this post


Link to post
Share on other sites

жду любые вопросы/критику/пожелания

Циска здесь пока не нужна, Микротик тоже. Всё, что они умеют, можно выполнять на том компьютере, на котором запущен Ideco, пока трафик не превысит 200-300mbps.

Share this post


Link to post
Share on other sites

ideco в бесплтной лицензии может работать только как биллинг в связке с маршрутизатором, как шлюз он работать не может, ну и вланки он не понимает

Ideco можно разместить в KVM или VE, чтобы он общался с базовой системой как с отдельным маршрутизатором, а в ней настроить всё как душе угодно.

Share this post


Link to post
Share on other sites

1 ideco жутко тупит на виртуалке, техподдержка говорит что надо устанавливать на железо и только на то которое гарантировано поддерживается, список у них на форуме

2 в качестве базовой системы использовать линукс?

чтобы он общался с базовой системой как с отдельным маршрутизатором

линукс я могу и на отдельном компе поставить, с этим проблем нет, вопрос чем его напичкать, поднимать на нем тоже что есть на микротике? допустим, но вопрос об аккаунтинге не снимается!

Share this post


Link to post
Share on other sites

1 ideco жутко тупит на виртуалке

Даже в OpenVZ?

 

линукс я могу и на отдельном компе поставить, с этим проблем нет, вопрос чем его напичкать

iptables, ipset, ipcad.

 

поднимать на нем тоже что есть на микротике?

Заколебётесь превращать Линукс в Микротик :) Тогда уж лучше сразу использовать Микротик.

 

вопрос об аккаунтинге не снимается!

Вы какой смысл вкладываете в термин "аккаунтинг"? Подсчёт потреблённого пользователями трафика?

Если да, то это может делать любой сенсор, умеющий отдавать результаты через netflow - ipcad, fprobe, ipt_netflow и т.д.

Share this post


Link to post
Share on other sites

да, учет трафика для каждого пользователя, личный кабиинет

 

нам нет никакого смысла возиться с виртуалкой, во всяком случае пока, можно использовать железные серверы.

если бы не сертификат ideco то использовал бы mikbill - он вообще под микротик заточен, бесплатен до 150 пользователей, возможно его и будем использовать, линукс тоже рассматривал как вариант, но менее предпочтительный

 

я пытаюсь всеми силами не изобретать велосипед

на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки?

Share this post


Link to post
Share on other sites

нам нет никакого смысла возиться с виртуалкой, во всяком случае пока, можно использовать железные серверы.

Вообще-то VE проще в развёртывании и обслуживании, чем самостоятельная система.

 

на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки?

Сильно зависит от количества клиентов и объёма трафика.

Если до тысячи клиентов и до двух-трёх гигабит в дуплексе - то ядром может быть core i7 с быстрыми картами, а заносить клиентский порт в нужный vlan можно вручную.

 

Для агрегации желательно использовать устройства, позволяющие добавлять vlan'ы в тегированный порт не поштучно, а диапазоном. Например, qtech.

 

я пытаюсь всеми силами не изобретать велосипед

1) не-велосипеды на блюдечке с голубой каёмочкой в данной области пока отсутствуют.

2) пока не изобретёте пару-тройку собственных велосипедов, чужими пользоваться не научитесь.

Share this post


Link to post
Share on other sites

я и не прошу мне на блюдечке с голубой каёмочкой

мне бы хотя бы посмотреть на чужие велосипеды

Share this post


Link to post
Share on other sites

я и не прошу мне на блюдечке с голубой каёмочкой

мне бы хотя бы посмотреть на чужие велосипеды

Это как это?

Организовать экскурсию в дата-центр?

Или открыть доступ по ssh+sudo?

Или прислать дамп рабочей системы? :)

 

Совершенно необязательно сразу же делать vlan-per-client.

Можно начать с минимума - IPoE, DHCP, управляемое оборудование, плоская сеть.

Когда она заработает - включить proxy arp и постепенно перенести клиентов в персональные vlan'ы.

Первые несколько месяцев отсутствие vlan'ов будет наименьшей из проблем :)

Share this post


Link to post
Share on other sites

а в чем разница если сразу клиентов заводить в персональные вланы?

если только оборудование менять и тогда уже заводить. так я и пытаюсь выяснить на каком оборудовании развиваться.

Это как это?

на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки?

описать на словах как у вас работает,

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this