mitay Posted May 23, 2011 Posted May 23, 2011 желательно использовать вариант Vlan-per-user с ip-unnumbered для экономии адресов, ну и чтобы был "интернет из розетки", хотя можно и статик IP Имеется комп-шлюз под Mikrotik RouterOS, Cisco 2950, биллинг Ideco клиентов пока горстка, им ставить DLink DIR100 в режиме свича Vlan оборудование будет меняться, как выручки хватит, но на начальном этапе надо запуститься на том что есть. что сделано: в микротике созданы вланки, заведены в бридж, адрес только у бриджа, сеть 0/24 - недостижима, насколько правильно заводить vlan в бридж? в циске пришлось отключить STP, т.к. иначе только одна вланка работала, насколько это плохо? какими средствами осуществлять аккаунтинг при авторизации по IP? имеется Ideco АСР, можно ли её прикрутить в данной схеме? жду любые вопросы/критику/пожелания Вставить ник Quote
VladimirAd Posted May 23, 2011 Posted May 23, 2011 Из пожеланий пока только одно - пишите осмысленно. Вставить ник Quote
wtyd Posted May 23, 2011 Posted May 23, 2011 Зачем вланить сеть на vlan-per-user и потом все вланы сводить в бридж ? :-). Это совершенно бессмысленно, будет у вас ваш микротик работать как софтварный свич, от чего быстро исчезнут у него свободные ресурсы CPU. ip-unnumbered это другое. Это фактически по L3 интерфейсу на юзера выделяется, но чтобы юзеры друг друга видели как бы напрямую (на самом деле они в разных интерфейсах и трафик между ними всё же будет роутиться через аггрегатор этих вланов) работает proxy-arp. про микротик не знаю, но у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована. Для начала советую заыть про влан-пер-юзер, по крайней мере не на этом оборудовании, делайте просто как обычную сеть. По мере развития будет видно, куда двигаться дальше и как. Вставить ник Quote
mitay Posted May 23, 2011 Author Posted May 23, 2011 извините что сумбурно излагаю, спрашивайте все что нужно в бридже у микротика есть фильтр - все что пришло с портов бриджа не отправлять в порты бриджа, исключение - биллинг, в/из его вланку можно с любых портов. маршруты до каждого адреса прописаны на микротике. юзеры не должны друг друга видеть, только p2p, ради этого и затевалось user-vlan. на микротике можно почти все что можно на линуксе, опирался на эти статьи: http://habrahabr.ru/blogs/personal/71689/ на фришке так тоже в бридж заводят с последующими донастройками - http://alienstudio.ru/freebsd-supervlan-ip-unnumbered/ хотелось бы сразу спланировать ядро таким образом чтобы последующее расширение было как можно легче. допустим оставим в покое user-vlan, какими средствами можно реализовать аккаунтинг? netflow на микротике поднял, но что-то в коллектор ideco стата не валится, в другой коллектор идет корректно, думаю дело в авторизации по ip, а нужна именно ip-авторизация, не хочется юзера заставлять вводить логины и пароли. Киньте ссылкой по данному вопросу, пожалуйста! Вставить ник Quote
NiTr0 Posted May 23, 2011 Posted May 23, 2011 у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована. Можно и /32 бодсети выдавать по дхцп, + port-based vlan. Это так, к примеру. И извращений особо не требует. на микротике можно почти все что можно на линуксе На микротике можно все ровно до тех пор, пока не окажется, что что-то из нужного вам нельзя. После этого - можете сливать воду, поскольку даже самую мелкую фишку (да хоть мониторинг упса, стоящего на том же узле) вы туда при всем желании не впилите. что-то в коллектор ideco стата не валится, в другой коллектор идет корректно, думаю дело в авторизации по ip Потревожьте саппорт, они за ваши деньги должны вам помогать. Проблема с ихним коллектором ведь :) Вставить ник Quote
mitay Posted May 25, 2011 Author Posted May 25, 2011 я понимаю про бесконечную гибкость линукса и конечные возможности готового решения, но для наших нужд микротика - заглаза в ideco до 200 пользователей бесплатная версия, без техподдержки, они мне сразу намекнули, а документации у слабовата, в отличае от недокументированных особенностей. там везде радиус советуют использовать, но это же означает что клиенту придется вводить логин и пароль? а я что-то не догоняю зачем мне радиус, просветите в этом вопросе, пожалуйста! Вставить ник Quote
GFORGX Posted May 25, 2011 Posted May 25, 2011 (edited) про микротик не знаю, но у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована. ip addr add 10.0.0.1/32 dev lo ip route add 10.0.0.2/32 dev vlan1 ip route add 10.0.0.3/32 dev vlan2 ... Стандартные возможности ядра. я понимаю про бесконечную гибкость линукса и конечные возможности готового решения, но для наших нужд микротика - заглаза Вы просто вообще не знаете, что Вам нужно. в ideco до 200 пользователей бесплатная версия, без техподдержки, они мне сразу намекнули, а документации у слабовата, в отличае от недокументированных особенностей. там везде радиус советуют использовать, но это же означает что клиенту придется вводить логин и пароль? а я что-то не догоняю зачем мне радиус, просветите в этом вопросе, пожалуйста! Ой, чую, сейчас тут опять начнётся PPPoE vs IP. Edited May 25, 2011 by GFORGX Вставить ник Quote
mitay Posted May 25, 2011 Author Posted May 25, 2011 так я, собственно, с этим вопросом и пришел на форум: есть такое-то оборудование, желательная схема, как настроить это оборудование для этой схемы и возможно ли это вообще, если невозможно то что нужно менять!? видит бог, холивар инициировать не хочу, прошу совета что почитать про аакаунтинг Вставить ник Quote
Saab95 Posted May 25, 2011 Posted May 25, 2011 Делайте PPPoE. Тут вам и экономия адресов и легкий подсчет, и работать первое время можно без радиуса. Ввести логин и пароль пользователю не влом. Зато можно экономить на конечном оборудовании. Вставить ник Quote
GFORGX Posted May 25, 2011 Posted May 25, 2011 Ввести логин и пароль пользователю не влом. Мсье в техподдерке никогда не работал? Вставить ник Quote
Saab95 Posted May 25, 2011 Posted May 25, 2011 Ввести логин и пароль пользователю не влом. Мсье в техподдерке никогда не работал? Мсье к договору прикладывает инструкции с картинками для разных операционных систем по настройке подключений=) При схеме vlan на юзера, когда интернет из "розетки" так же бывают проблемы в виде отключенной сетевой карты, или вбитых вручную настроек IP адресов, только продиогнастировать это сложнее=) Вставить ник Quote
GFORGX Posted May 25, 2011 Posted May 25, 2011 (edited) Ввести логин и пароль пользователю не влом. Мсье в техподдерке никогда не работал? Мсье к договору прикладывает инструкции с картинками для разных операционных систем по настройке подключений=) При схеме vlan на юзера, когда интернет из "розетки" так же бывают проблемы в виде отключенной сетевой карты, или вбитых вручную настроек IP адресов, только продиогнастировать это сложнее=) 769 куда хуже - в большинстве случаев вопли "так вот я его и включаю, а оно ошибку выдаёт". P.S. У меня у самого большая часть пользователей на PPPoE (хотя 95% сети на унифицированном управляемом L2 на доступе), от IPoE удерживает только общая "нестабильность" сети, особенно в весеннее время (ну не будут монтажники работать никогда нормально, есть районы, где все кабели "через окно" ©® TM) - есть места, где коммутаторы снимаются на целые грозовые недели и ставятся мыльницы. Просто "от PPPoE уже не уходят". © P.P.S. А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!"). P.P.P.S. У нас нет отдела технической поддержки (= Edited May 25, 2011 by GFORGX Вставить ник Quote
zurz Posted May 25, 2011 Posted May 25, 2011 А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!"). надо чтобы вид у документа был более серьезный - со страшными названиями большими буквами типа "тех.паспорт" - может тогда хоть какието правильные асоциации у таких хомячков будут Вставить ник Quote
NiTr0 Posted May 25, 2011 Posted May 25, 2011 А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!"). А как он инет тогда оплачивает? "Положите мне деньги, не знаю куда, не знаю зачем"? P.S. Виндовый конфигуратор соединения (типа такого), автоматом прописывающий впн сервер/PPPoE service name, отключающий гогно типа файловых шар на туннеле и т.п., прописывающий логин-пароль и вытягивающий ярлычок на рабочий стол, пишется за считанные дни. И большая часть времени уходит на украшательства морды. Вставить ник Quote
mitay Posted May 26, 2011 Author Posted May 26, 2011 GFORGX а как у вас работают те кто не по PPPoE? как считаете их трафик? Вставить ник Quote
Ilya Evseev Posted May 26, 2011 Posted May 26, 2011 жду любые вопросы/критику/пожелания Циска здесь пока не нужна, Микротик тоже. Всё, что они умеют, можно выполнять на том компьютере, на котором запущен Ideco, пока трафик не превысит 200-300mbps. Вставить ник Quote
mitay Posted May 26, 2011 Author Posted May 26, 2011 ideco в бесплтной лицензии может работать только как биллинг в связке с маршрутизатором, как шлюз он работать не может, ну и вланки он не понимает Вставить ник Quote
Ilya Evseev Posted May 26, 2011 Posted May 26, 2011 ideco в бесплтной лицензии может работать только как биллинг в связке с маршрутизатором, как шлюз он работать не может, ну и вланки он не понимает Ideco можно разместить в KVM или VE, чтобы он общался с базовой системой как с отдельным маршрутизатором, а в ней настроить всё как душе угодно. Вставить ник Quote
mitay Posted May 26, 2011 Author Posted May 26, 2011 1 ideco жутко тупит на виртуалке, техподдержка говорит что надо устанавливать на железо и только на то которое гарантировано поддерживается, список у них на форуме 2 в качестве базовой системы использовать линукс? чтобы он общался с базовой системой как с отдельным маршрутизатором линукс я могу и на отдельном компе поставить, с этим проблем нет, вопрос чем его напичкать, поднимать на нем тоже что есть на микротике? допустим, но вопрос об аккаунтинге не снимается! Вставить ник Quote
Ilya Evseev Posted May 26, 2011 Posted May 26, 2011 1 ideco жутко тупит на виртуалке Даже в OpenVZ? линукс я могу и на отдельном компе поставить, с этим проблем нет, вопрос чем его напичкать iptables, ipset, ipcad. поднимать на нем тоже что есть на микротике? Заколебётесь превращать Линукс в Микротик :) Тогда уж лучше сразу использовать Микротик. вопрос об аккаунтинге не снимается! Вы какой смысл вкладываете в термин "аккаунтинг"? Подсчёт потреблённого пользователями трафика? Если да, то это может делать любой сенсор, умеющий отдавать результаты через netflow - ipcad, fprobe, ipt_netflow и т.д. Вставить ник Quote
mitay Posted May 26, 2011 Author Posted May 26, 2011 да, учет трафика для каждого пользователя, личный кабиинет нам нет никакого смысла возиться с виртуалкой, во всяком случае пока, можно использовать железные серверы. если бы не сертификат ideco то использовал бы mikbill - он вообще под микротик заточен, бесплатен до 150 пользователей, возможно его и будем использовать, линукс тоже рассматривал как вариант, но менее предпочтительный я пытаюсь всеми силами не изобретать велосипед на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки? Вставить ник Quote
Ilya Evseev Posted May 26, 2011 Posted May 26, 2011 нам нет никакого смысла возиться с виртуалкой, во всяком случае пока, можно использовать железные серверы. Вообще-то VE проще в развёртывании и обслуживании, чем самостоятельная система. на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки? Сильно зависит от количества клиентов и объёма трафика. Если до тысячи клиентов и до двух-трёх гигабит в дуплексе - то ядром может быть core i7 с быстрыми картами, а заносить клиентский порт в нужный vlan можно вручную. Для агрегации желательно использовать устройства, позволяющие добавлять vlan'ы в тегированный порт не поштучно, а диапазоном. Например, qtech. я пытаюсь всеми силами не изобретать велосипед 1) не-велосипеды на блюдечке с голубой каёмочкой в данной области пока отсутствуют. 2) пока не изобретёте пару-тройку собственных велосипедов, чужими пользоваться не научитесь. Вставить ник Quote
mitay Posted May 26, 2011 Author Posted May 26, 2011 я и не прошу мне на блюдечке с голубой каёмочкой мне бы хотя бы посмотреть на чужие велосипеды Вставить ник Quote
Ilya Evseev Posted May 26, 2011 Posted May 26, 2011 я и не прошу мне на блюдечке с голубой каёмочкой мне бы хотя бы посмотреть на чужие велосипеды Это как это? Организовать экскурсию в дата-центр? Или открыть доступ по ssh+sudo? Или прислать дамп рабочей системы? :) Совершенно необязательно сразу же делать vlan-per-client. Можно начать с минимума - IPoE, DHCP, управляемое оборудование, плоская сеть. Когда она заработает - включить proxy arp и постепенно перенести клиентов в персональные vlan'ы. Первые несколько месяцев отсутствие vlan'ов будет наименьшей из проблем :) Вставить ник Quote
mitay Posted May 27, 2011 Author Posted May 27, 2011 а в чем разница если сразу клиентов заводить в персональные вланы? если только оборудование менять и тогда уже заводить. так я и пытаюсь выяснить на каком оборудовании развиваться. Это как это? на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки? описать на словах как у вас работает, Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.