mitay Опубликовано 23 мая, 2011 · Жалоба желательно использовать вариант Vlan-per-user с ip-unnumbered для экономии адресов, ну и чтобы был "интернет из розетки", хотя можно и статик IP Имеется комп-шлюз под Mikrotik RouterOS, Cisco 2950, биллинг Ideco клиентов пока горстка, им ставить DLink DIR100 в режиме свича Vlan оборудование будет меняться, как выручки хватит, но на начальном этапе надо запуститься на том что есть. что сделано: в микротике созданы вланки, заведены в бридж, адрес только у бриджа, сеть 0/24 - недостижима, насколько правильно заводить vlan в бридж? в циске пришлось отключить STP, т.к. иначе только одна вланка работала, насколько это плохо? какими средствами осуществлять аккаунтинг при авторизации по IP? имеется Ideco АСР, можно ли её прикрутить в данной схеме? жду любые вопросы/критику/пожелания Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VladimirAd Опубликовано 23 мая, 2011 · Жалоба Из пожеланий пока только одно - пишите осмысленно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 23 мая, 2011 · Жалоба Зачем вланить сеть на vlan-per-user и потом все вланы сводить в бридж ? :-). Это совершенно бессмысленно, будет у вас ваш микротик работать как софтварный свич, от чего быстро исчезнут у него свободные ресурсы CPU. ip-unnumbered это другое. Это фактически по L3 интерфейсу на юзера выделяется, но чтобы юзеры друг друга видели как бы напрямую (на самом деле они в разных интерфейсах и трафик между ними всё же будет роутиться через аггрегатор этих вланов) работает proxy-arp. про микротик не знаю, но у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована. Для начала советую заыть про влан-пер-юзер, по крайней мере не на этом оборудовании, делайте просто как обычную сеть. По мере развития будет видно, куда двигаться дальше и как. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mitay Опубликовано 23 мая, 2011 · Жалоба извините что сумбурно излагаю, спрашивайте все что нужно в бридже у микротика есть фильтр - все что пришло с портов бриджа не отправлять в порты бриджа, исключение - биллинг, в/из его вланку можно с любых портов. маршруты до каждого адреса прописаны на микротике. юзеры не должны друг друга видеть, только p2p, ради этого и затевалось user-vlan. на микротике можно почти все что можно на линуксе, опирался на эти статьи: http://habrahabr.ru/blogs/personal/71689/ на фришке так тоже в бридж заводят с последующими донастройками - http://alienstudio.ru/freebsd-supervlan-ip-unnumbered/ хотелось бы сразу спланировать ядро таким образом чтобы последующее расширение было как можно легче. допустим оставим в покое user-vlan, какими средствами можно реализовать аккаунтинг? netflow на микротике поднял, но что-то в коллектор ideco стата не валится, в другой коллектор идет корректно, думаю дело в авторизации по ip, а нужна именно ip-авторизация, не хочется юзера заставлять вводить логины и пароли. Киньте ссылкой по данному вопросу, пожалуйста! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 23 мая, 2011 · Жалоба у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована. Можно и /32 бодсети выдавать по дхцп, + port-based vlan. Это так, к примеру. И извращений особо не требует. на микротике можно почти все что можно на линуксе На микротике можно все ровно до тех пор, пока не окажется, что что-то из нужного вам нельзя. После этого - можете сливать воду, поскольку даже самую мелкую фишку (да хоть мониторинг упса, стоящего на том же узле) вы туда при всем желании не впилите. что-то в коллектор ideco стата не валится, в другой коллектор идет корректно, думаю дело в авторизации по ip Потревожьте саппорт, они за ваши деньги должны вам помогать. Проблема с ихним коллектором ведь :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mitay Опубликовано 25 мая, 2011 · Жалоба я понимаю про бесконечную гибкость линукса и конечные возможности готового решения, но для наших нужд микротика - заглаза в ideco до 200 пользователей бесплатная версия, без техподдержки, они мне сразу намекнули, а документации у слабовата, в отличае от недокументированных особенностей. там везде радиус советуют использовать, но это же означает что клиенту придется вводить логин и пароль? а я что-то не догоняю зачем мне радиус, просветите в этом вопросе, пожалуйста! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 25 мая, 2011 (изменено) · Жалоба про микротик не знаю, но у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована. ip addr add 10.0.0.1/32 dev lo ip route add 10.0.0.2/32 dev vlan1 ip route add 10.0.0.3/32 dev vlan2 ... Стандартные возможности ядра. я понимаю про бесконечную гибкость линукса и конечные возможности готового решения, но для наших нужд микротика - заглаза Вы просто вообще не знаете, что Вам нужно. в ideco до 200 пользователей бесплатная версия, без техподдержки, они мне сразу намекнули, а документации у слабовата, в отличае от недокументированных особенностей. там везде радиус советуют использовать, но это же означает что клиенту придется вводить логин и пароль? а я что-то не догоняю зачем мне радиус, просветите в этом вопросе, пожалуйста! Ой, чую, сейчас тут опять начнётся PPPoE vs IP. Изменено 25 мая, 2011 пользователем GFORGX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mitay Опубликовано 25 мая, 2011 · Жалоба так я, собственно, с этим вопросом и пришел на форум: есть такое-то оборудование, желательная схема, как настроить это оборудование для этой схемы и возможно ли это вообще, если невозможно то что нужно менять!? видит бог, холивар инициировать не хочу, прошу совета что почитать про аакаунтинг Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 мая, 2011 · Жалоба Делайте PPPoE. Тут вам и экономия адресов и легкий подсчет, и работать первое время можно без радиуса. Ввести логин и пароль пользователю не влом. Зато можно экономить на конечном оборудовании. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 25 мая, 2011 · Жалоба Ввести логин и пароль пользователю не влом. Мсье в техподдерке никогда не работал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 мая, 2011 · Жалоба Ввести логин и пароль пользователю не влом. Мсье в техподдерке никогда не работал? Мсье к договору прикладывает инструкции с картинками для разных операционных систем по настройке подключений=) При схеме vlan на юзера, когда интернет из "розетки" так же бывают проблемы в виде отключенной сетевой карты, или вбитых вручную настроек IP адресов, только продиогнастировать это сложнее=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GFORGX Опубликовано 25 мая, 2011 (изменено) · Жалоба Ввести логин и пароль пользователю не влом. Мсье в техподдерке никогда не работал? Мсье к договору прикладывает инструкции с картинками для разных операционных систем по настройке подключений=) При схеме vlan на юзера, когда интернет из "розетки" так же бывают проблемы в виде отключенной сетевой карты, или вбитых вручную настроек IP адресов, только продиогнастировать это сложнее=) 769 куда хуже - в большинстве случаев вопли "так вот я его и включаю, а оно ошибку выдаёт". P.S. У меня у самого большая часть пользователей на PPPoE (хотя 95% сети на унифицированном управляемом L2 на доступе), от IPoE удерживает только общая "нестабильность" сети, особенно в весеннее время (ну не будут монтажники работать никогда нормально, есть районы, где все кабели "через окно" ©® TM) - есть места, где коммутаторы снимаются на целые грозовые недели и ставятся мыльницы. Просто "от PPPoE уже не уходят". © P.P.S. А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!"). P.P.P.S. У нас нет отдела технической поддержки (= Изменено 25 мая, 2011 пользователем GFORGX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zurz Опубликовано 25 мая, 2011 · Жалоба А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!"). надо чтобы вид у документа был более серьезный - со страшными названиями большими буквами типа "тех.паспорт" - может тогда хоть какието правильные асоциации у таких хомячков будут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 25 мая, 2011 · Жалоба А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!"). А как он инет тогда оплачивает? "Положите мне деньги, не знаю куда, не знаю зачем"? P.S. Виндовый конфигуратор соединения (типа такого), автоматом прописывающий впн сервер/PPPoE service name, отключающий гогно типа файловых шар на туннеле и т.п., прописывающий логин-пароль и вытягивающий ярлычок на рабочий стол, пишется за считанные дни. И большая часть времени уходит на украшательства морды. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mitay Опубликовано 26 мая, 2011 · Жалоба GFORGX а как у вас работают те кто не по PPPoE? как считаете их трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 мая, 2011 · Жалоба жду любые вопросы/критику/пожелания Циска здесь пока не нужна, Микротик тоже. Всё, что они умеют, можно выполнять на том компьютере, на котором запущен Ideco, пока трафик не превысит 200-300mbps. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mitay Опубликовано 26 мая, 2011 · Жалоба ideco в бесплтной лицензии может работать только как биллинг в связке с маршрутизатором, как шлюз он работать не может, ну и вланки он не понимает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 мая, 2011 · Жалоба ideco в бесплтной лицензии может работать только как биллинг в связке с маршрутизатором, как шлюз он работать не может, ну и вланки он не понимает Ideco можно разместить в KVM или VE, чтобы он общался с базовой системой как с отдельным маршрутизатором, а в ней настроить всё как душе угодно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mitay Опубликовано 26 мая, 2011 · Жалоба 1 ideco жутко тупит на виртуалке, техподдержка говорит что надо устанавливать на железо и только на то которое гарантировано поддерживается, список у них на форуме 2 в качестве базовой системы использовать линукс? чтобы он общался с базовой системой как с отдельным маршрутизатором линукс я могу и на отдельном компе поставить, с этим проблем нет, вопрос чем его напичкать, поднимать на нем тоже что есть на микротике? допустим, но вопрос об аккаунтинге не снимается! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 мая, 2011 · Жалоба 1 ideco жутко тупит на виртуалке Даже в OpenVZ? линукс я могу и на отдельном компе поставить, с этим проблем нет, вопрос чем его напичкать iptables, ipset, ipcad. поднимать на нем тоже что есть на микротике? Заколебётесь превращать Линукс в Микротик :) Тогда уж лучше сразу использовать Микротик. вопрос об аккаунтинге не снимается! Вы какой смысл вкладываете в термин "аккаунтинг"? Подсчёт потреблённого пользователями трафика? Если да, то это может делать любой сенсор, умеющий отдавать результаты через netflow - ipcad, fprobe, ipt_netflow и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mitay Опубликовано 26 мая, 2011 · Жалоба да, учет трафика для каждого пользователя, личный кабиинет нам нет никакого смысла возиться с виртуалкой, во всяком случае пока, можно использовать железные серверы. если бы не сертификат ideco то использовал бы mikbill - он вообще под микротик заточен, бесплатен до 150 пользователей, возможно его и будем использовать, линукс тоже рассматривал как вариант, но менее предпочтительный я пытаюсь всеми силами не изобретать велосипед на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 мая, 2011 · Жалоба нам нет никакого смысла возиться с виртуалкой, во всяком случае пока, можно использовать железные серверы. Вообще-то VE проще в развёртывании и обслуживании, чем самостоятельная система. на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки? Сильно зависит от количества клиентов и объёма трафика. Если до тысячи клиентов и до двух-трёх гигабит в дуплексе - то ядром может быть core i7 с быстрыми картами, а заносить клиентский порт в нужный vlan можно вручную. Для агрегации желательно использовать устройства, позволяющие добавлять vlan'ы в тегированный порт не поштучно, а диапазоном. Например, qtech. я пытаюсь всеми силами не изобретать велосипед 1) не-велосипеды на блюдечке с голубой каёмочкой в данной области пока отсутствуют. 2) пока не изобретёте пару-тройку собственных велосипедов, чужими пользоваться не научитесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mitay Опубликовано 26 мая, 2011 · Жалоба я и не прошу мне на блюдечке с голубой каёмочкой мне бы хотя бы посмотреть на чужие велосипеды Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 26 мая, 2011 · Жалоба я и не прошу мне на блюдечке с голубой каёмочкой мне бы хотя бы посмотреть на чужие велосипеды Это как это? Организовать экскурсию в дата-центр? Или открыть доступ по ssh+sudo? Или прислать дамп рабочей системы? :) Совершенно необязательно сразу же делать vlan-per-client. Можно начать с минимума - IPoE, DHCP, управляемое оборудование, плоская сеть. Когда она заработает - включить proxy arp и постепенно перенести клиентов в персональные vlan'ы. Первые несколько месяцев отсутствие vlan'ов будет наименьшей из проблем :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mitay Опубликовано 27 мая, 2011 · Жалоба а в чем разница если сразу клиентов заводить в персональные вланы? если только оборудование менять и тогда уже заводить. так я и пытаюсь выяснить на каком оборудовании развиваться. Это как это? на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки? описать на словах как у вас работает, Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...