[mitay]

желательно использовать вариант Vlan-per-user с ip-unnumbered для экономии адресов, ну и чтобы был "интернет из розетки", хотя можно и статик IP

Имеется комп-шлюз под Mikrotik RouterOS, Cisco 2950, биллинг Ideco

клиентов пока горстка, им ставить DLink DIR100 в режиме свича Vlan

оборудование будет меняться, как выручки хватит, но на начальном этапе надо запуститься на том что есть.

 

что сделано:

в микротике созданы вланки, заведены в бридж, адрес только у бриджа, сеть 0/24 - недостижима, насколько правильно заводить vlan в бридж?

в циске пришлось отключить STP, т.к. иначе только одна вланка работала, насколько это плохо?

какими средствами осуществлять аккаунтинг при авторизации по IP? имеется Ideco АСР, можно ли её прикрутить в данной схеме?

 

жду любые вопросы/критику/пожелания

[VladimirAd]

Из пожеланий пока только одно - пишите осмысленно.

[wtyd]

Зачем вланить сеть на vlan-per-user и потом все вланы сводить в бридж ? :-). Это совершенно бессмысленно, будет у вас ваш микротик работать как софтварный свич, от чего быстро исчезнут у него свободные ресурсы CPU.

 

ip-unnumbered это другое. Это фактически по L3 интерфейсу на юзера выделяется, но чтобы юзеры друг друга видели как бы напрямую (на самом деле они в разных интерфейсах и трафик между ними всё же будет роутиться через аггрегатор этих вланов) работает proxy-arp.

 

про микротик не знаю, но у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована.

 

Для начала советую заыть про влан-пер-юзер, по крайней мере не на этом оборудовании, делайте просто как обычную сеть. По мере развития будет видно, куда двигаться дальше и как.

[mitay]

извините что сумбурно излагаю, спрашивайте все что нужно

 

в бридже у микротика есть фильтр - все что пришло с портов бриджа не отправлять в порты бриджа, исключение - биллинг, в/из его вланку можно с любых портов. маршруты до каждого адреса прописаны на микротике. юзеры не должны друг друга видеть, только p2p, ради этого и затевалось user-vlan.

на микротике можно почти все что можно на линуксе, опирался на эти статьи:

http://habrahabr.ru/blogs/personal/71689/

на фришке так тоже в бридж заводят с последующими донастройками - http://alienstudio.ru/freebsd-supervlan-ip-unnumbered/

 

хотелось бы сразу спланировать ядро таким образом чтобы последующее расширение было как можно легче.

 

допустим оставим в покое user-vlan, какими средствами можно реализовать аккаунтинг? netflow на микротике поднял, но что-то в коллектор ideco стата не валится, в другой коллектор идет корректно, думаю дело в авторизации по ip, а нужна именно ip-авторизация, не хочется юзера заставлять вводить логины и пароли. Киньте ссылкой по данному вопросу, пожалуйста!

[NiTr0]

у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована.

Можно и /32 бодсети выдавать по дхцп, + port-based vlan. Это так, к примеру. И извращений особо не требует.

 

на микротике можно почти все что можно на линуксе

На микротике можно все ровно до тех пор, пока не окажется, что что-то из нужного вам нельзя. После этого - можете сливать воду, поскольку даже самую мелкую фишку (да хоть мониторинг упса, стоящего на том же узле) вы туда при всем желании не впилите.

 

что-то в коллектор ideco стата не валится, в другой коллектор идет корректно, думаю дело в авторизации по ip

Потревожьте саппорт, они за ваши деньги должны вам помогать. Проблема с ихним коллектором ведь :)

[mitay]

я понимаю про бесконечную гибкость линукса и конечные возможности готового решения, но для наших нужд микротика - заглаза

 

в ideco до 200 пользователей бесплатная версия, без техподдержки, они мне сразу намекнули, а документации у слабовата, в отличае от недокументированных особенностей.

там везде радиус советуют использовать, но это же означает что клиенту придется вводить логин и пароль? а я что-то не догоняю зачем мне радиус, просветите в этом вопросе, пожалуйста!

[GFORGX]

про микротик не знаю, но у линукса не так давно в каком-то ядре такая фича (специально для vlan-per-user) была анонсирована.

ip addr add 10.0.0.1/32 dev lo

ip route add 10.0.0.2/32 dev vlan1

ip route add 10.0.0.3/32 dev vlan2

...

 

Стандартные возможности ядра.

 

я понимаю про бесконечную гибкость линукса и конечные возможности готового решения, но для наших нужд микротика - заглаза

Вы просто вообще не знаете, что Вам нужно.

 

в ideco до 200 пользователей бесплатная версия, без техподдержки, они мне сразу намекнули, а документации у слабовата, в отличае от недокументированных особенностей.

там везде радиус советуют использовать, но это же означает что клиенту придется вводить логин и пароль? а я что-то не догоняю зачем мне радиус, просветите в этом вопросе, пожалуйста!

Ой, чую, сейчас тут опять начнётся PPPoE vs IP.

Изменено 25 мая, 2011 пользователем GFORGX

[mitay]

так я, собственно, с этим вопросом и пришел на форум:

есть такое-то оборудование, желательная схема, как настроить это оборудование для этой схемы и возможно ли это вообще, если невозможно то что нужно менять!?

 

видит бог, холивар инициировать не хочу, прошу совета что почитать про аакаунтинг

[Saab95]

Делайте PPPoE. Тут вам и экономия адресов и легкий подсчет, и работать первое время можно без радиуса. Ввести логин и пароль пользователю не влом. Зато можно экономить на конечном оборудовании.

[GFORGX]

Ввести логин и пароль пользователю не влом.

Мсье в техподдерке никогда не работал?

[Saab95]

Ввести логин и пароль пользователю не влом.

Мсье в техподдерке никогда не работал?

 

Мсье к договору прикладывает инструкции с картинками для разных операционных систем по настройке подключений=)

 

При схеме vlan на юзера, когда интернет из "розетки" так же бывают проблемы в виде отключенной сетевой карты, или вбитых вручную настроек IP адресов, только продиогнастировать это сложнее=)

[GFORGX]

Ввести логин и пароль пользователю не влом.

Мсье в техподдерке никогда не работал?

 

Мсье к договору прикладывает инструкции с картинками для разных операционных систем по настройке подключений=)

 

При схеме vlan на юзера, когда интернет из "розетки" так же бывают проблемы в виде отключенной сетевой карты, или вбитых вручную настроек IP адресов, только продиогнастировать это сложнее=)

769 куда хуже - в большинстве случаев вопли "так вот я его и включаю, а оно ошибку выдаёт".

 

P.S. У меня у самого большая часть пользователей на PPPoE (хотя 95% сети на унифицированном управляемом L2 на доступе), от IPoE удерживает только общая "нестабильность" сети, особенно в весеннее время (ну не будут монтажники работать никогда нормально, есть районы, где все кабели "через окно" ©® TM) - есть места, где коммутаторы снимаются на целые грозовые недели и ставятся мыльницы. Просто "от PPPoE уже не уходят". ©

 

P.P.S. А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!").

 

P.P.P.S. У нас нет отдела технической поддержки (=

Изменено 25 мая, 2011 пользователем GFORGX

[zurz]

А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!").

надо чтобы вид у документа был более серьезный - со страшными названиями большими буквами типа "тех.паспорт" - может тогда хоть какието правильные асоциации у таких хомячков будут

[NiTr0]

А инструкции хомячок выбрасывает в мусорку (зачастую вместе с договором) в первую же неделю после подключения ("-Вводите Ваш логин по договору. -Так я ж его выбросил!").

А как он инет тогда оплачивает? "Положите мне деньги, не знаю куда, не знаю зачем"?

 

P.S. Виндовый конфигуратор соединения (типа такого), автоматом прописывающий впн сервер/PPPoE service name, отключающий гогно типа файловых шар на туннеле и т.п., прописывающий логин-пароль и вытягивающий ярлычок на рабочий стол, пишется за считанные дни. И большая часть времени уходит на украшательства морды.

[mitay]

GFORGX а как у вас работают те кто не по PPPoE? как считаете их трафик?

[Ilya Evseev]

жду любые вопросы/критику/пожелания

Циска здесь пока не нужна, Микротик тоже. Всё, что они умеют, можно выполнять на том компьютере, на котором запущен Ideco, пока трафик не превысит 200-300mbps.

[mitay]

ideco в бесплтной лицензии может работать только как биллинг в связке с маршрутизатором, как шлюз он работать не может, ну и вланки он не понимает

[Ilya Evseev]

ideco в бесплтной лицензии может работать только как биллинг в связке с маршрутизатором, как шлюз он работать не может, ну и вланки он не понимает

Ideco можно разместить в KVM или VE, чтобы он общался с базовой системой как с отдельным маршрутизатором, а в ней настроить всё как душе угодно.

[mitay]

1 ideco жутко тупит на виртуалке, техподдержка говорит что надо устанавливать на железо и только на то которое гарантировано поддерживается, список у них на форуме

2 в качестве базовой системы использовать линукс?

чтобы он общался с базовой системой как с отдельным маршрутизатором

линукс я могу и на отдельном компе поставить, с этим проблем нет, вопрос чем его напичкать, поднимать на нем тоже что есть на микротике? допустим, но вопрос об аккаунтинге не снимается!

[Ilya Evseev]

1 ideco жутко тупит на виртуалке

Даже в OpenVZ?

 

линукс я могу и на отдельном компе поставить, с этим проблем нет, вопрос чем его напичкать

iptables, ipset, ipcad.

 

поднимать на нем тоже что есть на микротике?

Заколебётесь превращать Линукс в Микротик :) Тогда уж лучше сразу использовать Микротик.

 

вопрос об аккаунтинге не снимается!

Вы какой смысл вкладываете в термин "аккаунтинг"? Подсчёт потреблённого пользователями трафика?

Если да, то это может делать любой сенсор, умеющий отдавать результаты через netflow - ipcad, fprobe, ipt_netflow и т.д.

[mitay]

да, учет трафика для каждого пользователя, личный кабиинет

 

нам нет никакого смысла возиться с виртуалкой, во всяком случае пока, можно использовать железные серверы.

если бы не сертификат ideco то использовал бы mikbill - он вообще под микротик заточен, бесплатен до 150 пользователей, возможно его и будем использовать, линукс тоже рассматривал как вариант, но менее предпочтительный

 

я пытаюсь всеми силами не изобретать велосипед

на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки?

[Ilya Evseev]

нам нет никакого смысла возиться с виртуалкой, во всяком случае пока, можно использовать железные серверы.

Вообще-то VE проще в развёртывании и обслуживании, чем самостоятельная система.

 

на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки?

Сильно зависит от количества клиентов и объёма трафика.

Если до тысячи клиентов и до двух-трёх гигабит в дуплексе - то ядром может быть core i7 с быстрыми картами, а заносить клиентский порт в нужный vlan можно вручную.

 

Для агрегации желательно использовать устройства, позволяющие добавлять vlan'ы в тегированный порт не поштучно, а диапазоном. Например, qtech.

 

я пытаюсь всеми силами не изобретать велосипед

1) не-велосипеды на блюдечке с голубой каёмочкой в данной области пока отсутствуют.

2) пока не изобретёте пару-тройку собственных велосипедов, чужими пользоваться не научитесь.

[mitay]

я и не прошу мне на блюдечке с голубой каёмочкой

мне бы хотя бы посмотреть на чужие велосипеды

[Ilya Evseev]

я и не прошу мне на блюдечке с голубой каёмочкой

мне бы хотя бы посмотреть на чужие велосипеды

Это как это?

Организовать экскурсию в дата-центр?

Или открыть доступ по ssh+sudo?

Или прислать дамп рабочей системы? :)

 

Совершенно необязательно сразу же делать vlan-per-client.

Можно начать с минимума - IPoE, DHCP, управляемое оборудование, плоская сеть.

Когда она заработает - включить proxy arp и постепенно перенести клиентов в персональные vlan'ы.

Первые несколько месяцев отсутствие vlan'ов будет наименьшей из проблем :)

[mitay]

а в чем разница если сразу клиентов заводить в персональные вланы?

если только оборудование менять и тогда уже заводить. так я и пытаюсь выяснить на каком оборудовании развиваться.

Это как это?

на каком оборудовании и какими средствами провайдеры реализуют схему user-vlan + ip unnumbered + интернет из розетки?

описать на словах как у вас работает,