vasya_krg Posted May 30, 2011 Posted May 30, 2011 День добрый. возникла задача построить небольшую городскую сеть (порядка 5к абонентов). с этой целью закупили оборудование: - NSGate Коммутатор DAS-4G24F 24 x 100M SFP слота - 1 шт. - NGGate Медиаконвертер/ Коммутатор NF-SFP24 2xSFP+4xEthernet 10/100Base-TX, Port based VLAN - 15 шт. - D-Link Switch 8 port D-Link DES-1008A 10/100Mbps - 200 шт. Физика, как видно из оборудования следующая - в каждый порт коммутатора втыкается по одному медиаконвертеру, который устанавливается в локации из 4 домов. на каждый порт медиаконвертера по UTP вещается свитч, который дает 7 портов для абонентов уже в конкретном доме. Коммутатор соединяется с сервером Ideco (на котором будут два провайдера). Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому. учитывая что конечные абонентские свитчи просты до безобразия (уговорить на управляемые management switsh не получилось :( ) Конечному пользователю будет выделятся внешний ИП. то есть услуга доступа в интернет будет предоставляться полностью (скайпы, торренты и пр.). Далее на эту сеть будет навещиваться IPTV + телефония. соответственно расширение функционала должно проходить безболезненно. Проникаемость по городу очень низкая (на первый год планируется подключить не более 500-1000 абонентов). Оборудование будет закупаться по мере заполнения портов. По сути конфигурация будет постоянно умножаться на два (плюс один коммутатора, плюс к нему медиа конвертеры и свитчи). сразу хочу заметить что 80% города уже покрыта оптикой (в локациях домов установлены анти-вандальные ящики и пр. То есть остается только втыкать актив и наращивать мощности. Вставить ник Quote
darkagent Posted May 30, 2011 Posted May 30, 2011 матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы. да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол. Вставить ник Quote
vasya_krg Posted May 30, 2011 Author Posted May 30, 2011 матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы. да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол. денег не осталось. потратил все на вазелин :) Тв и связь в далеком будущем, то что мыльницы - понятно. с другой стороны, кто будет финансировать проект с приростом в год макс 500 абонентов ? вопрос не в этом. вопрос в том как мальницы намылить исходя из исходной задачи ?... Вставить ник Quote
mukca Posted May 30, 2011 Posted May 30, 2011 вопрос в том как мальницы намылить исходя из исходной задачи ?.. после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве... предлогаю начать искать новую работу и как можно быстрее срулить с такой организации.. имхо с такими мега планами и такой базой далеко не уедешь Вставить ник Quote
vasya_krg Posted May 30, 2011 Author Posted May 30, 2011 вопрос в том как мальницы намылить исходя из исходной задачи ?.. после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве... предлогаю начать искать новую работу и как можно быстрее срулить с такой организации.. имхо с такими мега планами и такой базой далеко не уедешь мне понятен пассивный настрой. и все же... если вернуться к начальному вопросу.... Вставить ник Quote
AlexSatter Posted May 30, 2011 Posted May 30, 2011 а как на этом оборудовании осуществить: " Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому. " ? Вставить ник Quote
Gromozeka Posted May 30, 2011 Posted May 30, 2011 матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы. да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол. ++1 На этом говне только PPTP или PPPoE. Не какого * per у вас на этом оборудовании не получиться однозначно. В будущее .. пока Вы не викините все это оборудование не какого мультикаста (т.е. IpTV и VoIP) не допустимо в такой сети. Вставить ник Quote
vasya_krg Posted May 30, 2011 Author Posted May 30, 2011 хорошо. выкину.:) PPPoE - вариант. учитывая что ideco хорошо с этим справится. теперь как быть с такими вопросами: 1) защитить сетку от сторонних DHCP ? 2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети.. Вставить ник Quote
Gromozeka Posted May 30, 2011 Posted May 30, 2011 Сеть в 5000 абонентов может приносить чистой прибыли в полляма в месяц. Вот и исходите из этого, чтоб это реализовать, необходима однозначно оптика как минимум жила на дом все это в центр или на агрегацию района. не каких 100Мб только 1G на жилу. На жиле умный коммутатор как минимум 3200 или 3528. на каждый коммутатор как минимум один Vlan а лучше еще поделить, особенно на те порты которые уходят на тупые подъездные мыльницы свой Vlan. Все согнать в центр там стерминировать Vlanы на умном L3 Коммутаторе. Вот как-то примерно так. И то это только начальный уровень с которого надо начинать. Вставить ник Quote
vasya_krg Posted May 30, 2011 Author Posted May 30, 2011 Сеть в 5000 абонентов может приносить чистой прибыли в полляма в месяц. Вот и исходите из этого, чтоб это реализовать, необходима однозначно оптика как минимум жила на дом все это в центр или на агрегацию района. не каких 100Мб только 1G на жилу. На жиле умный коммутатор как минимум 3200 или 3528. на каждый коммутатор как минимум один Vlan а лучше еще поделить, особенно на те порты которые уходят на тупые подъездные мыльницы свой Vlan. Все согнать в центр там стерминировать Vlanы на умном L3 Коммутаторе. Вот как-то примерно так. И то это только начальный уровень с которого надо начинать. ясно. но стоит отметить что проникновение по городу ну очень слабое. в доме на 60 квартир в лучшем случае подключено 3-4 квартиры. 5к абонентов - это максимум теоретически возможный. L3 - нет. есть только то что есть. по сути суда и написал что бы попробовать решить проблему на текущей конфигурации. и сделать так сказать "конфетку".. Вставить ник Quote
darkagent Posted May 30, 2011 Posted May 30, 2011 Не из всякого говна можно сделать конфетку, сколько не старайся. То что у вас есть сейчас - с этого обычно начинали пионеры начала 2000х, модернизировать такое Г потом будет сложнее, чем изначально все делать по-людски. Вставить ник Quote
AlexSatter Posted May 30, 2011 Posted May 30, 2011 ну а как вы можете от dhcp обезопаситься на оборудовании которое не управляется? никак так что если запустить DHCP сервер, то адреса в пределах тупого свитчика у вас будут даваться от злоумышленника. вобще не то что о DHCP но и о любой другой безопасности не может быть идти речи на таком оборудовании. на управляемом dhcp snooping и прочее. Вставить ник Quote
Gromozeka Posted May 30, 2011 Posted May 30, 2011 1) защитить сетку от сторонних DHCP ? 2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети.. 1. На том что сейчас у Вас - не как. не умеют они не DHCP snooping не ACL либо заводить в ручную IP и их выдавать с именем и паролями. 2. На полуумных свичах даже иногда бывают PrivateVlan, но на Вашем Г и этого нет. Вставить ник Quote
vasya_krg Posted May 30, 2011 Author Posted May 30, 2011 Спасибо за ответы. в целом для себя вывел пока такую стратегию: на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер). то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд, с другой стороны (к вопросу о проникновении) на каждом таком свитче будет по 2-3 абонента - а это по сути сравнимо с домашним роутером и 2-3 ноутбуками.. на сервере PPPoE+mac, DHCP snooping. что забыл ? ребят, и хватит про "Г". я бы с радостью заказ и кисок и серверов брендовых. и хотя бы консоли для операторов.. но в этом поселке а таких вещах не знают и денег таких не имеют. что есть, то есть. я вам уже премного благодарен что поддерживаете меня своими ответами, буду еще более благодарен если мы все же остановимся на технической составляющей. . Вставить ник Quote
darkagent Posted May 30, 2011 Posted May 30, 2011 что забыл ? http://content.foto.mail.ru/mail/golden_era/_answers/i-2743.jpg Вставить ник Quote
vasya_krg Posted May 30, 2011 Author Posted May 30, 2011 что забыл ? http://content.foto....wers/i-2743.jpg )))))) а вот и нет. это как раз было заложено в бюджете. Вставить ник Quote
Gromozeka Posted May 30, 2011 Posted May 30, 2011 Спасибо за ответы. в целом для себя вывел пока такую стратегию: на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер). то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд, с другой стороны (к вопросу о проникновении) на каждом таком свитче будет по 2-3 абонента - а это по сути сравнимо с домашним роутером и 2-3 ноутбуками.. на сервере PPPoE+mac, DHCP snooping. что забыл ? ребят, и хватит про "Г". я бы с радостью заказ и кисок и серверов брендовых. и хотя бы консоли для операторов.. но в этом поселке а таких вещах не знают и денег таких не имеют. что есть, то есть. я вам уже премного благодарен что поддерживаете меня своими ответами, буду еще более благодарен если мы все же остановимся на технической составляющей. . Ну тогда все будет держаться на энтузиазме, и геройстве Вашем. Совет , - закрыть глаза и кинуться в это с головой, пока лето работать сутками. Так, мы здесь, лет десять все почти начинали. У Вас есть года два-три пока тройка сотовиков не запустит LTE если не успеете, то вы не вылезете. У вас есть только одно конкурентное преимущество - СЕТЬ со СВАЛКАМИ ФАЙЛОВ. на это и бейте. Вставить ник Quote
vasya_krg Posted May 30, 2011 Author Posted May 30, 2011 У вас есть только одно конкурентное преимущество - СЕТЬ со СВАЛКАМИ ФАЙЛОВ. на это и бейте. Спасибо ! другого и не остается )) Вставить ник Quote
Gromozeka Posted May 30, 2011 Posted May 30, 2011 в целом для себя вывел пока такую стратегию: на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер). то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд, Поройся в инете было где то как доработать паяльником DES-1008 чтоб на нем можно было реализовать Private VLAN, но давно это было (лет пять назад) возможно у них элементная база изменилась внутри. на сервере PPPoE+mac, DHCP snooping. DHCP snooping - возможен только на коммутаторах, не какого отношения к серверам не имеет. Вставить ник Quote
bos9 Posted May 30, 2011 Posted May 30, 2011 1) защитить сетку от сторонних DHCP в вашем случае конечно лучше ручками вбивать, но если очень хочется, то вот костыли =) кстати, если будете смотреть в сторону pppoe, то там таже проблема актуальна Вставить ник Quote
vasya_krg Posted May 30, 2011 Author Posted May 30, 2011 DHCP snooping - возможен только на коммутаторах, не какого отношения к серверам не имеет. ну это понятно. я в целом.. в вашем случае конечно лучше ручками вбивать, но если очень хочется, то вот костыли =) кстати, если будете смотреть в сторону pppoe, то там таже проблема актуальна кстати интересные костыли :) Вставить ник Quote
AlKov Posted May 30, 2011 Posted May 30, 2011 Поройся в инете было где то как доработать паяльником DES-1008 чтоб на нем можно было реализовать Private VLAN, но давно это было (лет пять назад) возможно у них элементная база изменилась внутри. Если 1008-е "свежие", то 100% не прокатит.. Вставить ник Quote
s.lobanov Posted May 30, 2011 Posted May 30, 2011 1. Не делайте ни в коем случаем dhcp на мыльницах без изоляции портов. Сторониие dhcp-сервера появятся очень быстро и даже не из вредности, а потому что у кого-нибудь он просто окажется на компьютере. В этом случае, pppoe намного лучше, потому что случайно фейковый pppoe-сервер не появится(я например не знаю какую галочку надо поставить в винде, чтобы терминировать на ней pppoe-клиентов и есть ли такая галочку вообще), только если кто-то специально будет вам гадить. 2. В случае, если всё-таки удасться найти мыльницы с изоляцией портов(иногда это называют "аппаратный" влан или port-based vlan), то с точки зрения администрирования и удобства для клиентов лучше всего делать pppoe, потому что в случае dhcp или статических ip вам придётся делать mac-ip acl на агрегирующем коммутаторе, т.е. с каждого абонента придётся спрашивать mac-адрес, это не очень удобно как для вас, так и для ваших клиентов. 3. Каскадировать мыльницы это значит ничего не получится продиагностировать. Старайтесь втыкать каждый неуправляемый свитч в порт управляемого. Про iptv на неуправляемом оборудовании можете сразу забыть. Мультикаст просто будет флудить во все порты, потому что igmp-запросы никто не обрабатывает и чип не знает как надо осуществлять свитчинг кадрос с мультикаст мак-адресами. Вставить ник Quote
NiTr0 Posted May 30, 2011 Posted May 30, 2011 (edited) Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому. Подсеть на дом + доступ в инет по туннелю (PPPoE/L2TP/PPTP). При отсутствии внутренних ресурсов - только туннели, без локальной подсети. По другому - либо авторизация через костыль в виде веб-формы (что есть криво, и абоненты будут на это плеваться), либо - да здравствует халява, когда N абонентов под одним IP+MAC сидят на одной учетке. после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве... Если мыльницы правильно готовить (грозозащиты + мини-UPS на питание), они в принципе могут быть довольно стабильными. У нас, к примеру, пока еще FTTD пользуется, оконечники - мыльницы с централизованным питанием. Да, монтажники в рабочее время в потолок не плюют, но и завала на неделю вперед никогда не наблюдалось. Подключено ~300 домов. 1) защитить сетку от сторонних DHCP ? Только dhcdrop на сервере, который выявляет и пытается зафлудить левые дхцп, + отсылает диспетчеру сообщения о том, что Вася Пупкин с маком xxxxxxx срет соседям по сегменту. Ну и максимальная сегментация. 2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети.. Никак. Совсем никак. P.S. А вообще - ну не пойму я, почему вы не взяли в ядро гигабитный свич??? Да хотя бы тот же планет GSW-2416SF? И, соответственно, вместо кастратов-"свичемедиаконвертеров" какие-нибудь хотя бы веб смарты с гигабитным портом, типа TL-SL2210WEB? Куда меньше проблем бы было в будущем. А если FTTB протянули - то и подавно абонентов хотя бы в вебсмарты тыкать, лучше - в полноценные managed свичи. По цене вышло бы на копейки дороже, зато головной боли - на порядок меньше. И никаких криков "а чего у всех на моем доме вместо 50 мбит инета всего 10 вечером"... Edited May 30, 2011 by NiTr0 Вставить ник Quote
msdt Posted May 30, 2011 Posted May 30, 2011 Если предполагается, что абонентов на дом будет совсем мало, то можно было бы попытаться вместо DES-1008 использовать Mikrotik RB/250GS... Или (еще более дешево и сердито) SNR-S1907-1S Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.