Jump to content
Калькуляторы

Vlan на юзера\порт или логин\пасс ? выбор решения исходя из конкретики

День добрый.

возникла задача построить небольшую городскую сеть (порядка 5к абонентов).

с этой целью закупили оборудование:

- NSGate Коммутатор DAS-4G24F 24 x 100M SFP слота - 1 шт.

- NGGate Медиаконвертер/ Коммутатор NF-SFP24 2xSFP+4xEthernet 10/100Base-TX, Port based VLAN - 15 шт.

- D-Link Switch 8 port D-Link DES-1008A 10/100Mbps - 200 шт.

 

Физика, как видно из оборудования следующая - в каждый порт коммутатора втыкается по одному медиаконвертеру, который устанавливается в локации из 4 домов.

на каждый порт медиаконвертера по UTP вещается свитч, который дает 7 портов для абонентов уже в конкретном доме.

Коммутатор соединяется с сервером Ideco (на котором будут два провайдера).

 

Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому.

учитывая что конечные абонентские свитчи просты до безобразия (уговорить на управляемые management switsh не получилось :( )

Конечному пользователю будет выделятся внешний ИП. то есть услуга доступа в интернет будет предоставляться полностью (скайпы, торренты и пр.).

Далее на эту сеть будет навещиваться IPTV + телефония. соответственно расширение функционала должно проходить безболезненно.

 

Проникаемость по городу очень низкая (на первый год планируется подключить не более 500-1000 абонентов).

Оборудование будет закупаться по мере заполнения портов. По сути конфигурация будет постоянно умножаться на два (плюс один коммутатора, плюс к нему медиа конвертеры и свитчи). сразу хочу заметить что 80% города уже покрыта оптикой (в локациях домов установлены анти-вандальные ящики и пр.

То есть остается только втыкать актив и наращивать мощности.

Share this post


Link to post
Share on other sites

матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы.

да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол.

Share this post


Link to post
Share on other sites

матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы.

да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол.

 

денег не осталось. потратил все на вазелин :)

Тв и связь в далеком будущем, то что мыльницы - понятно. с другой стороны, кто будет финансировать проект с приростом в год макс 500 абонентов ?

вопрос не в этом.

вопрос в том как мальницы намылить исходя из исходной задачи ?...

Share this post


Link to post
Share on other sites
вопрос в том как мальницы намылить исходя из исходной задачи ?..

после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве...

 

предлогаю начать искать новую работу и как можно быстрее срулить с такой организации.. имхо с такими мега планами и такой базой далеко не уедешь

Share this post


Link to post
Share on other sites
вопрос в том как мальницы намылить исходя из исходной задачи ?..

после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве...

 

предлогаю начать искать новую работу и как можно быстрее срулить с такой организации.. имхо с такими мега планами и такой базой далеко не уедешь

 

мне понятен пассивный настрой.

и все же... если вернуться к начальному вопросу....

Share this post


Link to post
Share on other sites

а как на этом оборудовании осуществить: " Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому. " ?

Share this post


Link to post
Share on other sites

матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы.

да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол.

 

++1

 

На этом говне только PPTP или PPPoE.

 

Не какого * per у вас на этом оборудовании не получиться однозначно.

 

В будущее .. пока Вы не викините все это оборудование не какого мультикаста (т.е. IpTV и VoIP) не допустимо в такой сети.

Share this post


Link to post
Share on other sites

хорошо. выкину.:)

 

PPPoE - вариант. учитывая что ideco хорошо с этим справится.

 

теперь как быть с такими вопросами:

1) защитить сетку от сторонних DHCP ?

2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети..

Share this post


Link to post
Share on other sites

Сеть в 5000 абонентов может приносить чистой прибыли в полляма в месяц.

Вот и исходите из этого, чтоб это реализовать, необходима однозначно

оптика как минимум жила на дом все это в центр или на агрегацию района.

не каких 100Мб только 1G на жилу.

На жиле умный коммутатор как минимум 3200 или 3528.

на каждый коммутатор как минимум один Vlan а лучше еще поделить, особенно

на те порты которые уходят на тупые подъездные мыльницы свой Vlan.

Все согнать в центр там стерминировать Vlanы на умном L3 Коммутаторе.

 

Вот как-то примерно так.

И то это только начальный уровень с которого надо начинать.

Share this post


Link to post
Share on other sites

Сеть в 5000 абонентов может приносить чистой прибыли в полляма в месяц.

Вот и исходите из этого, чтоб это реализовать, необходима однозначно

оптика как минимум жила на дом все это в центр или на агрегацию района.

не каких 100Мб только 1G на жилу.

На жиле умный коммутатор как минимум 3200 или 3528.

на каждый коммутатор как минимум один Vlan а лучше еще поделить, особенно

на те порты которые уходят на тупые подъездные мыльницы свой Vlan.

Все согнать в центр там стерминировать Vlanы на умном L3 Коммутаторе.

 

Вот как-то примерно так.

И то это только начальный уровень с которого надо начинать.

 

ясно. но стоит отметить что проникновение по городу ну очень слабое. в доме на 60 квартир в лучшем случае подключено 3-4 квартиры.

5к абонентов - это максимум теоретически возможный.

L3 - нет. есть только то что есть.

по сути суда и написал что бы попробовать решить проблему на текущей конфигурации. и сделать так сказать "конфетку"..

Share this post


Link to post
Share on other sites

Не из всякого говна можно сделать конфетку, сколько не старайся.

То что у вас есть сейчас - с этого обычно начинали пионеры начала 2000х, модернизировать такое Г потом будет сложнее, чем изначально все делать по-людски.

Share this post


Link to post
Share on other sites

ну а как вы можете от dhcp обезопаситься на оборудовании которое не управляется?

никак

так что если запустить DHCP сервер, то адреса в пределах тупого свитчика у вас будут даваться от злоумышленника.

вобще не то что о DHCP но и о любой другой безопасности не может быть идти речи на таком оборудовании.

на управляемом dhcp snooping и прочее.

Share this post


Link to post
Share on other sites

 

1) защитить сетку от сторонних DHCP ?

2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети..

 

 

1. На том что сейчас у Вас - не как. не умеют они не DHCP snooping не ACL

либо заводить в ручную IP и их выдавать с именем и паролями.

 

2. На полуумных свичах даже иногда бывают PrivateVlan, но на Вашем Г и этого нет.

Share this post


Link to post
Share on other sites

Спасибо за ответы.

 

в целом для себя вывел пока такую стратегию:

на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер).

то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд,

с другой стороны (к вопросу о проникновении) на каждом таком свитче

будет по 2-3 абонента - а это по сути сравнимо с домашним роутером и 2-3 ноутбуками..

на сервере PPPoE+mac, DHCP snooping.

 

что забыл ?

 

ребят, и хватит про "Г". я бы с радостью заказ и кисок и серверов брендовых. и хотя бы консоли для операторов..

но в этом поселке а таких вещах не знают и денег таких не имеют.

что есть, то есть.

я вам уже премного благодарен что поддерживаете меня своими ответами, буду еще более благодарен если мы все же остановимся на технической составляющей.

.

Share this post


Link to post
Share on other sites

Спасибо за ответы.

 

в целом для себя вывел пока такую стратегию:

на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер).

то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд,

с другой стороны (к вопросу о проникновении) на каждом таком свитче

будет по 2-3 абонента - а это по сути сравнимо с домашним роутером и 2-3 ноутбуками..

на сервере PPPoE+mac, DHCP snooping.

 

что забыл ?

 

ребят, и хватит про "Г". я бы с радостью заказ и кисок и серверов брендовых. и хотя бы консоли для операторов..

но в этом поселке а таких вещах не знают и денег таких не имеют.

что есть, то есть.

я вам уже премного благодарен что поддерживаете меня своими ответами, буду еще более благодарен если мы все же остановимся на технической составляющей.

.

 

 

Ну тогда все будет держаться на энтузиазме, и геройстве Вашем.

Совет , - закрыть глаза и кинуться в это с головой, пока лето работать сутками.

Так, мы здесь, лет десять все почти начинали.

 

У Вас есть года два-три пока тройка сотовиков не запустит LTE если не успеете,

то вы не вылезете.

У вас есть только одно конкурентное преимущество - СЕТЬ со СВАЛКАМИ ФАЙЛОВ.

на это и бейте.

Share this post


Link to post
Share on other sites

 

У вас есть только одно конкурентное преимущество - СЕТЬ со СВАЛКАМИ ФАЙЛОВ.

на это и бейте.

 

Спасибо ! другого и не остается ))

Share this post


Link to post
Share on other sites

в целом для себя вывел пока такую стратегию:

на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер).

то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд,

 

Поройся в инете было где то как доработать паяльником DES-1008 чтоб на нем можно было реализовать

Private VLAN, но давно это было (лет пять назад) возможно у них элементная база изменилась внутри.

 

 

на сервере PPPoE+mac, DHCP snooping.

 

DHCP snooping - возможен только на коммутаторах, не какого отношения к серверам не имеет.

Share this post


Link to post
Share on other sites

1) защитить сетку от сторонних DHCP

 

в вашем случае конечно лучше ручками вбивать, но если очень хочется, то вот костыли =)

 

кстати, если будете смотреть в сторону pppoe, то там таже проблема актуальна

Share this post


Link to post
Share on other sites

 

DHCP snooping - возможен только на коммутаторах, не какого отношения к серверам не имеет.

 

ну это понятно. я в целом..

 

в вашем случае конечно лучше ручками вбивать, но если очень хочется, то вот костыли =)

 

кстати, если будете смотреть в сторону pppoe, то там таже проблема актуальна

 

кстати интересные костыли :)

Share this post


Link to post
Share on other sites

Поройся в инете было где то как доработать паяльником DES-1008 чтоб на нем можно было реализовать

Private VLAN, но давно это было (лет пять назад) возможно у них элементная база изменилась внутри.

Если 1008-е "свежие", то 100% не прокатит..

Share this post


Link to post
Share on other sites

1. Не делайте ни в коем случаем dhcp на мыльницах без изоляции портов. Сторониие dhcp-сервера появятся очень быстро и даже не из вредности, а потому что у кого-нибудь он просто окажется на компьютере. В этом случае, pppoe намного лучше, потому что случайно фейковый pppoe-сервер не появится(я например не знаю какую галочку надо поставить в винде, чтобы терминировать на ней pppoe-клиентов и есть ли такая галочку вообще), только если кто-то специально будет вам гадить.

2. В случае, если всё-таки удасться найти мыльницы с изоляцией портов(иногда это называют "аппаратный" влан или port-based vlan), то с точки зрения администрирования и удобства для клиентов лучше всего делать pppoe, потому что в случае dhcp или статических ip вам придётся делать mac-ip acl на агрегирующем коммутаторе, т.е. с каждого абонента придётся спрашивать mac-адрес, это не очень удобно как для вас, так и для ваших клиентов.

3. Каскадировать мыльницы это значит ничего не получится продиагностировать. Старайтесь втыкать каждый неуправляемый свитч в порт управляемого.

 

Про iptv на неуправляемом оборудовании можете сразу забыть. Мультикаст просто будет флудить во все порты, потому что igmp-запросы никто не обрабатывает и чип не знает как надо осуществлять свитчинг кадрос с мультикаст мак-адресами.

Share this post


Link to post
Share on other sites

Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому.

Подсеть на дом + доступ в инет по туннелю (PPPoE/L2TP/PPTP). При отсутствии внутренних ресурсов - только туннели, без локальной подсети. По другому - либо авторизация через костыль в виде веб-формы (что есть криво, и абоненты будут на это плеваться), либо - да здравствует халява, когда N абонентов под одним IP+MAC сидят на одной учетке.

 

после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве...

Если мыльницы правильно готовить (грозозащиты + мини-UPS на питание), они в принципе могут быть довольно стабильными. У нас, к примеру, пока еще FTTD пользуется, оконечники - мыльницы с централизованным питанием. Да, монтажники в рабочее время в потолок не плюют, но и завала на неделю вперед никогда не наблюдалось. Подключено ~300 домов.

 

1) защитить сетку от сторонних DHCP ?

Только dhcdrop на сервере, который выявляет и пытается зафлудить левые дхцп, + отсылает диспетчеру сообщения о том, что Вася Пупкин с маком xxxxxxx срет соседям по сегменту. Ну и максимальная сегментация.

 

2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети..

Никак. Совсем никак.

 

P.S. А вообще - ну не пойму я, почему вы не взяли в ядро гигабитный свич??? Да хотя бы тот же планет GSW-2416SF? И, соответственно, вместо кастратов-"свичемедиаконвертеров" какие-нибудь хотя бы веб смарты с гигабитным портом, типа TL-SL2210WEB? Куда меньше проблем бы было в будущем. А если FTTB протянули - то и подавно абонентов хотя бы в вебсмарты тыкать, лучше - в полноценные managed свичи. По цене вышло бы на копейки дороже, зато головной боли - на порядок меньше. И никаких криков "а чего у всех на моем доме вместо 50 мбит инета всего 10 вечером"...

Edited by NiTr0

Share this post


Link to post
Share on other sites

Если предполагается, что абонентов на дом будет совсем мало, то можно было бы попытаться вместо DES-1008 использовать Mikrotik RB/250GS... Или (еще более дешево и сердито) SNR-S1907-1S

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this