[vasya_krg]

День добрый.

возникла задача построить небольшую городскую сеть (порядка 5к абонентов).

с этой целью закупили оборудование:

- NSGate Коммутатор DAS-4G24F 24 x 100M SFP слота - 1 шт.

- NGGate Медиаконвертер/ Коммутатор NF-SFP24 2xSFP+4xEthernet 10/100Base-TX, Port based VLAN - 15 шт.

- D-Link Switch 8 port D-Link DES-1008A 10/100Mbps - 200 шт.

 

Физика, как видно из оборудования следующая - в каждый порт коммутатора втыкается по одному медиаконвертеру, который устанавливается в локации из 4 домов.

на каждый порт медиаконвертера по UTP вещается свитч, который дает 7 портов для абонентов уже в конкретном доме.

Коммутатор соединяется с сервером Ideco (на котором будут два провайдера).

 

Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому.

учитывая что конечные абонентские свитчи просты до безобразия (уговорить на управляемые management switsh не получилось :( )

Конечному пользователю будет выделятся внешний ИП. то есть услуга доступа в интернет будет предоставляться полностью (скайпы, торренты и пр.).

Далее на эту сеть будет навещиваться IPTV + телефония. соответственно расширение функционала должно проходить безболезненно.

 

Проникаемость по городу очень низкая (на первый год планируется подключить не более 500-1000 абонентов).

Оборудование будет закупаться по мере заполнения портов. По сути конфигурация будет постоянно умножаться на два (плюс один коммутатора, плюс к нему медиа конвертеры и свитчи). сразу хочу заметить что 80% города уже покрыта оптикой (в локациях домов установлены анти-вандальные ящики и пр.

То есть остается только втыкать актив и наращивать мощности.

[darkagent]

матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы.

да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол.

[vasya_krg]

матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы.

да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол.

 

денег не осталось. потратил все на вазелин :)

Тв и связь в далеком будущем, то что мыльницы - понятно. с другой стороны, кто будет финансировать проект с приростом в год макс 500 абонентов ?

вопрос не в этом.

вопрос в том как мальницы намылить исходя из исходной задачи ?...

[mukca]

вопрос в том как мальницы намылить исходя из исходной задачи ?..

после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве...

 

предлогаю начать искать новую работу и как можно быстрее срулить с такой организации.. имхо с такими мега планами и такой базой далеко не уедешь

[vasya_krg]

вопрос в том как мальницы намылить исходя из исходной задачи ?..

после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве...

 

предлогаю начать искать новую работу и как можно быстрее срулить с такой организации.. имхо с такими мега планами и такой базой далеко не уедешь

 

мне понятен пассивный настрой.

и все же... если вернуться к начальному вопросу....

[AlexSatter]

а как на этом оборудовании осуществить: " Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому. " ?

[Gromozeka]

матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы.

да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол.

 

++1

 

На этом говне только PPTP или PPPoE.

 

Не какого * per у вас на этом оборудовании не получиться однозначно.

 

В будущее .. пока Вы не викините все это оборудование не какого мультикаста (т.е. IpTV и VoIP) не допустимо в такой сети.

[vasya_krg]

хорошо. выкину.:)

 

PPPoE - вариант. учитывая что ideco хорошо с этим справится.

 

теперь как быть с такими вопросами:

1) защитить сетку от сторонних DHCP ?

2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети..

[Gromozeka]

Сеть в 5000 абонентов может приносить чистой прибыли в полляма в месяц.

Вот и исходите из этого, чтоб это реализовать, необходима однозначно

оптика как минимум жила на дом все это в центр или на агрегацию района.

не каких 100Мб только 1G на жилу.

На жиле умный коммутатор как минимум 3200 или 3528.

на каждый коммутатор как минимум один Vlan а лучше еще поделить, особенно

на те порты которые уходят на тупые подъездные мыльницы свой Vlan.

Все согнать в центр там стерминировать Vlanы на умном L3 Коммутаторе.

 

Вот как-то примерно так.

И то это только начальный уровень с которого надо начинать.

[vasya_krg]

Сеть в 5000 абонентов может приносить чистой прибыли в полляма в месяц.

Вот и исходите из этого, чтоб это реализовать, необходима однозначно

оптика как минимум жила на дом все это в центр или на агрегацию района.

не каких 100Мб только 1G на жилу.

На жиле умный коммутатор как минимум 3200 или 3528.

на каждый коммутатор как минимум один Vlan а лучше еще поделить, особенно

на те порты которые уходят на тупые подъездные мыльницы свой Vlan.

Все согнать в центр там стерминировать Vlanы на умном L3 Коммутаторе.

 

Вот как-то примерно так.

И то это только начальный уровень с которого надо начинать.

 

ясно. но стоит отметить что проникновение по городу ну очень слабое. в доме на 60 квартир в лучшем случае подключено 3-4 квартиры.

5к абонентов - это максимум теоретически возможный.

L3 - нет. есть только то что есть.

по сути суда и написал что бы попробовать решить проблему на текущей конфигурации. и сделать так сказать "конфетку"..

[darkagent]

Не из всякого говна можно сделать конфетку, сколько не старайся.

То что у вас есть сейчас - с этого обычно начинали пионеры начала 2000х, модернизировать такое Г потом будет сложнее, чем изначально все делать по-людски.

[AlexSatter]

ну а как вы можете от dhcp обезопаситься на оборудовании которое не управляется?

никак

так что если запустить DHCP сервер, то адреса в пределах тупого свитчика у вас будут даваться от злоумышленника.

вобще не то что о DHCP но и о любой другой безопасности не может быть идти речи на таком оборудовании.

на управляемом dhcp snooping и прочее.

[Gromozeka]

 

1) защитить сетку от сторонних DHCP ?

2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети..

 

 

1. На том что сейчас у Вас - не как. не умеют они не DHCP snooping не ACL

либо заводить в ручную IP и их выдавать с именем и паролями.

 

2. На полуумных свичах даже иногда бывают PrivateVlan, но на Вашем Г и этого нет.

[vasya_krg]

Спасибо за ответы.

 

в целом для себя вывел пока такую стратегию:

на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер).

то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд,

с другой стороны (к вопросу о проникновении) на каждом таком свитче

будет по 2-3 абонента - а это по сути сравнимо с домашним роутером и 2-3 ноутбуками..

на сервере PPPoE+mac, DHCP snooping.

 

что забыл ?

 

ребят, и хватит про "Г". я бы с радостью заказ и кисок и серверов брендовых. и хотя бы консоли для операторов..

но в этом поселке а таких вещах не знают и денег таких не имеют.

что есть, то есть.

я вам уже премного благодарен что поддерживаете меня своими ответами, буду еще более благодарен если мы все же остановимся на технической составляющей.

.

[darkagent]

что забыл ?

http://content.foto.mail.ru/mail/golden_era/_answers/i-2743.jpg

[vasya_krg]

что забыл ?

http://content.foto....wers/i-2743.jpg

 

)))))) а вот и нет. это как раз было заложено в бюджете.

[Gromozeka]

Спасибо за ответы.

 

в целом для себя вывел пока такую стратегию:

на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер).

то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд,

с другой стороны (к вопросу о проникновении) на каждом таком свитче

будет по 2-3 абонента - а это по сути сравнимо с домашним роутером и 2-3 ноутбуками..

на сервере PPPoE+mac, DHCP snooping.

 

что забыл ?

 

ребят, и хватит про "Г". я бы с радостью заказ и кисок и серверов брендовых. и хотя бы консоли для операторов..

но в этом поселке а таких вещах не знают и денег таких не имеют.

что есть, то есть.

я вам уже премного благодарен что поддерживаете меня своими ответами, буду еще более благодарен если мы все же остановимся на технической составляющей.

.

 

 

Ну тогда все будет держаться на энтузиазме, и геройстве Вашем.

Совет , - закрыть глаза и кинуться в это с головой, пока лето работать сутками.

Так, мы здесь, лет десять все почти начинали.

 

У Вас есть года два-три пока тройка сотовиков не запустит LTE если не успеете,

то вы не вылезете.

У вас есть только одно конкурентное преимущество - СЕТЬ со СВАЛКАМИ ФАЙЛОВ.

на это и бейте.

[vasya_krg]

 

У вас есть только одно конкурентное преимущество - СЕТЬ со СВАЛКАМИ ФАЙЛОВ.

на это и бейте.

 

Спасибо ! другого и не остается ))

[Gromozeka]

в целом для себя вывел пока такую стратегию:

на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер).

то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд,

 

Поройся в инете было где то как доработать паяльником DES-1008 чтоб на нем можно было реализовать

Private VLAN, но давно это было (лет пять назад) возможно у них элементная база изменилась внутри.

 

 

на сервере PPPoE+mac, DHCP snooping.

 

DHCP snooping - возможен только на коммутаторах, не какого отношения к серверам не имеет.

[bos9]

1) защитить сетку от сторонних DHCP

 

в вашем случае конечно лучше ручками вбивать, но если очень хочется, то вот костыли =)

 

кстати, если будете смотреть в сторону pppoe, то там таже проблема актуальна

[vasya_krg]

 

DHCP snooping - возможен только на коммутаторах, не какого отношения к серверам не имеет.

 

ну это понятно. я в целом..

 

в вашем случае конечно лучше ручками вбивать, но если очень хочется, то вот костыли =)

 

кстати, если будете смотреть в сторону pppoe, то там таже проблема актуальна

 

кстати интересные костыли :)

[AlKov]

Поройся в инете было где то как доработать паяльником DES-1008 чтоб на нем можно было реализовать

Private VLAN, но давно это было (лет пять назад) возможно у них элементная база изменилась внутри.

Если 1008-е "свежие", то 100% не прокатит..

[s.lobanov]

1. Не делайте ни в коем случаем dhcp на мыльницах без изоляции портов. Сторониие dhcp-сервера появятся очень быстро и даже не из вредности, а потому что у кого-нибудь он просто окажется на компьютере. В этом случае, pppoe намного лучше, потому что случайно фейковый pppoe-сервер не появится(я например не знаю какую галочку надо поставить в винде, чтобы терминировать на ней pppoe-клиентов и есть ли такая галочку вообще), только если кто-то специально будет вам гадить.

2. В случае, если всё-таки удасться найти мыльницы с изоляцией портов(иногда это называют "аппаратный" влан или port-based vlan), то с точки зрения администрирования и удобства для клиентов лучше всего делать pppoe, потому что в случае dhcp или статических ip вам придётся делать mac-ip acl на агрегирующем коммутаторе, т.е. с каждого абонента придётся спрашивать mac-адрес, это не очень удобно как для вас, так и для ваших клиентов.

3. Каскадировать мыльницы это значит ничего не получится продиагностировать. Старайтесь втыкать каждый неуправляемый свитч в порт управляемого.

 

Про iptv на неуправляемом оборудовании можете сразу забыть. Мультикаст просто будет флудить во все порты, потому что igmp-запросы никто не обрабатывает и чип не знает как надо осуществлять свитчинг кадрос с мультикаст мак-адресами.

[NiTr0]

Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому.

Подсеть на дом + доступ в инет по туннелю (PPPoE/L2TP/PPTP). При отсутствии внутренних ресурсов - только туннели, без локальной подсети. По другому - либо авторизация через костыль в виде веб-формы (что есть криво, и абоненты будут на это плеваться), либо - да здравствует халява, когда N абонентов под одним IP+MAC сидят на одной учетке.

 

после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве...

Если мыльницы правильно готовить (грозозащиты + мини-UPS на питание), они в принципе могут быть довольно стабильными. У нас, к примеру, пока еще FTTD пользуется, оконечники - мыльницы с централизованным питанием. Да, монтажники в рабочее время в потолок не плюют, но и завала на неделю вперед никогда не наблюдалось. Подключено ~300 домов.

 

1) защитить сетку от сторонних DHCP ?

Только dhcdrop на сервере, который выявляет и пытается зафлудить левые дхцп, + отсылает диспетчеру сообщения о том, что Вася Пупкин с маком xxxxxxx срет соседям по сегменту. Ну и максимальная сегментация.

 

2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети..

Никак. Совсем никак.

 

P.S. А вообще - ну не пойму я, почему вы не взяли в ядро гигабитный свич??? Да хотя бы тот же планет GSW-2416SF? И, соответственно, вместо кастратов-"свичемедиаконвертеров" какие-нибудь хотя бы веб смарты с гигабитным портом, типа TL-SL2210WEB? Куда меньше проблем бы было в будущем. А если FTTB протянули - то и подавно абонентов хотя бы в вебсмарты тыкать, лучше - в полноценные managed свичи. По цене вышло бы на копейки дороже, зато головной боли - на порядок меньше. И никаких криков "а чего у всех на моем доме вместо 50 мбит инета всего 10 вечером"...

Изменено 30 мая, 2011 пользователем NiTr0

[msdt]

Если предполагается, что абонентов на дом будет совсем мало, то можно было бы попытаться вместо DES-1008 использовать Mikrotik RB/250GS... Или (еще более дешево и сердито) SNR-S1907-1S