vasya_krg Опубликовано 30 мая, 2011 · Жалоба День добрый. возникла задача построить небольшую городскую сеть (порядка 5к абонентов). с этой целью закупили оборудование: - NSGate Коммутатор DAS-4G24F 24 x 100M SFP слота - 1 шт. - NGGate Медиаконвертер/ Коммутатор NF-SFP24 2xSFP+4xEthernet 10/100Base-TX, Port based VLAN - 15 шт. - D-Link Switch 8 port D-Link DES-1008A 10/100Mbps - 200 шт. Физика, как видно из оборудования следующая - в каждый порт коммутатора втыкается по одному медиаконвертеру, который устанавливается в локации из 4 домов. на каждый порт медиаконвертера по UTP вещается свитч, который дает 7 портов для абонентов уже в конкретном доме. Коммутатор соединяется с сервером Ideco (на котором будут два провайдера). Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому. учитывая что конечные абонентские свитчи просты до безобразия (уговорить на управляемые management switsh не получилось :( ) Конечному пользователю будет выделятся внешний ИП. то есть услуга доступа в интернет будет предоставляться полностью (скайпы, торренты и пр.). Далее на эту сеть будет навещиваться IPTV + телефония. соответственно расширение функционала должно проходить безболезненно. Проникаемость по городу очень низкая (на первый год планируется подключить не более 500-1000 абонентов). Оборудование будет закупаться по мере заполнения портов. По сути конфигурация будет постоянно умножаться на два (плюс один коммутатора, плюс к нему медиа конвертеры и свитчи). сразу хочу заметить что 80% города уже покрыта оптикой (в локациях домов установлены анти-вандальные ящики и пр. То есть остается только втыкать актив и наращивать мощности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 30 мая, 2011 · Жалоба матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы. да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasya_krg Опубликовано 30 мая, 2011 · Жалоба матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы. да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол. денег не осталось. потратил все на вазелин :) Тв и связь в далеком будущем, то что мыльницы - понятно. с другой стороны, кто будет финансировать проект с приростом в год макс 500 абонентов ? вопрос не в этом. вопрос в том как мальницы намылить исходя из исходной задачи ?... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mukca Опубликовано 30 мая, 2011 · Жалоба вопрос в том как мальницы намылить исходя из исходной задачи ?.. после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве... предлогаю начать искать новую работу и как можно быстрее срулить с такой организации.. имхо с такими мега планами и такой базой далеко не уедешь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasya_krg Опубликовано 30 мая, 2011 · Жалоба вопрос в том как мальницы намылить исходя из исходной задачи ?.. после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве... предлогаю начать искать новую работу и как можно быстрее срулить с такой организации.. имхо с такими мега планами и такой базой далеко не уедешь мне понятен пассивный настрой. и все же... если вернуться к начальному вопросу.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexSatter Опубликовано 30 мая, 2011 · Жалоба а как на этом оборудовании осуществить: " Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому. " ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 30 мая, 2011 · Жалоба матерь божья.. забудьте про iptv и телефонию. они и должны были стать серьезным аргументом в уговоре на нормальные коммутаторы. да и после первого года вам этого хлама однозначно не хватит - это ж все мыльницы... если деньги остались, срочно закупайте валерьянку и корвалол. ++1 На этом говне только PPTP или PPPoE. Не какого * per у вас на этом оборудовании не получиться однозначно. В будущее .. пока Вы не викините все это оборудование не какого мультикаста (т.е. IpTV и VoIP) не допустимо в такой сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasya_krg Опубликовано 30 мая, 2011 · Жалоба хорошо. выкину.:) PPPoE - вариант. учитывая что ideco хорошо с этим справится. теперь как быть с такими вопросами: 1) защитить сетку от сторонних DHCP ? 2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 30 мая, 2011 · Жалоба Сеть в 5000 абонентов может приносить чистой прибыли в полляма в месяц. Вот и исходите из этого, чтоб это реализовать, необходима однозначно оптика как минимум жила на дом все это в центр или на агрегацию района. не каких 100Мб только 1G на жилу. На жиле умный коммутатор как минимум 3200 или 3528. на каждый коммутатор как минимум один Vlan а лучше еще поделить, особенно на те порты которые уходят на тупые подъездные мыльницы свой Vlan. Все согнать в центр там стерминировать Vlanы на умном L3 Коммутаторе. Вот как-то примерно так. И то это только начальный уровень с которого надо начинать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasya_krg Опубликовано 30 мая, 2011 · Жалоба Сеть в 5000 абонентов может приносить чистой прибыли в полляма в месяц. Вот и исходите из этого, чтоб это реализовать, необходима однозначно оптика как минимум жила на дом все это в центр или на агрегацию района. не каких 100Мб только 1G на жилу. На жиле умный коммутатор как минимум 3200 или 3528. на каждый коммутатор как минимум один Vlan а лучше еще поделить, особенно на те порты которые уходят на тупые подъездные мыльницы свой Vlan. Все согнать в центр там стерминировать Vlanы на умном L3 Коммутаторе. Вот как-то примерно так. И то это только начальный уровень с которого надо начинать. ясно. но стоит отметить что проникновение по городу ну очень слабое. в доме на 60 квартир в лучшем случае подключено 3-4 квартиры. 5к абонентов - это максимум теоретически возможный. L3 - нет. есть только то что есть. по сути суда и написал что бы попробовать решить проблему на текущей конфигурации. и сделать так сказать "конфетку".. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 30 мая, 2011 · Жалоба Не из всякого говна можно сделать конфетку, сколько не старайся. То что у вас есть сейчас - с этого обычно начинали пионеры начала 2000х, модернизировать такое Г потом будет сложнее, чем изначально все делать по-людски. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlexSatter Опубликовано 30 мая, 2011 · Жалоба ну а как вы можете от dhcp обезопаситься на оборудовании которое не управляется? никак так что если запустить DHCP сервер, то адреса в пределах тупого свитчика у вас будут даваться от злоумышленника. вобще не то что о DHCP но и о любой другой безопасности не может быть идти речи на таком оборудовании. на управляемом dhcp snooping и прочее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 30 мая, 2011 · Жалоба 1) защитить сетку от сторонних DHCP ? 2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети.. 1. На том что сейчас у Вас - не как. не умеют они не DHCP snooping не ACL либо заводить в ручную IP и их выдавать с именем и паролями. 2. На полуумных свичах даже иногда бывают PrivateVlan, но на Вашем Г и этого нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasya_krg Опубликовано 30 мая, 2011 · Жалоба Спасибо за ответы. в целом для себя вывел пока такую стратегию: на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер). то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд, с другой стороны (к вопросу о проникновении) на каждом таком свитче будет по 2-3 абонента - а это по сути сравнимо с домашним роутером и 2-3 ноутбуками.. на сервере PPPoE+mac, DHCP snooping. что забыл ? ребят, и хватит про "Г". я бы с радостью заказ и кисок и серверов брендовых. и хотя бы консоли для операторов.. но в этом поселке а таких вещах не знают и денег таких не имеют. что есть, то есть. я вам уже премного благодарен что поддерживаете меня своими ответами, буду еще более благодарен если мы все же остановимся на технической составляющей. . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 30 мая, 2011 · Жалоба что забыл ? http://content.foto.mail.ru/mail/golden_era/_answers/i-2743.jpg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasya_krg Опубликовано 30 мая, 2011 · Жалоба что забыл ? http://content.foto....wers/i-2743.jpg )))))) а вот и нет. это как раз было заложено в бюджете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 30 мая, 2011 · Жалоба Спасибо за ответы. в целом для себя вывел пока такую стратегию: на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер). то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд, с другой стороны (к вопросу о проникновении) на каждом таком свитче будет по 2-3 абонента - а это по сути сравнимо с домашним роутером и 2-3 ноутбуками.. на сервере PPPoE+mac, DHCP snooping. что забыл ? ребят, и хватит про "Г". я бы с радостью заказ и кисок и серверов брендовых. и хотя бы консоли для операторов.. но в этом поселке а таких вещах не знают и денег таких не имеют. что есть, то есть. я вам уже премного благодарен что поддерживаете меня своими ответами, буду еще более благодарен если мы все же остановимся на технической составляющей. . Ну тогда все будет держаться на энтузиазме, и геройстве Вашем. Совет , - закрыть глаза и кинуться в это с головой, пока лето работать сутками. Так, мы здесь, лет десять все почти начинали. У Вас есть года два-три пока тройка сотовиков не запустит LTE если не успеете, то вы не вылезете. У вас есть только одно конкурентное преимущество - СЕТЬ со СВАЛКАМИ ФАЙЛОВ. на это и бейте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasya_krg Опубликовано 30 мая, 2011 · Жалоба У вас есть только одно конкурентное преимущество - СЕТЬ со СВАЛКАМИ ФАЙЛОВ. на это и бейте. Спасибо ! другого и не остается )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 30 мая, 2011 · Жалоба в целом для себя вывел пока такую стратегию: на коммутаторе запрещаю абонентам общаться между собой (только через порт в который подключен сервер). то что абоненты смогут создать свои сети внутри неуправляемых свитчей не есть гуд, Поройся в инете было где то как доработать паяльником DES-1008 чтоб на нем можно было реализовать Private VLAN, но давно это было (лет пять назад) возможно у них элементная база изменилась внутри. на сервере PPPoE+mac, DHCP snooping. DHCP snooping - возможен только на коммутаторах, не какого отношения к серверам не имеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 30 мая, 2011 · Жалоба 1) защитить сетку от сторонних DHCP в вашем случае конечно лучше ручками вбивать, но если очень хочется, то вот костыли =) кстати, если будете смотреть в сторону pppoe, то там таже проблема актуальна Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vasya_krg Опубликовано 30 мая, 2011 · Жалоба DHCP snooping - возможен только на коммутаторах, не какого отношения к серверам не имеет. ну это понятно. я в целом.. в вашем случае конечно лучше ручками вбивать, но если очень хочется, то вот костыли =) кстати, если будете смотреть в сторону pppoe, то там таже проблема актуальна кстати интересные костыли :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 30 мая, 2011 · Жалоба Поройся в инете было где то как доработать паяльником DES-1008 чтоб на нем можно было реализовать Private VLAN, но давно это было (лет пять назад) возможно у них элементная база изменилась внутри. Если 1008-е "свежие", то 100% не прокатит.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 30 мая, 2011 · Жалоба 1. Не делайте ни в коем случаем dhcp на мыльницах без изоляции портов. Сторониие dhcp-сервера появятся очень быстро и даже не из вредности, а потому что у кого-нибудь он просто окажется на компьютере. В этом случае, pppoe намного лучше, потому что случайно фейковый pppoe-сервер не появится(я например не знаю какую галочку надо поставить в винде, чтобы терминировать на ней pppoe-клиентов и есть ли такая галочку вообще), только если кто-то специально будет вам гадить. 2. В случае, если всё-таки удасться найти мыльницы с изоляцией портов(иногда это называют "аппаратный" влан или port-based vlan), то с точки зрения администрирования и удобства для клиентов лучше всего делать pppoe, потому что в случае dhcp или статических ip вам придётся делать mac-ip acl на агрегирующем коммутаторе, т.е. с каждого абонента придётся спрашивать mac-адрес, это не очень удобно как для вас, так и для ваших клиентов. 3. Каскадировать мыльницы это значит ничего не получится продиагностировать. Старайтесь втыкать каждый неуправляемый свитч в порт управляемого. Про iptv на неуправляемом оборудовании можете сразу забыть. Мультикаст просто будет флудить во все порты, потому что igmp-запросы никто не обрабатывает и чип не знает как надо осуществлять свитчинг кадрос с мультикаст мак-адресами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 30 мая, 2011 (изменено) · Жалоба Вопрос - какую архитектуру лучше применить ? vlan per user или port. или как то по другому. Подсеть на дом + доступ в инет по туннелю (PPPoE/L2TP/PPTP). При отсутствии внутренних ресурсов - только туннели, без локальной подсети. По другому - либо авторизация через костыль в виде веб-формы (что есть криво, и абоненты будут на это плеваться), либо - да здравствует халява, когда N абонентов под одним IP+MAC сидят на одной учетке. после 200 абонентов вы маленько прихренеете, а потом после первого выключения света или хорошенькой грозы подумаете о самоубийстве... Если мыльницы правильно готовить (грозозащиты + мини-UPS на питание), они в принципе могут быть довольно стабильными. У нас, к примеру, пока еще FTTD пользуется, оконечники - мыльницы с централизованным питанием. Да, монтажники в рабочее время в потолок не плюют, но и завала на неделю вперед никогда не наблюдалось. Подключено ~300 домов. 1) защитить сетку от сторонних DHCP ? Только dhcdrop на сервере, который выявляет и пытается зафлудить левые дхцп, + отсылает диспетчеру сообщения о том, что Вася Пупкин с маком xxxxxxx срет соседям по сегменту. Ну и максимальная сегментация. 2) не дать пользователям объединяться в свои локальные сети. ведь что им мешает на сетевых картах прописать ипы в одной сети.. Никак. Совсем никак. P.S. А вообще - ну не пойму я, почему вы не взяли в ядро гигабитный свич??? Да хотя бы тот же планет GSW-2416SF? И, соответственно, вместо кастратов-"свичемедиаконвертеров" какие-нибудь хотя бы веб смарты с гигабитным портом, типа TL-SL2210WEB? Куда меньше проблем бы было в будущем. А если FTTB протянули - то и подавно абонентов хотя бы в вебсмарты тыкать, лучше - в полноценные managed свичи. По цене вышло бы на копейки дороже, зато головной боли - на порядок меньше. И никаких криков "а чего у всех на моем доме вместо 50 мбит инета всего 10 вечером"... Изменено 30 мая, 2011 пользователем NiTr0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
msdt Опубликовано 30 мая, 2011 · Жалоба Если предполагается, что абонентов на дом будет совсем мало, то можно было бы попытаться вместо DES-1008 использовать Mikrotik RB/250GS... Или (еще более дешево и сердито) SNR-S1907-1S Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...