Jump to content
Калькуляторы

IPoE (routing, nat, traffic shaper) Правильное построение

Здравствуйте, уважаемые гуру!

Имеем сеть IPoE. Vlan-на-дом. На уровне доступа Des-3526/3028. Уровень распределения Des-3100 24TG.

В ядре собираю все vlan на Dgs-3627.

Планируется раздавать интернет через NAT и белые IP, так же необходим шейпер.

 

 

Не могу выбрать лучшее решение для организации всего вышеперечисленного. Вот проблемы, с которыми я сталкиваюсь:

1. Как оптимально раздать белые адреса (Для каждого vlan выделять белый ip вроде как накладно) и серые имея схему vlan на дом.

2. Куда лучше всего поставить шейпер и как он должен работать (шлюзом или прозрачным мостом).

3. Какое оптимальное взаимодействие с биллингом (radius авторизация или скриптовое создание правила на шлюзе)

 

Примерная схема прилагается.

Заранее, спасибо!

post-64099-001603900 1317453884_thumb.png

Edited by morf

Share this post


Link to post
Share on other sites

Вы задали весьма общий вопрос, потому как данные задачи каждый решает как ему удобно. В часности 1) и 3). По 1) у меня коментариев нет, а по 3) - это вообще специфика вашего биллинга. Если он поддерживает радиус - делайте радиусом, если нет - прийдется изобретать костыли. По 2): мне кажется правильно, когда БРАС сразу шейпер. Это легкомасштабируемое и достаточно гибкое решение. Ставить шейперы ближе к границе сети экономически не выгодно. Хотя, возможно, у кого-то есть и обратный опыт.

Share this post


Link to post
Share on other sites

В том и дело, что каждый решает так, как ему удобно. Мне не хватает опыту в этих вопросах, поэтому я обратился за помощью к тем людям, которые решали эти вопросы и поделятся своим опытом :)

Касательно 1-го пункта:

Vlan-на-дом. Серых адресов ес-но мне не жалко. Как быть с белыми? Действительно выделать белый ip под шлюз в каждый vlan.

Касательно 2-го пункта:

NAT и шейпер на одном NAS(BRAS) ?

 

PS Возможно, если кто-нибудь привел свою схему организации IPoE, я бы прикинул что к чему и сделал выводы :)

Edited by morf

Share this post


Link to post
Share on other sites

Дело в том, что правильного решения вопроса не существует, в противном случае существовал бы рецепт универсального счастья как построить сеть.

 

Если говорить конкретнее, по 1), то можно в точке агрегации ВЛАНов сделать шлюз, тогда он будет один. Если Вы хотите ВЛАНами разбить еще и логику, читайте на подсети, то вам тогда нужен шлюз для каждого ВЛАНА. Работать будет и так и так. Не зная ваших задач давать какие-то рекомендации тут сложно. Не случайно ведь каждый решает свою задачу по-своему.

Касательного 2). Если получается сделать NAT+шейпер на брасе - это будет замечательно. К сожалению, иногда НАТ приходится выносить ближе к ядру сети в силу того, что если сделать НАТ сразу нельзя собрать нужную статистику/решить промежуточную задачу.

 

Вы описали очень мало для того, чтобы вам советовать что-то конкретное. Тут и от биллинга многое зависит и от пакетов и от целей которые вы перед собой ставите. Это всё не освещено в теме никак.

Edited by Dark_Angel

Share this post


Link to post
Share on other sites

Спасибо за ответ.

В данный момент сеть представляет из себя один большой сегмент, который никак не контролируется.

На каждый дом были поставлены коммутаторы DES-3526/3028, на уровень распределения DES-3100.

В ядре сети управляемый коммутатор 3 уровня DGS-3627. Шейпер+NAT Mikrotik.

Соответственно получили возможность полностью управлять средой.

Билинг самописный, авторизация абонентов IP+MAC через Radius, абонентов на порту может быть несколько.

Сейчас практически все сидят на НАТ. Белые адреса выдаю через бинат.

Что я хочу? Как и любой другой провайдер хочу контролировать доступ к сети, защиту от левых DHCP, учитывать трафик, реализовывать доп-ые услуги IPTV, VOIP. Потому и обращаюсь к специалистам, что дальше делать, не хочу городить костылей. Стоит - ли выносить каждый дом в отдельный VLAN, нужна-ли Options-82.

И вообще, из этой темы можно сделать нечто пособия :)

Share this post


Link to post
Share on other sites

Здравствуйте, уважаемые гуру!

Имеем сеть IPoE. Vlan-на-дом. На уровне доступа Des-3526/3028. Уровень распределения Des-3100 24TG.

В ядре собираю все vlan на Dgs-3627.

Планируется раздавать интернет через NAT и белые IP, так же необходим шейпер.

 

 

Не могу выбрать лучшее решение для организации всего вышеперечисленного. Вот проблемы, с которыми я сталкиваюсь:

1. Как оптимально раздать белые адреса (Для каждого vlan выделять белый ip вроде как накладно) и серые имея схему vlan на дом.

2. Куда лучше всего поставить шейпер и как он должен работать (шлюзом или прозрачным мостом).

3. Какое оптимальное взаимодействие с биллингом (radius авторизация или скриптовое создание правила на шлюзе)

 

Примерная схема прилагается.

Заранее, спасибо!

 

1. Попробуйте NAT из состава iptoute2 для раздачи белых адресов, а традиционный NAT для NAT :-). В первом случае вы сможете выдавать белые адреса независимо от вашей внутренней серой адресации, главное чтобы адреса были статические и можно было однозначно прописывать правила.

 

2. Шейпер надо ставить туда, где надо шейпить. Обычно скорость внутри своей сети никто не ограничивает. Хотя это может быть следствием того, что на доступ шейпер ставить не получается.

 

3. Do it by Your own :-).

 

По поводу vlan на дом: IMHO хостов в одном влане должно быть менее 32 или 64. Всё остальное можно считать слишком большим широковещательным доменом. Поэтому можно выдавать влан на дом, но если в доме образуется абонентов больше, чем вы посчитаете нужным для одного влана, то надо делать второй, третий ... влан в тот же дом.

 

Если есть тех.возможность, то попробуйте сдеать vlan per user + proxy arp ... в длинках это вроде есть, только называется не помню как (аналог cisco ip unnumbered). Тогда у вас не будет проблем с выдачей белых адресов.

Share this post


Link to post
Share on other sites

По поводу vlan на дом: IMHO хостов в одном влане должно быть менее 32 или 64. Всё остальное можно считать слишком большим широковещательным доменом. Поэтому можно выдавать влан на дом, но если в доме образуется абонентов больше, чем вы посчитаете нужным для одного влана, то надо делать второй, третий ... влан в тот же дом.

Cпасибо за ответ.

Наверно, я не так выразился. Vlan на коммутатор :)

Если есть тех.возможность, то попробуйте сдеать vlan per user + proxy arp ... в длинках это вроде есть, только называется не помню как (аналог cisco ip unnumbered). Тогда у вас не будет проблем с выдачей белых адресов.

vlan-per-user не получится, т.е. на одному порту может быть несколько абонентов.

Но я так понял, что схема с proxy-arp применима и для vlan-на-дом.

 

Т.е. теоретически все абоненты находящиеся в различных VLAN могут видеть один и тот же шлюз с белым IP, через который будут выходить в и-нет со своим белым IP.

Share this post


Link to post
Share on other sites

2morf: По поводу не хочу городить своих костылей. Спрашивая тут вы будете городить не свои, а наши костыли. Уж не знаю даже что лучше.

 

Как по мне, то разбивка на ВЛАНы и агрегация их в центре, если будете бить по 32-64 адреса на ВЛАН потребует ставить еще свитч который это будет агрегировать между собой. Причем не только на L2 но и на L3 уровне, маршрутизация же. Дело не только в свитче, но и в том, что весь трафик вне этих ВЛАНов будет проходить транзитом через ваш центр агрегации. Если у вас будет много абонентов и вы будете юзать ретрекер, что логично, то это создаст дополнительную нагрузку на агрегатор, и загрузит сеть, вместо разгрузки. Поэтому я бы делал одно серое адресное пространство на всех, резал бы дома ВЛАНАми, чтобы нельзя было вывести из строя больше одного сегмента, а ВЛАНы терминировал бы где-то до центра. Бродкаст, если он кого-то так волнует, потому что меня нет, я бы резал ACL на домах.Тогда бы это был чистый L2, юзера бы видели друг друга всегда, сеть управляемая. Со шлюзом ситуация тоже понятна - он один, в ядре.

 

Вообще, вопрос как строить сеть ВЛАН на юзера или ВЛАН на дом и как лучше это делать - холиварная. Не только на форуме, но и на сайте было сломано копий, не счесть. Так что единственное правильное решение тут - всё читать, изучать и строить свое решение. По мере возникновения вопросов, задач при проектировании задавать вопросы здесь. И сразу будет понятно какой из методов какие имеет недостатки, как с ними справлятся и подходит ли конкретный метод вам. Хотя даже так можно начать холиварить.

 

Перечисленные вами задачи в ответе весьма обобщены. Конкретно там звучит только защита от DHCP. Всё остальное можно сделать разными способами и оно будет работать. Даже НАТ, несмотря на очевидность вопроса, можно сделать кучей способов в куче мест. Некоторые крупные сети НАТ делают еще до брасов, на узлах агрегации. И это получается выгоднее при их размерах. Так что если хотите решить задачу, задавайте конкретные вопросы и задавайте исходные данные, потому что даже решение конкретных вопросов в любом случае зависит от ваших размеров. Я уже не говорю про актуальность.

Edited by Dark_Angel

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this